ProHoster > Blog > Bestjoer > Wurk op ôfstân yn it kantoar. RDP, Port Knocking, Mikrotik: ienfâldich en feilich

Wurk op ôfstân yn it kantoar. RDP, Port Knocking, Mikrotik: ienfâldich en feilich

Fanwegen de pandemy fan covid-19-firus en algemiene karantine yn in protte lannen, is de ienige manier foar in protte bedriuwen om troch te wurkjen tagong op ôfstân ta wurkplakken fia it ynternet. D'r binne in protte relatyf feilige metoaden foar wurk op ôfstân - mar sjoen de skaal fan it probleem is in ienfâldige metoade foar elke brûker nedich om op ôfstân te ferbinen mei it kantoar en sûnder de needsaak foar ekstra ynstellingen, ferklearrings, ferfeelsume oerlis en lange ynstruksjes. Dizze metoade is leafst troch in protte admins RDP (Remote Desktop Protocol). Direkt ferbining mei it wurkplak fia RDP lost ideaal ús probleem op, útsein ien grutte flean yn 'e salve - de RDP-poarte iepen hâlde foar it ynternet is heul ûnfeilich. Dêrom stel ik hjirûnder in ienfâldige, mar betroubere metoade foar beskerming foar.Wurk op ôfstân yn it kantoar. RDP, Port Knocking, Mikrotik: ienfâldich en feilich

Om't ik faak lytse organisaasjes tsjinkomme wêr't Mikrotik-apparaten wurde brûkt as ynternettagong, sil hjirûnder sjen litten wurde hoe't jo dit kinne ymplementearje op Mikrotik, mar de metoade foar beskerming fan Port Knocking is maklik ymplementearre op oare apparaten fan hegere klasse mei ferlykbere ynfier-routerynstellingen en firewall .

Koart oer Port Knocking. De ideale eksterne beskerming fan in netwurk ferbûn mei it ynternet is as alle boarnen en havens fan bûten ôf sletten wurde troch in firewall. En hoewol in router mei sa'n ynstelde brânmuorre op gjin inkelde manier reagearret op pakketten dy't fan bûten komme, harket er nei har. Dêrom kinne jo de router sa konfigurearje dat as in bepaalde (koade) folchoarder fan netwurkpakketten wurdt ûntfongen op ferskate havens, it (de router) foar it IP wêrfan de pakketten kamen de tagong ta bepaalde boarnen (havens, protokollen, ensfh.).

No nei bedriuw. Ik sil gjin detaillearre beskriuwing fan 'e firewall-ynstellingen op Mikrotik dwaan - it ynternet is fol mei boarnen fan hege kwaliteit foar dit. Ideal, de brânmuorre blokkearret alle ynkommende pakketten, mar 

/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,related

Stelt ynkommend ferkear fan fêstige, besibbe ferbiningen.
No hawwe wy Port Knocking op Mikrotik ynsteld:

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

No yn mear detail:

earste twa regels 

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules

ferbiede ynkommende pakketten fan IP-adressen dy't op 'e swarte list steane by it scannen fan poarte;

Tredde regel:

add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules

foeget ip ta oan de list mei hosts dy't de juste earste klop op 'e juste poarte makke (19000);
De folgjende fjouwer regels binne:

add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

meitsje trap havens foar dyjingen dy't wolle skennen jo havens, en as sokke besykjen wurde ûntdutsen, blacklist harren ip foar 60 minuten, wêryn de earste twa regels sille net jaan sokke hosts de kâns om te klopjen op de juste havens;

Folgjende regel:

add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

set ip yn 'e tastiene list foar 1 minút (genôch om in ferbining te meitsjen), sûnt de twadde juste knock waard makke op' e winske haven (16000);

Folgjende kommando:

move [/ip firewall filter find comment=RemoteRules] 1

ferpleatst ús regels omheech yn 'e ferwurkingsketen fan' e brânmuorre, om't wy nei alle gedachten al ferskate wegeringsregels sille hawwe konfigureare dy't sille foarkomme dat ús nij oanmakke wurken. De alderearste regel yn Mikrotik begjint fan nul, mar op myn apparaat waard nul beset troch in ynboude regel en it wie ûnmooglik om it te ferpleatsen - ik ferpleatst it nei 1. Dêrom sjogge wy nei ús ynstellings - wêr't jo it kinne ferpleatse en jouwe it winske nûmer oan.

Folgjende ynstelling:

/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

stjoert in willekeurich selekteare poarte 33890 troch nei de gewoane RDP-poarte 3389 en de ip fan 'e kompjûter of terminaltsjinner dy't wy nedich binne. Wy meitsje sokke regels foar alle nedige ynterne boarnen, by foarkar set net-standert (en ferskillende) eksterne havens. Fansels moat de ip fan ynterne boarnen of statysk wêze as fêst op 'e DHCP-tsjinner.

