A causa di a pandemia di virus covid-19 è di a quarantena generale in parechji paesi, l'unicu modu per parechje cumpagnie di cuntinuà à travaglià hè l'accessu remotu à i posti di travagliu via Internet. Ci hè parechje metudi relativamente sicuri per u travagliu remoto - ma datu a scala di u prublema, un metudu simplice per qualsiasi utilizatore per cunnette remotamente à l'uffiziu hè necessariu è senza bisognu di paràmetri supplementari, spiegazioni, cunsultazioni tediose è struzzioni longu. Stu metudu hè amatu da parechji amministratori RDP (Protokollu Desktop Remote). Cunnettendu direttamente à u locu di travagliu via RDP risolve idealmente u nostru prublema, salvu una grande mosca in l'unguentu - mantene u portu RDP apertu per Internet hè assai inseguru. Per quessa, sottu prupone un metudu simplice ma affidabile di prutezzione.
Siccomu spessu scontranu picculi urganisazioni induve i dispositi Mikrotik sò utilizati cum'è accessu à Internet, quì sottu serà mostratu cumu implementà questu nantu à Mikrotik, ma u metudu di prutezzione di Port Knocking hè facilmente implementatu in altri apparecchi di classe superiore cù paràmetri di router di input simili è firewall. .
Brevemente nantu à Port Knocking. A prutezzione esterna ideale di una reta cunnessa à Internet hè quandu tutti i risorse è i porti sò chjusi da l'esternu da un firewall. E ancu s'ellu un router cun un firewall cunfiguratu ùn reagisce in alcun modu à i pacchetti chì venenu da l'esternu, li ascolta. Per quessa, pudete cunfigurà u router in modu chì quandu una certa sequenza (codice) di pacchetti di rete hè ricivuta nantu à diversi porti, questu (u router) per l'IP da induve i pacchetti sò vinuti taglia l'accessu à certi risorse (porti, protokolli, etc.). ecc.).
Avà à l'affari. Ùn aghju micca fà una descrizzione dettagliata di i paràmetri di u firewall in Mikrotik - Internet hè pienu di fonti d'alta qualità per questu. Ideale, u firewall blucca tutti i pacchetti entranti, ma
/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,relatedPermette u trafficu entrante da e cunnessione stabilite, ligate.
Avà avemu stallatu Port Knocking in Mikrotik:
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389Avà in più detail:
i primi dui reguli
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRulespruibisce i pacchetti entranti da l'indirizzi IP chì sò in lista negra durante a scansione di portu;
Terza regula:
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
aghjunghje ip à a lista di l'ospiti chì anu fattu u primu colpu currettu in u portu currettu (19000);
I seguenti quattru reguli sò:
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRulescreà porti trappule per quelli chì volenu scansà i vostri porti, è se tali tentativi sò rilevati, a lista negra di u so ip per 60 minuti, durante i quali i primi dui reguli ùn daranu micca tali ospiti l'uppurtunità di chjappà in i porti curretti;
Prossima regula:
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRulesmette ip in a lista permessa per 1 minutu (abbastanza per stabilisce una cunnessione), postu chì u sicondu colpu currettu hè statu fattu nantu à u portu desideratu (16000);
Cumandamentu prossimu:
move [/ip firewall filter find comment=RemoteRules] 1muove e nostre regule in a catena di processazione di u firewall, postu chì assai prubabilmente avemu digià cunfigurate diverse regule di negazione chì impediscenu à i nostri novi creati di travaglià. A prima regula in Mikrotik principia da cero, ma in u mo dispusitivu cero era occupatu da una regula integrata è era impussibile di spustà - l'aghju trasladatu à 1. Per quessa, fighjemu i nostri paràmetri - induve pudete spustà. è indicà u numeru desideratu.
Prossima impostazione:
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389trasmette un portu 33890 arbitrariamente selezziunatu à u solitu portu RDP 3389 è l'ip di l'urdinatore o u servitore di terminal chì avemu bisognu. Creemu tali regule per tutti i risorsi interni necessarii, preferibile stabilisce porti esterni non standard (è diversi). Naturalmente, l'ip di risorse internu deve esse stati o fissu nantu à u servitore DHCP.
