Oherwydd y pandemig firws covid-19 a chwarantîn cyffredinol mewn llawer o wledydd, yr unig ffordd i lawer o gwmnïau barhau i weithio yw mynediad o bell i weithleoedd trwy'r Rhyngrwyd. Mae yna lawer o ddulliau cymharol ddiogel ar gyfer gweithio o bell - ond o ystyried maint y broblem, yr hyn sydd ei angen yw dull sy'n syml i unrhyw ddefnyddiwr gysylltu â'r swyddfa o bell a heb fod angen gosodiadau ychwanegol, esboniadau, ymgynghoriadau diflas a hirfaith. cyfarwyddiadau. Mae llawer o weinyddwyr RDP (Protocol Penbwrdd Pell) yn caru'r dull hwn. Mae cysylltu'n uniongyrchol â gweithfan trwy RDP yn ddelfrydol yn datrys ein problem, ac eithrio un pryf mawr yn yr eli - mae cadw'r porthladd RDP ar agor ar gyfer y Rhyngrwyd yn anniogel iawn. Felly, isod rwy'n cynnig dull amddiffyn syml ond dibynadwy.
Gan fy mod yn aml yn dod ar draws sefydliadau bach lle mae dyfeisiau Mikrotik yn cael eu defnyddio fel cysylltiad Rhyngrwyd, isod byddaf yn dangos sut i weithredu hyn ar Mikrotik, ond mae'n hawdd gweithredu'r dull amddiffyn Port Knocking ar ddyfeisiau dosbarth uwch eraill gyda gosodiadau llwybrydd mewnbwn tebyg a wal dân
Yn fyr am Port Knocking. Amddiffyniad allanol delfrydol rhwydwaith sy'n gysylltiedig â'r Rhyngrwyd yw pan fydd yr holl adnoddau a phorthladdoedd yn cael eu cau o'r tu allan gan wal dân. Ac er nad yw llwybrydd gyda wal dân wedi'i ffurfweddu o'r fath yn ymateb mewn unrhyw ffordd i becynnau sy'n dod o'r tu allan, mae'n gwrando arnynt. Felly, gallwch chi ffurfweddu'r llwybrydd fel bod pan fydd yn derbyn dilyniant penodol (cod) o becynnau rhwydwaith ar wahanol borthladdoedd, ei fod (y llwybrydd) ar gyfer yr IP o ble y daeth y pecynnau, yn gwadu mynediad i rai adnoddau (porthladdoedd, protocolau, ac ati. .).
Nawr i'r pwynt. Ni fyddaf yn rhoi disgrifiad manwl o sefydlu wal dân ar Mikrotik - mae'r Rhyngrwyd yn llawn ffynonellau o ansawdd ar gyfer hyn. Yn ddelfrydol, mae wal dân yn blocio'r holl becynnau sy'n dod i mewn, ond
/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,relatedYn caniatáu traffig sy'n dod i mewn o gysylltiadau sefydledig (sefydledig, cysylltiedig).
Nawr rydym yn ffurfweddu Port Knocking ar Mikrotik:
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389Nawr yn fwy manwl:
ddwy reol gyntaf
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRulesgwahardd pecynnau sy'n dod i mewn o gyfeiriadau IP a gafodd eu rhoi ar restr ddu yn ystod sganio porthladdoedd;
Trydydd rheol:
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
yn ychwanegu ip at y rhestr o westeion a wnaeth y cnoc cyntaf cywir ar y porthladd dymunol (19000);
Y pedair rheol ganlynol:
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRulescreu porthladdoedd trap i'r rhai sydd am sganio'ch porthladdoedd, a phan fydd ymdrechion o'r fath yn cael eu canfod, maent yn rhoi eu IP ar restr ddu am 60 munud, pan na fydd y ddwy reol gyntaf yn rhoi cyfle i westeion o'r fath guro ar y porthladdoedd cywir;
Rheol nesaf:
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRulesyn rhoi'r ip yn y rhestr o rai a ganiateir am 1 munud (digon i sefydlu cysylltiad), gan fod yr ail ergyd gywir yn cael ei wneud ar y porthladd a ddymunir (16000);
Gorchymyn nesaf:
move [/ip firewall filter find comment=RemoteRules] 1yn symud ein rheolau i fyny'r gadwyn brosesu waliau tân, gan ei bod yn fwyaf tebygol y bydd gennym ni amrywiol reolau gwahardd eisoes wedi'u ffurfweddu a fydd yn atal ein rhai newydd rhag gweithio. Mae'r rheol gyntaf un yn Mikrotik yn dechrau o sero, ond ar fy nyfais roedd sero wedi'i feddiannu gan reol adeiledig ac roedd yn amhosibl ei symud - fe'i symudais i 1. Felly, edrychwn ar ein gosodiadau - lle gallwn ei symud. a nodwch y nifer a ddymunir.
Gosodiad nesaf:
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389yn anfon porthladd 33890 a ddewiswyd ar hap ymlaen i borthladd RDP rheolaidd 3389 ac IP y cyfrifiadur neu'r gweinydd terfynell sydd ei angen arnom. Rydym yn creu rheolau o'r fath ar gyfer yr holl adnoddau mewnol angenrheidiol, yn ddelfrydol yn gosod porthladdoedd allanol ansafonol (a gwahanol). Yn naturiol, rhaid i eiddo deallusol adnoddau mewnol fod naill ai'n sefydlog neu wedi'i neilltuo i weinydd DHCP.
