Vegna faraldurs Covid-19 veirunnar og almennrar sóttkvíar í mörgum löndum er eina leiðin fyrir mörg fyrirtæki til að halda áfram að vinna með fjaraðgangi að vinnustöðum í gegnum internetið. Það eru margar tiltölulega öruggar aðferðir við fjarvinnu - en miðað við umfang vandans er það sem þarf aðferð sem er einföld fyrir hvaða notanda sem er að tengjast skrifstofunni í fjartengingu og án þess að þörf sé á frekari stillingum, útskýringum, leiðinlegum samráðum og löngum leiðbeiningar. Þessi aðferð er elskuð af mörgum stjórnendum RDP (Remote Desktop Protocol). Að tengjast beint við vinnustöð í gegnum RDP leysir helst vandamál okkar, fyrir utan eina stóra flugu í smyrslinu - að halda RDP tenginu opnu fyrir internetið er mjög óöruggt. Því hér að neðan legg ég til einfalda en áreiðanlega verndaraðferð.
Þar sem ég rekst oft á litlar stofnanir þar sem Mikrotik tæki eru notuð sem nettenging, mun ég hér að neðan sýna hvernig á að útfæra þetta á Mikrotik, en Port Knocking verndaraðferðina er auðvelt að útfæra á önnur hágæða tæki með svipaðar inntaksstillingar og beini. eldvegg
Stuttlega um Port Knocking. Hin fullkomna ytri vernd nettengts við internetið er þegar allar auðlindir og höfn eru lokuð að utan með eldvegg. Og þó að beini með svona stilltan eldvegg bregðist ekki á nokkurn hátt við pökkum sem koma utan frá, þá hlustar hann á þá. Þess vegna geturðu stillt beininn þannig að þegar hann fær ákveðna (kóða) röð netpakka á mismunandi höfnum, þá (beini) fyrir IP þaðan sem pakkarnir komu, neitar hann aðgangi að ákveðnum auðlindum (höfnum, samskiptareglum osfrv. .).
Nú að efninu. Ég mun ekki gefa nákvæma lýsingu á því að setja upp eldvegg á Mikrotik - internetið er fullt af gæðaheimildum fyrir þetta. Helst lokar eldveggur alla pakka sem berast, en
/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,relatedLeyfir komandi umferð frá þegar stofnuðum (stofnuðum, tengdum) tengingum.
Nú stillum við Port Knocking á Mikrotik:
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389Nú nánar:
fyrstu tvær reglurnar
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRulesbanna komandi pakka frá IP-tölum sem voru á svörtum lista við gáttaskönnun;
Þriðja reglan:
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
bætir ip við listann yfir vélar sem gerðu rétta fyrstu bankun á viðkomandi tengi (19000);
Eftirfarandi fjórar reglur:
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRulesbúa til gildruport fyrir þá sem vilja skanna gáttirnar þínar og þegar slíkar tilraunir uppgötvast setja þeir IP-tölu sína á svartan lista í 60 mínútur, þar sem fyrstu tvær reglurnar munu ekki gefa slíkum vélum tækifæri til að banka á réttar höfn;
Næsta regla:
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRulessetur ip-inn á listann yfir leyfilegar í 1 mínútu (nóg til að koma á tengingu), þar sem annað rétta höggið er slegið á viðkomandi tengi (16000);
Næsta skipun:
move [/ip firewall filter find comment=RemoteRules] 1færir reglur okkar upp í eldveggvinnslukeðjuna, þar sem líklegast erum við nú þegar með ýmsar bannreglur stilltar sem koma í veg fyrir að nýstofnaðar okkar virki. Fyrsta reglan í Mikrotik byrjar á núlli, en í tækinu mínu var núll upptekinn af innbyggðri reglu og það var ómögulegt að færa hana - ég færði hana í 1. Þess vegna skoðum við stillingarnar okkar - hvert við getum fært hana og tilgreinið viðkomandi númer.
Næsta stilling:
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389framsendir af handahófi valið port 33890 yfir á venjulega RDP tengi 3389 og IP tölvunnar eða útstöðvarþjóninn sem við þurfum. Við búum til slíkar reglur fyrir allar nauðsynlegar innri auðlindir, helst að setja óstöðluð (og mismunandi) ytri höfn. Auðvitað verður IP innri auðlinda annaðhvort að vera kyrrstætt eða úthlutað til DHCP netþjóns.