Avà u nostru Mikrotik hè cunfiguratu è avemu bisognu di una prucedura simplice per l'utilizatore per cunnette à u nostru RDP internu. Siccomu avemu principarmenti utilizatori di Windows, creemu un schedariu bat simplice è u nome StartRDP.bat:
1.htm
1.rdprispettivamente 1.htm cuntene u seguente codice:
<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">cuntene dui ligami à l'imaghjini imaginarii chì si trovanu in my_router.sn.mynetname.net - pigliamu questu indirizzu da u sistema Mikrotik DDNS dopu avè attivatu in u nostru Mikrotik: vai à u menù IP-> Cloud - verificate a casella di spunta DDNS Enabled, cliccate Apply è copià u nome dns di u nostru router. Ma questu hè necessariu solu quandu l'ip esternu di u router hè dinamica o una cunfigurazione cù parechji fornituri di Internet hè utilizatu.
U portu in u primu ligame: 19000 currisponde à u primu portu nantu à quale avete bisognu à chjappà, in u sicondu, rispettivamente, à u sicondu. Trà i ligami ci hè una breve struzzione chì mostra ciò chì deve fà se di colpu a nostra cunnessione hè interrotta per via di prublemi di rete brevi - rinfrescemu a pagina, u portu RDP riapre per noi per 1 minutu è a nostra sessione hè restaurata. Inoltre, u testu trà l'img tags forma un micro-ritardu per u navigatore, chì riduce a probabilità di u primu pacchettu esse mandatu à u sicondu portu (16000) - finu à avà ùn ci sò micca stati tali casi in duie settimane di usu (30). persone).
Dopu vene u schedariu 1.rdp, chì pudemu cunfigurà unu per tutti o per separatamente per ogni utilizatore (aghju fattu questu - hè più faciule per passà 15 minuti in più cà uni pochi d'ore à cunsultà quelli chì ùn pudianu micca capisce)
screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomaindi i paràmetri interessanti quì hè aduprate multimon: i: 1 - questu include l'usu di più monitori - alcuni anu bisognu di questu, ma elli stessi ùn pensanu micca di accende.
tippu di cunnessione: i: 6 è networkautodetect: i: 0 - postu chì a maiò parte di l'Internet hè sopra à 10 Mbps, allora attivate u tipu di cunnessione 6 (rete locale 10 Mbps è sopra) è disattivate l'autodetect di a rete, perchè se per automaticamente (auto) , Allora ancu una piccula latenza di a reta rara mette automaticamente a nostra sessione à una velocità lenta per un bellu pezzu, chì pò creà ritardi notevuli in u travagliu, in particulare in i prugrammi grafici.
disattivà u wallpaper: i: 1 - disattivà a stampa di u desktop
username:s:myuserlogin - specificamu u login d'utilizatore, postu chì una parte significativa di i nostri utilizatori ùn cunnosci micca u so login
domain:s:mydomain - specifica u duminiu o u nome di l'urdinatore
Ma se vulemu simplificà u nostru compitu di creà una prucedura di cunnessione, allora pudemu ancu aduprà PowerShell - StartRDP.ps1
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890Ancu un pocu di u cliente RDP in Windows: MS hà fattu una longa strada in ottimisazione di u protokollu è u so servitore è e parte di u cliente, hà implementatu assai funzioni utili - cum'è travaglià cù hardware 3D, ottimisendu a risoluzione di u screnu per u vostru monitor, multiscreen, eccetera. Ma, sicuru, tuttu hè implementatu in modu di cumpatibilità retrocede, è se u cliente hè Windows 7, è u PC remoto hè Windows 10, allora RDP funzionerà cù a versione di protokollu 7.0. Ma u benefiziu hè chì pudete aghjurnà e versioni RDP à versioni più recenti - per esempiu, pudete aghjurnà a versione di protokollu da 7.0 (Windows 7) à 8.1. Per quessa, per a cunvenzione di i clienti, hè necessariu di maximizà e versioni di a parte di u servitore, è ancu abbandunà i ligami per aghjurnà à e novi versioni di i clienti di u protocolu RDP.
In u risultatu, avemu una tecnulugia simplice è relativamente sicura per a cunnessione remota à un PC di travagliu o un servitore di terminal. Ma per una cunnessione più sicura, u nostru metudu Port Knocking pò esse fattu più difficiuli di attaccà da parechji ordini di grandezza, aghjustendu porti per verificà - pudete aghjunghje 3,4,5,6 ... un portu secondu a stessa logica. , è in questu casu una intrusione diretta in a vostra reta serà quasi impussibile.
.
Source: www.habr.com