ProHoster > Π‘Π»ΠΎΠ³ > Administrasi > Kerja adoh ing kantor. RDP, Port Knocking, Mikrotik: prasaja lan aman

Kerja adoh ing kantor. RDP, Port Knocking, Mikrotik: prasaja lan aman

Amarga pandemi virus covid-19 lan karantina umum ing pirang-pirang negara, siji-sijine cara kanggo akeh perusahaan kanggo terus kerja yaiku akses adoh menyang papan kerja liwat Internet. Ana akeh cara sing relatif aman kanggo karya remot - nanging diwenehi ukuran masalah, cara sing gampang kanggo pangguna kanggo nyambung menyang kantor saka jarak adoh dibutuhake lan tanpa perlu setelan tambahan, panjelasan, konsultasi sing nyenengake lan instruksi sing dawa. Cara iki disenengi dening akeh admin RDP (Remote Desktop Protocol). Nyambung langsung menyang papan kerja liwat RDP saenipun ngatasi masalah kita, kajaba kanggo siji fly amba ing ointment - tetep port RDP mbukak kanggo Internet banget aman. Mulane, ing ngisor iki aku ngusulake cara perlindungan sing prasaja nanging dipercaya.Kerja adoh ing kantor. RDP, Port Knocking, Mikrotik: prasaja lan aman

Amarga aku kerep nemoni organisasi cilik ing ngendi piranti Mikrotik digunakake minangka akses Internet, ing ngisor iki bakal ditampilake carane ngleksanakake iki ing Mikrotik, nanging metode proteksi Port Knocking gampang dileksanakake ing piranti liyane sing luwih dhuwur kanthi setelan router input lan firewall sing padha. .

Sedhela babagan Port Knocking. Perlindhungan eksternal sing cocog kanggo jaringan sing disambungake menyang Internet yaiku nalika kabeh sumber daya lan port ditutup saka njaba dening firewall. Lan sanajan router kanthi firewall sing dikonfigurasi kaya ngono ora nanggepi paket sing teka saka njaba, dheweke ngrungokake. Mulane, sampeyan bisa ngatur router supaya nalika tartamtu (kode) urutan paket jaringan ditampa ing port beda, iku (router) kanggo IP saka ngendi paket teka saka ngethok akses menyang sumber daya tartamtu (port, protokol, lsp).

Saiki kanggo bisnis. Aku ora bakal nggawe katrangan rinci babagan setelan firewall ing Mikrotik - Internet kebak sumber kualitas dhuwur kanggo iki. Saenipun, firewall mblokir kabeh paket mlebu, nanging 

/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,related

Ngidini lalu lintas mlebu saka sambungan sing ana gandhengane.
Saiki kita nyiyapake Port Knocking ing Mikrotik:

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

Saiki luwih rinci:

rong aturan pisanan 

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules

nglarang paket mlebu saka alamat IP sing didaftar ireng nalika mindhai port;

Aturan katelu:

add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules

nambah ip kanggo dhaptar sarwa dumadi sing nggawe ketukan pisanan bener ing port bener (19000);
Patang aturan sabanjure yaiku:

add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

nggawe bandar trap kanggo wong-wong sing pengin mindhai bandar, lan yen nyoba kuwi dideteksi, blacklist ip kanggo 60 menit, sajrone loro aturan pisanan ora bakal menehi host kuwi kesempatan kanggo ngalahake ing bandar bener;

Aturan sabanjure:

add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

nempatno ip ing dhaftar diijini kanggo 1 menit (cukup kanggo netepake sambungan), wiwit ketukan bener kapindho digawe ing port dikarepake (16000);

Prentah sabanjure:

move [/ip firewall filter find comment=RemoteRules] 1

gerakane aturan kita munggah chain Processing firewall, amarga paling kamungkinan kita wis duwe aturan nolak beda diatur sing bakal nyegah kita mentas digawe saka digunakake. Aturan pisanan ing Mikrotik diwiwiti saka nol, nanging ing pirantiku nol dikuwasani dening aturan sing dibangun lan ora bisa dipindhah - aku pindhah menyang 1. Mulane, kita ndeleng setelan kita - ing ngendi sampeyan bisa mindhah. lan nuduhake nomer sing dikarepake.

Setelan sabanjure:

/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

nerusake port sing dipilih kanthi sewenang-wenang 33890 menyang port RDP biasanipun 3389 lan ip komputer utawa terminal server kita kudu. Kita nggawe aturan kasebut kanggo kabeh sumber daya internal sing dibutuhake, luwih becik nyetel port eksternal sing ora standar (lan beda). Mesthine, ip sumber daya internal kudu statis utawa tetep ing server DHCP.

