ProHoster > Blog > Administrazioa > Urruneko lana bulegoan. RDP, Port Knocking, Mikrotik: sinplea eta segurua

Urruneko lana bulegoan. RDP, Port Knocking, Mikrotik: sinplea eta segurua

Covid-19 birusaren pandemia eta herrialde askotan koarentena orokorra dela eta, enpresa askok lanean jarraitzeko modu bakarra Internet bidez lantokietara urruneko sarbidea da. Urruneko lanerako metodo nahiko seguru asko daude, baina arazoaren tamaina kontuan hartuta, edozein erabiltzailek bulegora urrunetik konektatzeko metodo sinple bat behar da eta ezarpen gehigarririk, azalpenik, kontsulta neketsu eta argibide luzerik beharrik gabe. Metodo hau administratzaile askok RDP (Urrutiko Mahaiaren Protokoloa) maite dute. RDP bidez zuzenean lantokia konektatzeak gure arazoa konpontzen du, ukenduan dagoen euli handi bat izan ezik - RDP ataka Interneterako irekita mantentzea oso arriskutsua da. Hori dela eta, jarraian babes metodo sinple baina fidagarria proposatzen dut.Urruneko lana bulegoan. RDP, Port Knocking, Mikrotik: sinplea eta segurua

Sarritan Mikrotik gailuak Interneterako sarbide gisa erabiltzen diren erakunde txikiekin topo egiten dudanez, behean hau Mikrotik-en nola inplementatu erakutsiko da, baina Port Knocking babesteko metodoa erraz inplementatzen da goi mailako beste gailu batzuetan sarrerako bideratzaileen ezarpenak eta suebakiak dituztenak. .

Portu kolpeari buruz laburki. Internetera konektatutako sare baten kanpoko babes ezin hobea baliabide eta ataka guztiak kanpotik suebaki batek ixten dituenean da. Eta halako konfiguratutako suebakia duen bideratzaile batek kanpotik datozen paketeen aurrean inola ere erreakzionatzen ez badu ere, entzuten ditu. Hori dela eta, bideratzailea konfiguratu dezakezu sare-paketeen sekuentzia jakin bat (kode) portu ezberdinetan jasotzen denean, paketeak nondik datozen IPrako (bideratzaileak) baliabide jakin batzuetarako sarbidea moztu dezan (portuak, protokoloak, etab.).

Orain negozioetara. Ez dut Mikrotik-en suebakiaren ezarpenen deskribapen zehatzik egingo - Internet kalitate handiko iturriz beteta dago horretarako. Egokiena, suebakiak sarrerako pakete guztiak blokeatzea, baina 

/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,related

Ezarritako eta erlazionatutako konexioetatik sarrerako trafikoa baimentzen du.
Orain Port Knocking konfiguratu dugu Mikrotik-en:

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

Orain xehetasun gehiagorekin:

lehen bi arauak 

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules

debekatu sarrerako paketeak portuak eskaneatzean zerrenda beltzean dauden IP helbideetatik;

Hirugarren araua:

add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules

ip gehitzen du ataka zuzena lehen kolpe zuzena egin duten ostalarien zerrendara (19000);
Lau arau hauek:

add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

sortu tranpa portuak zure portuak eskaneatu nahi dituztenentzat, eta horrelako saiakerak antzematen badira, jarri haien ip-a zerrenda beltzean 60 minutuz, eta lehen bi arauek ez diete horrelako ostalariei portu zuzenak jotzeko aukera emango;

Hurrengo araua:

add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

ip baimendutako zerrendan jartzen du 1 minutuz (nahikoa konexioa ezartzeko), bigarren kolpe zuzena nahi den atakan (16000) egin baita;

Hurrengo komandoa:

move [/ip firewall filter find comment=RemoteRules] 1

gure arauak suebakiaren prozesatze-katean gora mugitzen ditu, ziurrenik jada sortu berri direnek funtzionatzea eragotziko duten ukatze-arau desberdinak konfiguratuta izango baititugu. Mikrotik-en lehen araua zerotik hasten da, baina nire gailuan zero arau integratua zegoen eta ezinezkoa zen mugitzea - ​​1era eraman nuen. Hori dela eta, gure ezarpenak aztertzen ditugu - non mugitu dezakezun. eta adierazi nahi den zenbakia.

Hurrengo ezarpena:

/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

arbitrarioki hautatutako 33890 ataka bat birbidaltzen du ohiko RDP 3389 atakara eta behar dugun ordenagailuaren edo terminal zerbitzariaren ip-a. Beharrezko barne baliabide guztietarako arau horiek sortzen ditugu, ahal izanez gero, kanpoko portu ez-estandarrak (eta desberdinak) ezarriz. Jakina, barne baliabideen ip-a estatikoa edo finkoa izan behar da DHCP zerbitzarian.