Nú er Mikrotik okkar stillt og við þurfum auðvelt verklag fyrir notandann til að tengjast innri RDP okkar. Þar sem við erum aðallega með Windows notendur búum við til einfalda kylfuskrá og köllum hana StartRDP.bat:
1.htm
1.rdpí samræmi við það inniheldur 1.htm eftirfarandi kóða:
<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">hér eru tveir tenglar á ímyndaðar myndir sem eru staðsettar á heimilisfanginu my_router.sn.mynetname.net - við tökum þetta heimilisfang úr Mikrotik DDNS kerfinu eftir að hafa virkjað þetta í Mikrotik okkar: farðu í IP->Cloud valmyndina - athugaðu DDNS Enabled reit, smelltu á Apply og afritaðu dns nafnið á leiðinni okkar. En þetta er aðeins nauðsynlegt þegar ytri IP beini er kraftmikið eða uppsetning hjá nokkrum netveitum er notuð.
Gáttin í fyrsta hlekknum: 19000 samsvarar fyrstu höfninni sem þú þarft að banka á, í þeirri seinni samsvarar hún þeirri seinni. Á milli krækjanna er stutt leiðbeining sem sýnir hvað á að gera ef tengingin okkar verður skyndilega rofin vegna stuttra netvandamála - við endurnýjum síðuna, RDP tengið er opnað aftur fyrir okkur í 1 mínútu og lotan okkar er endurheimt. Einnig skapar textinn á milli img merkjanna örtöf fyrir vafrann, sem dregur úr líkum á því að fyrsti pakkinn verði afhentur í seinni höfnina (16000) - hingað til hafa engin slík tilvik verið í notkun í tvær vikur (30 fólk).
Næst kemur 1.rdp skráin, sem við getum stillt eina fyrir alla eða sérstaklega fyrir hvern notanda (það er það sem ég gerði - það er auðveldara að eyða 15 mínútum til viðbótar en nokkrum klukkustundum í að ráðfæra sig við þá sem gátu ekki fundið út úr því)
screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomainEin af áhugaverðu stillingunum hér er að nota multimon:i:1 - þetta felur í sér notkun margra skjáa - sumir þurfa þetta, en þeim dettur ekki í hug að kveikja á því sjálfir.
tengingartegund:i:6 og netsjálfvirk detect:i:0 - þar sem meirihluti internetsins er yfir 10 Mbit, virkjaðu síðan tengingartegund 6 (staðnet 10 Mbit og eldri) og slökktu á sjálfvirkri uppgötvun netkerfisins, þar sem ef sjálfgefið er (sjálfvirkt), þá setur jafnvel sjaldgæf lítil netleynd sjálfkrafa hraðann fyrir setu okkar á lægri hraða í langan tíma, sem getur valdið áberandi tafir á vinnu, sérstaklega í grafíkforritum.
slökkva á veggfóður:i:1 - slökkva á skjáborðsmyndinni
notendanafn:s:myuserlogin - við tilgreinum notandainnskráninguna, þar sem verulegur hluti notenda okkar veit ekki innskráningu sína
domain:s:mydomain - tilgreinið lénið eða tölvuheitið
En ef við viljum einfalda verkefnið við að búa til tengingarferli, getum við líka notað PowerShell - StartRDP.ps1
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890Einnig smá um RDP biðlarann í Windows: MS hefur náð langt í að fínstilla samskiptareglur og miðlara og biðlara hluta þess, innleiða marga gagnlega eiginleika - eins og að vinna með þrívídd vélbúnaðar, fínstilla skjáupplausn fyrir skjáinn þinn, fjölskjá, o.s.frv. En auðvitað er allt útfært í afturábakssamhæfniham og ef viðskiptavinurinn er Windows 3 og ytri tölvan er Windows 7, þá mun RDP vinna með samskiptareglur útgáfu 10. En sem betur fer geturðu uppfært RDP útgáfur í nýrri útgáfur - til dæmis geturðu uppfært siðareglur útgáfuna úr 7.0 (Windows 7.0) í 7. Þess vegna, til þæginda fyrir viðskiptavini, þarftu að hámarka útgáfur af miðlarahlutanum og veita einnig tengla til að uppfæra í nýjar útgáfur af RDP samskiptareglum.
Fyrir vikið höfum við einfalda og tiltölulega örugga tækni fyrir fjartengingu við vinnutölvu eða útstöðvarþjón. En til að fá öruggari tengingu er hægt að gera erfiðara að ráðast á hafnarbankaaðferðina okkar um nokkrar stærðargráður, með því að bæta við portum til að athuga - með sömu rökfræði geturðu bætt við 3,4,5,6... porti og í þessu tilfelli verður bein afskipti af netkerfinu þínu nánast ómögulegt.
.
Heimild: www.habr.com