No is ús Mikrotik konfigureare en wy hawwe in ienfâldige proseduere nedich foar de brûker om te ferbinen mei ús ynterne RDP. Om't wy benammen Windows-brûkers hawwe, meitsje wy in ienfâldige batbestân en neame it StartRDP.bat:

1.htm
1.rdp

respektivelik 1.htm befettet de folgjende koade:

<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">

it befettet twa keppelings nei tinkbyldige foto's dy't lizze op my_router.sn.mynetname.net - wy nimme dit adres fan it Mikrotik DDNS-systeem nei it ynskeakeljen fan it yn ús Mikrotik: gean nei it IP-> Wolkmenu - kontrolearje it karfakje DDNS Enabled, klikje op Tapasse en kopiearje de dns-namme fan ús router. Mar dit is allinich nedich as de eksterne IP fan 'e router dynamysk is as in konfiguraasje mei ferskate ynternetproviders wurdt brûkt.

De haven yn 'e earste link: 19000 komt oerien mei de earste haven wêrop jo moatte klopje, respektivelik yn' e twadde nei de twadde. Tusken de keppelings is d'r in koarte ynstruksje dy't toant wat te dwaan as ynienen ús ferbining wurdt ûnderbrutsen fanwege koarte netwurkproblemen - wy ferfarskje de side, de RDP-poarte iepenet foar ús opnij foar 1 minút en ús sesje wurdt wersteld. Ek foarmet de tekst tusken de img-tags in mikro-fertraging foar de browser, wat de kâns ferminderet dat it earste pakket wurdt levere oan de twadde poarte (16000) - oant no ta binne d'r gjin sokke gefallen west yn twa wiken fan gebrûk (30 folk).

Folgjende komt it 1.rdp-bestân, dat wy ien foar allegear of apart foar elke brûker kinne konfigurearje (ik haw dit dien - it is makliker om in ekstra 15 minuten te besteegjen dan in pear oeren oan rieplachtsjen fan dyjingen dy't it net koene útfine) 

screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomain

fan 'e nijsgjirrige ynstellings hjir is gebrûk multimon: i: 1 - dit omfettet it brûken fan meardere byldskermen - guon hawwe dit nedich, mar se sels sille net tinke oan it ynskeakeljen.

ferbiningstype: i: 6 en netwurkautodetect: i: 0 - om't de mearderheid fan it ynternet boppe 10 Mbps is, skeakelje dan ferbiningstype 6 yn (lokaal netwurk 10 Mbps en heger) en skeakelje netwurkautodetect út, want as standert (auto) , dan sels in seldsume lyts netwurk latency automatysk ús sesje foar in lange tiid op in stadige snelheid ynsteld, wat merkbere fertragingen yn wurk meitsje kin, benammen yn grafyske programma's.

útskeakelje wallpaper: ik: 1 - útskeakelje it buroblêd foto
brûkersnamme: s: myuserlogin - wy spesifisearje de brûkersoanmelding, om't in wichtich part fan ús brûkers har oanmelding net wit
domain:s:mydomain - spesifisearje it domein of kompjûternamme

Mar as wy ús taak fan it meitsjen fan in ferbiningproseduere ferienfâldigje wolle, dan kinne wy ​​ek PowerShell brûke - StartRDP.ps1

Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890

Ek in bytsje oer de RDP-kliïnt yn Windows: MS is in lange wei kommen yn it optimalisearjen fan it protokol en syn server- en kliïntdielen, hat in protte nuttige funksjes ymplementearre - lykas wurkje mei hardware 3D, it optimalisearjen fan de skermresolúsje foar jo monitor, multiscreen, ensafuorthinne. Mar fansels, alles wurdt ymplementearre yn efterút kompatibiliteit modus, en as de klant is Windows 7, en de ôfstân PC is Windows 10, dan RDP sil wurkje mei help fan protokol ferzje 7.0. Mar it foardiel is dat jo RDP-ferzjes kinne bywurkje nei mear resinte ferzjes - jo kinne bygelyks de protokolferzje opwurdearje fan 7.0 (Windows 7) nei 8.1. Dêrom, foar it gemak fan kliïnten, is it nedich om de ferzjes fan it serverdiel safolle mooglik te fergrutsjen, en ek links te fallen om te upgrade nei nije ferzjes fan RDP-protokolkliïnten.

As gefolch hawwe wy in ienfâldige en relatyf feilige technology foar ferbining op ôfstân nei in wurkjende PC of terminaltsjinner. Mar foar in feiliger ferbining kin ús Port Knocking-metoade dreger wurde om oan te fallen troch ferskate oarders fan grutte, troch poarten ta te foegjen om te kontrolearjen - jo kinne 3,4,5,6 tafoegje ... in poarte neffens deselde logika , en yn dit gefal sil in direkte ynbraak yn jo netwurk hast ûnmooglik wêze.

Lege bestannen foar it meitsjen fan in ferbining op ôfstân nei RDP.

Boarne: www.habr.com

Add a comment