Orain gure Mikrotik konfiguratuta dago eta erabiltzaileak gure barne RDPra konektatzeko prozedura erraz bat behar dugu. Batez ere Windows erabiltzaileak ditugunez, bat fitxategi soil bat sortzen dugu eta StartRDP.bat izena ematen diogu:

1.htm
1.rdp

hurrenez hurren 1.htm-k kode hau dauka:

<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
Π½Π°ΠΆΠΌΠΈΡ‚Π΅ ΠΎΠ±Π½ΠΎΠ²ΠΈΡ‚ΡŒ страницу для ΠΏΠΎΠ²Ρ‚ΠΎΡ€Π½ΠΎΠ³ΠΎ Π·Π°Ρ…ΠΎΠ΄Π° ΠΏΠΎ RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">

my_router.sn.mynetname.net helbidean kokatzen diren irudizko irudietarako bi esteka ditu - helbide hau Mikrotik DDNS sistematik hartzen dugu gure Mikrotik-en gaitu ondoren: joan IP-> Hodeia menura - markatu DDNS gaituta kontrol-laukia, sakatu Aplikatu eta kopiatu gure bideratzailearen dns izena. Baina hori bakarrik beharrezkoa da bideratzailearen kanpoko ip-a dinamikoa denean edo hainbat Interneteko hornitzaileren konfigurazioa erabiltzen denean.

Lehenengo loturako ataka: 19000 jo behar duzun lehen atakari dagokio, bigarrenean, hurrenez hurren, bigarrenari. Esteken artean sareko arazo laburren ondorioz gure konexioa eteten bada bat-batean zer egin behar den erakusten duen argibide labur bat dago: orria freskatzen dugu, RDP ataka berriro irekitzen zaigu minutu batez eta gure saioa berrezartzen da. Era berean, img etiketen arteko testuak mikro-atzerapen bat osatzen du nabigatzailearentzat, eta horrek lehen paketea bigarren portura (1) entregatzeko probabilitatea murrizten du - orain arte ez da horrelako kasurik egon bi astetan erabileran (16000). jendea).

Ondoren, 1.rdp fitxategia dator, erabiltzaile guztientzako edo banan-banan konfiguratu dezakeguna (hau egin nuen - errazagoa da 15 minutu gehiago pasatzea ordu batzuk baino, asmatu ezin dutenei kontsultatzen) 

screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomain

Hemen ezarpen interesgarrien artean multimon erabiltzea da: i: 1 - honek monitore anitz erabiltzea barne hartzen du - batzuek hori behar dute, baina beraiek ez dute piztea pentsatuko.

konexio mota: i: 6 eta sareko autodetekzioa: i: 0 - Interneten gehiengoa 10 Mbps-tik gorakoa denez, aktibatu 6 konexio mota (sare lokala 10 Mbps-tik gorakoa) eta desaktibatu sarearen autodetekzioa, lehenespenez (automatikoki) bada. , orduan sareko latentzia txiki arraro batek ere automatikoki gure saioa abiadura motelean ezartzen du denbora luzez, eta horrek atzerapen nabariak sor ditzake lanean, batez ere programa grafikoetan.

desgaitu horma-papera: i: 1 - mahaigaineko argazkia desgaitu
username:s:myuserlogin - erabiltzailearen saio-hasiera zehazten dugu, gure erabiltzaileen zati handi batek ez baitu bere saioa ezagutzen
domain:s:mydomain - zehaztu domeinua edo ordenagailuaren izena

Baina konexio prozedura bat sortzeko zeregina erraztu nahi badugu, PowerShell ere erabil dezakegu - StartRDP.ps1

Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890

Baita Windows-eko RDP bezeroari buruzko apur bat ere: MS-k bide luzea egin du protokoloa eta bere zerbitzari eta bezero-zatiak optimizatzen, funtzio erabilgarri asko inplementatu ditu, hala nola, 3D hardwarearekin lan egitea, zure monitorearen pantailaren bereizmena optimizatzea, pantaila anitzekoa, eta abar. Baina, noski, dena atzerako bateragarritasun moduan inplementatzen da, eta bezeroa Windows 7 bada eta urruneko ordenagailua Windows 10 bada, RDP 7.0 protokoloaren bertsioa erabiliz funtzionatuko du. Baina abantaila da RDP bertsioak bertsio berriagoetara egunera ditzakezula; adibidez, protokoloaren bertsioa 7.0 (Windows 7) 8.1era egunera dezakezu. Hori dela eta, bezeroen erosotasunerako, beharrezkoa da zerbitzariaren zatiaren bertsioak ahalik eta gehien handitzea, baita estekak botatzea RDP protokolo bezeroen bertsio berrietara eguneratzeko.

Ondorioz, teknologia sinple eta nahiko segurua dugu lanean ari den PC edo terminal zerbitzari batera urruneko konektatzeko. Baina konexio seguruago bat lortzeko, gure Port Knocking metodoa erasotzea zailagoa izan daiteke hainbat magnitude-agindutan, egiaztatzeko atakak gehituz - 3,4,5,6 ... ataka bat gehi dezakezu logika beraren arabera. , eta kasu honetan zure sarean sartzea ia ezinezkoa izango da .

RDP-ra urruneko konexio bat sortzeko fitxategi hutsak.

Iturria: www.habr.com

Gehitu iruzkin berria