დისტანციური მუშაობა ოფისში. RDP, Port Knocking, Mikrotik: მარტივი და უსაფრთხო

Covid-19 ვირუსის პანდემიისა და ზოგადი კარანტინის გამო ბევრ ქვეყანაში, მრავალი კომპანიისთვის მუშაობის გაგრძელების ერთადერთი გზა არის სამუშაო ადგილებზე დისტანციური წვდომა ინტერნეტის საშუალებით. დისტანციური მუშაობის მრავალი შედარებით უსაფრთხო მეთოდი არსებობს - მაგრამ პრობლემის მასშტაბებიდან გამომდინარე, ნებისმიერი მომხმარებლისთვის საჭიროა მარტივი მეთოდი ოფისთან დისტანციურად დასაკავშირებლად და დამატებითი პარამეტრების, ახსნა-განმარტებების, დამღლელი კონსულტაციებისა და გრძელი ინსტრუქციების გარეშე. ეს მეთოდი ბევრ ადმინისტრატორს უყვარს RDP (Remote Desktop Protocol). უშუალოდ სამუშაო ადგილთან დაკავშირება RDP-ის საშუალებით იდეალურად აგვარებს ჩვენს პრობლემას, გარდა ერთი დიდი ბუზის მალამოსა - RDP პორტის ინტერნეტისთვის ღიად შენარჩუნება ძალიან სახიფათოა. ამიტომ, ქვემოთ შემოგთავაზებთ დაცვის მარტივ, მაგრამ საიმედო მეთოდს.

იმის გამო, რომ ხშირად ვხვდები პატარა ორგანიზაციებს, სადაც Mikrotik მოწყობილობები გამოიყენება როგორც ინტერნეტი, ქვემოთ ნაჩვენები იქნება, თუ როგორ უნდა განხორციელდეს ეს Mikrotik-ზე, მაგრამ Port Knocking დაცვის მეთოდი ადვილად განხორციელდება სხვა უფრო მაღალი კლასის მოწყობილობებზე, მსგავსი შეყვანის როუტერის პარამეტრებით და ბუხარი. .

მოკლედ Port Knocking-ის შესახებ. ინტერნეტთან დაკავშირებული ქსელის იდეალური გარე დაცვაა, როდესაც ყველა რესურსი და პორტი დახურულია გარედან ფაირვოლ-ით. და მიუხედავად იმისა, რომ როუტერი ასეთი კონფიგურირებული firewall-ით არანაირად არ რეაგირებს გარედან შემოსულ პაკეტებზე, ის უსმენს მათ. ამიტომ, შეგიძლიათ დააკონფიგურიროთ როუტერი ისე, რომ როდესაც სხვადასხვა პორტზე მიიღება ქსელის პაკეტების გარკვეული (კოდური) თანმიმდევრობა, ის (როუტერი) IP-სთვის, საიდანაც პაკეტები მოვიდა, შეწყვიტოს წვდომა გარკვეულ რესურსებზე (პორტები, პროტოკოლები, და ა.შ.).

ახლა ბიზნესზე. მე არ გავაკეთებ Mikrotik-ზე firewall-ის პარამეტრების დეტალურ აღწერას - ინტერნეტი სავსეა ამისთვის მაღალი ხარისხის წყაროებით. იდეალურ შემთხვევაში, firewall ბლოკავს ყველა შემომავალ პაკეტს, მაგრამ

/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,related

საშუალებას აძლევს შემომავალ ტრაფიკს ჩამოყალიბებული, დაკავშირებული კავშირებიდან.
ახლა ჩვენ დავაყენეთ Port Knocking Mikrotik-ზე:

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

ახლა უფრო დეტალურად:

პირველი ორი წესი

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules

აიკრძალოს შემომავალი პაკეტები IP მისამართებიდან, რომლებიც შავ სიაშია პორტების სკანირების დროს;

მესამე წესი:

add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules

ამატებს ip-ს იმ ჰოსტების სიაში, რომლებმაც გააკეთეს სწორი პირველი დარტყმა სწორ პორტზე (19000);
შემდეგი ოთხი წესია:

add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

შექმენით ტრაპ პორტები მათთვის, ვისაც სურს თქვენი პორტების სკანირება და თუ ასეთი მცდელობა გამოვლინდა, ჩაწერეთ მათი IP შავ სიაში 60 წუთის განმავლობაში, რომლის დროსაც პირველი ორი წესი არ მისცემს ასეთ ჰოსტებს საშუალებას დააკაკუნონ სწორ პორტებზე;