Saiki Mikrotik kita wis dikonfigurasi lan kita kudu prosedur prasaja kanggo pangguna kanggo nyambung menyang RDP internal kita. Amarga kita biasane duwe pangguna Windows, kita nggawe file bat sing prasaja lan jenenge StartRDP.bat:

1.htm
1.rdp

mungguh 1.htm ngemot kode ing ngisor iki:

<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
Π½Π°ΠΆΠΌΠΈΡ‚Π΅ ΠΎΠ±Π½ΠΎΠ²ΠΈΡ‚ΡŒ страницу для ΠΏΠΎΠ²Ρ‚ΠΎΡ€Π½ΠΎΠ³ΠΎ Π·Π°Ρ…ΠΎΠ΄Π° ΠΏΠΎ RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">

isine rong pranala menyang gambar khayalan sing ana ing my_router.sn.mynetname.net - kita njupuk alamat iki saka sistem DDNS Mikrotik sawise ngaktifake ing Mikrotik kita: pindhah menyang IP-> menu Cloud - mriksa kothak centhang DDNS Enabled, klik Aplikasi lan salin jeneng dns router kita. Nanging iki mung perlu nalika ip eksternal router dinamis utawa konfigurasi karo sawetara panyedhiya Internet digunakake.

Port ing link pisanan: 19000 cocog karo port pisanan sing sampeyan kudu ngalahake, ing kaloro, mungguh, kanggo kaloro. Antarane pranala ana instruksi singkat sing nuduhake apa sing kudu ditindakake yen dumadakan sambungan kita diganggu amarga masalah jaringan sing cendhak - kita refresh kaca, port RDP mbukak maneh kanggo 1 menit lan sesi kita dibalekake. Uga, teks ing antarane tag img mbentuk tundha mikro kanggo browser, sing nyuda kemungkinan paket pisanan dikirim menyang port kapindho (16000) - nganti saiki ora ana kasus kaya ing rong minggu panggunaan (30). wong).

Sabanjure ana file 1.rdp, sing bisa dikonfigurasi siji kanggo kabeh utawa kanthi kapisah kanggo saben pangguna (aku nindakake iki - luwih gampang nggunakake 15 menit ekstra tinimbang sawetara jam kanggo konsultasi karo wong sing ora ngerti) 

screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomain

saka setelan menarik kene nggunakake multimon: i: 1 - iki kalebu nggunakake macem-macem monitor - sawetara kudu iki, nanging dhewe ora bakal mikir kanggo nguripake.

jinis sambungan: i: 6 lan networkautodetect: i: 0 - wiwit mayoritas Internet ing ndhuwur 10 Mbps, banjur nguripake jinis sambungan 6 (jaringan lokal 10 Mbps lan ndhuwur) lan mateni networkautodetect, amarga yen standar (otomatis) , banjur malah latensi jaringan cilik langka kanthi otomatis nyetel sesi kita menyang kacepetan alon kanggo dangu, kang bisa nggawe telat ngelingke ing karya, utamanΓ© ing program grafis.

mateni wallpaper: i: 1 - mateni gambar desktop
jeneng panganggo:s:myuserlogin - kita nemtokake login pangguna, amarga akeh pangguna sing ora ngerti login
domain:s:mydomain - nemtokake jeneng domain utawa komputer

Nanging yen kita pengin nyederhanakake tugas nggawe prosedur sambungan, kita uga bisa nggunakake PowerShell - StartRDP.ps1

Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890

Uga sethithik babagan klien RDP ing Windows: MS wis akeh banget kanggo ngoptimalake protokol lan bagean server lan klien, wis ngetrapake akeh fitur sing migunani - kayata nggarap hardware 3D, ngoptimalake resolusi layar kanggo monitor, multiscreen, lan liya-liyane. Nanging mesthi, kabeh wis dileksanakake ing mode kompatibilitas sakdurunge, lan yen klien Windows 7, lan PC remot Windows 10, banjur RDP bakal bisa nggunakake versi protokol 7.0. Nanging keuntungane yaiku sampeyan bisa nganyari versi RDP menyang versi sing luwih anyar - contone, sampeyan bisa nganyarke versi protokol saka 7.0 (Windows 7) dadi 8.1. Mulane, kanggo penak klien, perlu kanggo nambah versi bagean server sabisa, uga nyelehake link kanggo nganyarke menyang versi anyar saka klien protokol RDP.

AkibatΓ©, kita duwe teknologi prasaja lan relatif aman kanggo sambungan remot menyang PC digunakake utawa server terminal. Nanging kanggo sambungan sing luwih aman, metode Port Knocking kita bisa dadi luwih angel diserang kanthi sawetara urutan gedhene, kanthi nambah port kanggo mriksa - sampeyan bisa nambah 3,4,5,6 ... port miturut logika sing padha. , lan ing kasus iki, intrusi langsung menyang jaringan sampeyan meh ora mungkin.

File kosong kanggo nggawe sambungan remot menyang RDP.

Source: www.habr.com

Add a comment