Nawr mae ein Mikrotik wedi'i ffurfweddu ac mae angen gweithdrefn hawdd arnom i'r defnyddiwr gysylltu â'n Cynllun Datblygu Gwledig mewnol. Gan fod gennym ddefnyddwyr Windows yn bennaf, rydym yn creu ffeil ystlumod syml a'i galw'n StartRDP.bat:
1.htm
1.rdpyn unol â hynny mae 1.htm yn cynnwys y cod canlynol:
<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">yma yn cynnwys dau ddolen i luniau dychmygol sydd wedi'u lleoli yn y cyfeiriad my_router.sn.mynetname.net - rydym yn cymryd y cyfeiriad hwn o system Mikrotik DDNS ar ôl galluogi hyn yn ein Mikrotik: ewch i'r ddewislen IP-> Cloud - gwiriwch y DDNS Enabled blwch, cliciwch Gwneud cais a chopïwch enw dns ein llwybrydd. Ond dim ond pan fydd IP allanol y llwybrydd yn ddeinamig neu pan ddefnyddir cyfluniad gyda sawl darparwr Rhyngrwyd y mae hyn yn angenrheidiol.
Mae'r porthladd yn y ddolen gyntaf: 19000 yn cyfateb i'r porthladd cyntaf y mae angen i chi guro arno, yn yr ail mae'n cyfateb i'r ail. Rhwng y dolenni mae cyfarwyddyd byr sy'n dangos beth i'w wneud os amharir ar ein cysylltiad yn sydyn oherwydd problemau rhwydwaith byr - rydym yn adnewyddu'r dudalen, mae'r porthladd RDP yn cael ei ailagor i ni am 1 munud ac mae ein sesiwn yn cael ei adfer. Hefyd, mae'r testun rhwng y tagiau img yn creu micro-oediad ar gyfer y porwr, sy'n lleihau'r tebygolrwydd y bydd y pecyn cyntaf yn cael ei ddosbarthu i'r ail borthladd (16000) - hyd yn hyn ni fu unrhyw achosion o'r fath mewn pythefnos o ddefnydd (30 bobl).
Nesaf daw'r ffeil 1.rdp, y gallwn ei ffurfweddu un i bawb neu ar wahân ar gyfer pob defnyddiwr (dyna wnes i - mae'n haws treulio 15 munud ychwanegol na sawl awr yn ymgynghori â'r rhai na allent ei ddarganfod)
screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomainUn o'r gosodiadau diddorol yma yw defnyddio multimon:i:1 - mae hyn yn cynnwys defnyddio monitorau lluosog - mae angen hyn ar rai pobl, ond nid ydyn nhw'n meddwl ei droi ymlaen eu hunain.
math o gysylltiad:i:6 a'r rhwydwaith yn awtomatig:i:0 - gan fod y rhan fwyaf o'r Rhyngrwyd yn uwch na 10 Mbit, yna galluogwch fath cysylltiad 6 (rhwydwaith lleol 10 Mbit ac uwch) ac analluoga'r rhwydwaith yn awtomatig, oherwydd os mai'r rhagosodiad yw (auto), yna mae hyd yn oed hwyrni Rhwydwaith bach prin yn gosod y cyflymder ar gyfer ein sesiwn yn awtomatig ar gyflymder is am amser hir, a all greu oedi amlwg yn y gwaith, yn enwedig mewn rhaglenni graffeg.
analluogi papur wal:i:1 - analluoga'r llun bwrdd gwaith
enw defnyddiwr:s: myuserlogin - rydym yn nodi'r mewngofnodi defnyddiwr, gan nad yw rhan sylweddol o'n defnyddwyr yn gwybod eu mewngofnodi
parth:s:mydomain - nodwch enw'r parth neu'r cyfrifiadur
Ond os ydym am symleiddio'r dasg o greu gweithdrefn gysylltu, gallwn hefyd ddefnyddio PowerShell - StartRDP.ps1
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890Hefyd ychydig am y cleient RDP yn Windows: Mae MS wedi dod yn bell o ran optimeiddio'r protocol a'i rannau gweinydd a chleient, gan weithredu llawer o nodweddion defnyddiol - megis gweithio gyda chaledwedd 3D, optimeiddio datrysiad sgrin ar gyfer eich monitor, aml-sgrin, etc. Ond wrth gwrs, mae popeth yn cael ei weithredu yn y modd cydnawsedd yn ôl ac os yw'r cleient yn Windows 7 a'r PC anghysbell yn Windows 10, yna bydd RDP yn gweithio gan ddefnyddio fersiwn protocol 7.0. Ond yn ffodus, gallwch chi ddiweddaru fersiynau RDP i fersiynau mwy diweddar - er enghraifft, gallwch chi uwchraddio'r fersiwn protocol o 7.0 (Windows 7) i 8.1. Felly, er hwylustod cleientiaid, mae angen i chi wneud y gorau o'r fersiynau o'r rhan gweinydd, a hefyd darparu dolenni i ddiweddaru fersiynau newydd o gleientiaid protocol RDP.
O ganlyniad, mae gennym dechnoleg syml a chymharol ddiogel ar gyfer cysylltu o bell i gyfrifiadur personol gwaith neu weinydd terfynell. Ond ar gyfer cysylltiad mwy diogel, gall ein dull Cnocio Porthladd fod yn anoddach i'w ymosod gan nifer o orchmynion maint, trwy ychwanegu porthladdoedd i wirio - gan ddefnyddio'r un rhesymeg, gallwch ychwanegu 3,4,5,6... porthladd a yn yr achos hwn, bydd ymyrraeth uniongyrchol i'ch rhwydwaith bron yn amhosibl .
.
Ffynhonnell: hab.com