შემდეგი წესი:

add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

ათავსებს ip-ს დაშვებულ სიაში 1 წუთის განმავლობაში (საკმარისია კავშირის დასამყარებლად), რადგან მეორე სწორი დარტყმა განხორციელდა სასურველ პორტზე (16000);

შემდეგი ბრძანება:

move [/ip firewall filter find comment=RemoteRules] 1

გადააქვს ჩვენი წესები firewall-ის დამუშავების ჯაჭვზე, რადგან, დიდი ალბათობით, უკვე გვექნება კონფიგურირებული უარყოფის სხვა წესები, რაც ხელს შეუშლის ჩვენს ახლად შექმნილ მუშაობას. პირველივე წესი Mikrotik-ში იწყება ნულიდან, მაგრამ ჩემს მოწყობილობაზე ნულს ეკავა ჩაშენებული წესი და მისი გადატანა შეუძლებელი იყო - გადავიყვანე 1-ზე. ამიტომ, ჩვენ ვუყურებთ ჩვენს პარამეტრებს - სად შეიძლება მისი გადატანა. და მიუთითეთ სასურველი ნომერი.

შემდეგი პარამეტრი:

/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

გადააგზავნის თვითნებურად შერჩეულ პორტს 33890 ჩვეულებრივ RDP პორტში 3389 და ჩვენ გვჭირდება კომპიუტერის ან ტერმინალის სერვერის IP-ს. ჩვენ ვქმნით ასეთ წესებს ყველა საჭირო შიდა რესურსისთვის, სასურველია არასტანდარტული (და განსხვავებული) გარე პორტების დაყენება. ბუნებრივია, შიდა რესურსების IP უნდა იყოს სტატიკური ან დაფიქსირებული DHCP სერვერზე.

ახლა ჩვენი Mikrotik არის კონფიგურირებული და ჩვენ გვჭირდება მარტივი პროცედურა მომხმარებლისთვის ჩვენს შიდა RDP-თან დასაკავშირებლად. ვინაიდან ჩვენ ძირითადად Windows-ის მომხმარებლები გვყავს, ჩვენ ვქმნით მარტივ bat ფაილს და ვუწოდებთ მას StartRDP.bat:

1.htm
1.rdp

შესაბამისად 1.htm შეიცავს შემდეგ კოდს:

<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">

ის შეიცავს ორ ბმულს წარმოსახვით სურათებზე, რომლებიც განთავსებულია my_router.sn.mynetname.net - ჩვენ ვიღებთ ამ მისამართს Mikrotik DDNS სისტემიდან ჩვენს Mikrotik-ში ჩართვის შემდეგ: გადადით IP-> Cloud მენიუში - შეამოწმეთ ჩამრთველი DDNS ჩართული, დააჭირეთ Apply და დააკოპირეთ ჩვენი როუტერის dns სახელი. მაგრამ ეს საჭიროა მხოლოდ მაშინ, როდესაც როუტერის გარე IP არის დინამიური ან გამოიყენება რამდენიმე ინტერნეტ პროვაიდერთან კონფიგურაცია.

პორტი პირველ ბმულზე: 19000 შეესაბამება პირველ პორტს, რომელზეც უნდა დააკაკუნოთ, მეორეში, შესაბამისად, მეორეზე. ბმულებს შორის არის მოკლე ინსტრუქცია, რომელიც გვიჩვენებს, თუ რა უნდა გავაკეთოთ, თუ უეცრად ჩვენი კავშირი გაწყდება ქსელის მოკლე პრობლემების გამო - ვაახლებთ გვერდს, RDP პორტი ხელახლა გვიხსნის 1 წუთით და ჩვენი სესია აღდგება. ასევე, img ტეგებს შორის ტექსტი ქმნის მიკროდაყოვნებას ბრაუზერისთვის, რაც ამცირებს პირველი პაკეტის მეორე პორტში (16000) მიტანის ალბათობას - ჯერჯერობით ასეთი შემთხვევები ორ კვირაში არ ყოფილა (30). ხალხი).

