Akòz pandemi viris covid-19 la ak karantèn jeneral nan anpil peyi, sèl fason pou anpil konpayi kontinye travay se aksè a distans nan espas travay atravè Entènèt. Gen anpil metòd relativman an sekirite pou travay aleka - men yo bay echèl pwoblèm nan, yon metòd senp pou nenpòt itilizatè konekte adistans nan biwo a nesesè epi san yo pa bezwen an plis anviwònman, eksplikasyon, konsiltasyon fatigan ak enstriksyon long. Metòd sa a renmen anpil pa anpil admin RDP (Remote Desktop Protocol). Konekte dirèkteman nan espas travay la atravè RDP depreferans rezoud pwoblèm nou an, eksepte pou yon sèl gwo mouch nan odè a - kenbe pò RDP a louvri pou entènèt la trè danjere. Se poutèt sa, anba a mwen pwopoze yon metòd pwoteksyon senp men serye.
Piske mwen souvan rankontre ti òganizasyon kote aparèy Mikrotik yo itilize kòm aksè Entènèt, anba a yo pral montre kijan pou aplike sa a sou Mikrotik, men metòd pwoteksyon Port Knocking la fasilman aplike sou lòt aparèy ki pi wo yo ak anviwònman routeur opinyon menm jan ak firewall. .
Yon ti tan sou Port Knocking. Pwoteksyon ekstèn ideyal la nan yon rezo ki konekte ak entènèt la se lè tout resous ak pò yo fèmen soti nan deyò pa yon firewall. Ak byenke yon routeur ak tankou yon pare-feu configuré pa reyaji nan okenn fason nan pake ki soti deyò, li koute yo. Se poutèt sa, ou ka configured routeur la pou lè yon sèten (kòd) sekans pake rezo resevwa sou pò diferan, li (routeur a) pou IP ki soti nan kote pake yo soti koupe aksè a sèten resous (pò, pwotokòl, elatriye).
Koulye a, nan biznis. Mwen pa pral fè yon deskripsyon detaye sou anviwònman firewall yo sou Mikrotik - Entènèt la plen ak bon jan kalite sous pou sa. Idealman, firewall la bloke tout pake fèk ap rantre, men
/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,relatedPèmèt trafik fèk ap rantre soti nan koneksyon etabli, ki gen rapò.
Kounye a nou mete Port Knocking sou Mikrotik:
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389Koulye a, nan plis detay:
de premye règ yo
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRulesentèdi pake fèk ap rantre nan adrès IP ki nan lis nwa pandan optik pò yo;
Twazyèm règ:
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
ajoute ip nan lis lame ki te fè kòrèk premye frape sou pò ki kòrèk la (19000);
Kat pwochen règ yo se:
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRuleskreye pò pèlen pou moun ki vle eskane pò ou yo, epi si tantativ sa yo detekte, lis nwa ip yo pou 60 minit, pandan de premye règ yo pa pral bay lame sa yo opòtinite pou yo frape sou pò ki kòrèk yo;
Pwochen règ:
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRulesmete ip nan lis la pèmèt pou 1 minit (ase etabli yon koneksyon), depi dezyèm frape kòrèk la te fè sou pò a vle (16000);
Pwochen lòd:
move [/ip firewall filter find comment=RemoteRules] 1deplase règ nou yo moute chèn pwosesis firewall la, depi gen plis chans nou pral deja gen diferan règ refi configuré ki pral anpeche sa ki fèk kreye nou yo ap travay. Premye règ la nan Mikrotik kòmanse soti nan zewo, men sou aparèy mwen an zewo te okipe pa yon règ entegre epi li te enposib deplase li - mwen deplase li nan 1. Se poutèt sa, nou gade nan anviwònman nou yo - kote ou ka deplase li. epi endike nimewo ou vle a.
Pwochen anviwònman:
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389voye yon pò abitrèman chwazi 33890 nan pò RDP abityèl 3389 la ak ip nan òdinatè a oswa sèvè tèminal nou bezwen an. Nou kreye règ sa yo pou tout resous entèn ki nesesè yo, de preferans mete pò ekstèn ki pa estanda (ak diferan). Natirèlman, ip resous entèn yo dwe swa estatik oswa fiks sou sèvè DHCP la.