შემდეგ მოდის 1.rdp ფაილი, რომლის კონფიგურაცია შეგვიძლია ყველასთვის ან ცალ-ცალკე თითოეული მომხმარებლისთვის (მე ეს გავაკეთე - უფრო ადვილია დამატებითი 15 წუთის დახარჯვა, ვიდრე რამდენიმე საათის კონსულტაცია მათთან, ვინც ვერ გაარკვია)

screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomain

აქ საინტერესო პარამეტრებიდან არის multimon-ის გამოყენება: i: 1 - ეს მოიცავს მრავალი მონიტორის გამოყენებას - ზოგს ეს სჭირდება, მაგრამ თვითონ არ მოიფიქრებს მის ჩართვას.

კავშირის ტიპი: i: 6 და ქსელის ავტომატური ამოცნობა: i: 0 - რადგან ინტერნეტის უმეტესი ნაწილი 10 Mbps-ზე მეტია, შემდეგ ჩართეთ კავშირის ტიპი 6 (ლოკალური ქსელი 10 Mbps და ზემოთ) და გამორთეთ ქსელის ავტომატური ამოცნობა, რადგან თუ ნაგულისხმევად (ავტო) , მაშინ თუნდაც იშვიათი მცირე ქსელის შეყოვნება ავტომატურად აყენებს ჩვენს სესიას ნელ სიჩქარეზე დიდი ხნის განმავლობაში, რამაც შეიძლება გამოიწვიოს შესამჩნევი შეფერხებები მუშაობაში, განსაკუთრებით გრაფიკულ პროგრამებში.

გამორთეთ ფონი: i: 1 - გამორთეთ დესკტოპის სურათი
მომხმარებლის სახელი:s:myuserlogin - ჩვენ ვაზუსტებთ მომხმარებლის შესვლას, რადგან ჩვენი მომხმარებლების მნიშვნელოვანმა ნაწილმა არ იცის მათი შესვლა
domain:s:mydomain - მიუთითეთ დომენი ან კომპიუტერის სახელი

მაგრამ თუ გვინდა გავამარტივოთ კავშირის პროცედურის შექმნის დავალება, მაშინ ჩვენ ასევე შეგვიძლია გამოვიყენოთ PowerShell - StartRDP.ps1

Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890

ასევე ცოტა რამ RDP კლიენტის შესახებ Windows-ში: MS-მა გაიარა გრძელი გზა პროტოკოლის და მისი სერვერის და კლიენტის ნაწილების ოპტიმიზაციისთვის, დანერგა მრავალი სასარგებლო ფუნქცია - როგორიცაა 3D აპარატურასთან მუშაობა, თქვენი მონიტორის ეკრანის გარჩევადობის ოპტიმიზაცია, მრავალეკრანი, და ასე შემდეგ. მაგრამ, რა თქმა უნდა, ყველაფერი ხორციელდება უკანა თავსებადობის რეჟიმში, და თუ კლიენტი არის Windows 7, ხოლო დისტანციური კომპიუტერი არის Windows 10, მაშინ RDP იმუშავებს პროტოკოლის 7.0 ვერსიის გამოყენებით. მაგრამ უპირატესობა ის არის, რომ თქვენ შეგიძლიათ განაახლოთ RDP ვერსიები უფრო უახლესი ვერსიებით - მაგალითად, შეგიძლიათ განაახლოთ პროტოკოლის ვერსია 7.0-დან (Windows 7) 8.1-მდე. ამიტომ კლიენტების მოხერხებულობისთვის აუცილებელია სერვერის ნაწილის ვერსიების მაქსიმალურად გაზრდა, ასევე RDP პროტოკოლის კლიენტების ახალ ვერსიებზე გადასასვლელად ბმულების ჩამოგდება.

შედეგად, ჩვენ გვაქვს მარტივი და შედარებით უსაფრთხო ტექნოლოგია სამუშაო კომპიუტერთან ან ტერმინალის სერვერთან დისტანციური კავშირისთვის. მაგრამ უფრო უსაფრთხო კავშირისთვის, ჩვენი Port Knocking მეთოდი შეიძლება გართულდეს შეტევაზე რამდენიმე რიგის მასშტაბით, შესამოწმებლად პორტების დამატებით - შეგიძლიათ დაამატოთ 3,4,5,6 ... პორტი იმავე ლოგიკის მიხედვით. და ამ შემთხვევაში თქვენს ქსელში პირდაპირი შეჭრა თითქმის შეუძლებელი იქნება.

ცარიელი ფაილები RDP-თან დისტანციური კავშირის შესაქმნელად.

წყარო: www.habr.com