Koulye a, Mikrotik nou an se configuré epi nou bezwen yon pwosedi senp pou itilizatè a konekte ak RDP entèn nou an. Piske nou sitou gen itilizatè Windows, nou kreye yon senp fichye baton ak non li StartRDP.bat:
1.htm
1.rdprespektivman 1.htm gen kòd sa a:
<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">li gen de lyen ki mennen nan imaj imajinè ki sitiye nan my_router.sn.mynetname.net - nou pran adrès sa a nan sistèm Mikrotik DDNS apre yo fin pèmèt li nan Mikrotik nou an: ale nan meni IP-> Cloud - tcheke kaz DDNS Enabled la, klike sou Aplike epi kopye non dns routeur nou an. Men, sa nesesè sèlman lè ip ekstèn routeur la dinamik oswa yo itilize yon konfigirasyon ak plizyè founisè entènèt.
Pò a nan lyen an premye: 19000 koresponn ak pò a premye sou ki ou bezwen frape, nan dezyèm lan, respektivman, nan dezyèm lan. Ant lyen yo gen yon enstriksyon kout ki montre sa pou nou fè si toudenkou koneksyon nou an entèwonp akòz pwoblèm rezo kout - nou rafrechi paj la, pò RDP a relouvri pou nou pou 1 minit epi sesyon nou an retabli. Epitou, tèks ki genyen ant tags img yo fòme yon mikwo-reta pou navigatè a, ki diminye chans pou premye pake a yo te lage nan dezyèm pò a (16000) - jiskaprezan pa te gen okenn ka sa yo nan de semèn nan itilize (30). moun).
Apre sa, vini fichye a 1.rdp, ki nou ka konfigirasyon youn pou tout oswa separeman pou chak itilizatè (mwen te fè sa a - li pi fasil pase yon siplemantè 15 minit pase kèk èdtan konsilte moun ki pa t 'kapab kalkile li)
screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomainnan anviwònman yo enteresan isit la se sèvi ak multimon: mwen: 1 - sa a gen ladan itilize nan monitè miltip - kèk bezwen sa a, men yo menm yo pa pral panse a vire l 'sou.
Kalite koneksyon: i: 6 ak networkautodetect: i: 0 - depi majorite entènèt la pi wo pase 10 Mbps, Lè sa a, vire sou koneksyon kalite 6 (rezo lokal 10 Mbps ak pi wo) epi fèmen networkautodetect, paske si pa default (oto) , Lè sa a, menm yon ti latansi rezo ki ra otomatikman mete sesyon nou an nan yon vitès dousman pou yon tan long, ki ka kreye reta aparan nan travay, espesyalman nan pwogram grafik.
enfim photo: i: 1 - enfim foto Desktop la
username:s:myuserlogin - nou presize login itilizatè a, paske yon pati enpòtan nan itilizatè nou yo pa konnen login yo.
domain:s:mydomain - presize domèn oswa non òdinatè a
Men, si nou vle senplifye travay nou pou kreye yon pwosedi koneksyon, Lè sa a, nou ka tou itilize PowerShell - StartRDP.ps1
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890Epitou yon ti kras sou kliyan RDP nan Windows: MS te vini yon fason lontan nan optimize pwotokòl la ak sèvè li yo ak pati kliyan li yo, te aplike anpil karakteristik itil - tankou travay ak pyès ki nan konpitè 3D, optimize rezolisyon ekran an pou monitè ou, miltiscreen, ak sou sa. Men, nan kou, tout bagay aplike nan mòd konpatibilite bak, epi si kliyan an se Windows 7, ak PC a aleka se Windows 10, Lè sa a, RDP ap travay lè l sèvi avèk vèsyon pwotokòl 7.0. Men, benefis la se ke ou ka mete ajou vèsyon RDP nan vèsyon ki pi resan - pou egzanp, ou ka ajou vèsyon an pwotokòl soti nan 7.0 (Windows 7) a 8.1. Se poutèt sa, pou konvenyans nan kliyan, li nesesè ogmante vèsyon yo nan pati nan sèvè otank posib, osi byen ke gout lyen yo ajou nan nouvo vèsyon nan kliyan pwotokòl RDP.
Kòm yon rezilta, nou gen yon teknoloji senp ak relativman an sekirite pou koneksyon aleka nan yon PC k ap travay oswa sèvè tèminal. Men, pou yon koneksyon pi an sekirite, metòd Port Knocking nou an ka vin pi difisil pou atake pa plizyè lòd nan grandè, lè w ajoute pò yo tcheke - ou ka ajoute 3,4,5,6 ... yon pò dapre menm lojik la. , ak nan ka sa a yon entrizyon dirèk nan rezo ou a pral prèske enposib .
.
Sous: www.habr.com