ការងារពីចម្ងាយនៅក្នុងការិយាល័យ។ RDP, Port Knocking, Mikrotik៖ សាមញ្ញ និងសុវត្ថិភាព

ដោយសារការរាតត្បាតនៃមេរោគ Covid-19 និងការដាក់ឱ្យនៅដាច់ពីគេក្នុងប្រទេសជាច្រើន មធ្យោបាយតែមួយគត់សម្រាប់ក្រុមហ៊ុនជាច្រើនក្នុងការបន្តការងារគឺការចូលទៅកាន់កន្លែងធ្វើការពីចម្ងាយតាមរយៈអ៊ីនធឺណិត។ មានវិធីសាស្រ្តសុវត្ថិភាពជាច្រើនសម្រាប់ការងារពីចម្ងាយ - ប៉ុន្តែដោយសារទំហំនៃបញ្ហា វិធីសាស្ត្រសាមញ្ញសម្រាប់អ្នកប្រើប្រាស់ណាម្នាក់ដើម្បីភ្ជាប់ទៅការិយាល័យពីចម្ងាយគឺចាំបាច់ ហើយដោយមិនចាំបាច់មានការកំណត់បន្ថែម ការពន្យល់ ការប្រឹក្សាដ៏ធុញទ្រាន់ និងការណែនាំដ៏វែងឆ្ងាយ។ វិធីសាស្រ្តនេះត្រូវបានស្រលាញ់ដោយអ្នកគ្រប់គ្រងជាច្រើន RDP (Remote Desktop Protocol) ។ ការតភ្ជាប់ដោយផ្ទាល់ទៅកន្លែងធ្វើការតាមរយៈ RDP ដោះស្រាយបញ្ហារបស់យើងតាមឧត្ដមគតិ លើកលែងតែការហោះហើរដ៏ធំមួយនៅក្នុងមួន - ការរក្សាច្រក RDP ឱ្យបើកចំហសម្រាប់អ៊ីនធឺណិតគឺមិនមានសុវត្ថិភាពខ្លាំង។ ដូច្នេះ ខាងក្រោម​នេះ​ខ្ញុំ​សូម​ណែនាំ​វិធីសាស្ត្រ​ការពារ​ដ៏​សាមញ្ញ ប៉ុន្តែ​អាច​ទុកចិត្ត​បាន​។

ដោយសារខ្ញុំឧស្សាហ៍ឆ្លងកាត់អង្គការតូចៗដែលឧបករណ៍ Mikrotik ត្រូវបានប្រើជាការចូលប្រើអ៊ីនធឺណិត ខាងក្រោមនេះវានឹងបង្ហាញពីរបៀបអនុវត្តវានៅលើ Mikrotik ប៉ុន្តែវិធីសាស្ត្រការពារ Port Knocking ត្រូវបានអនុវត្តយ៉ាងងាយស្រួលនៅលើឧបករណ៍ថ្នាក់ខ្ពស់ផ្សេងទៀតដែលមានការកំណត់រ៉ោតទ័របញ្ចូល និងជញ្ជាំងភ្លើងស្រដៀងគ្នា។ .

សង្ខេបអំពី Port Knocking. ការការពារខាងក្រៅដ៏ល្អនៃបណ្តាញដែលភ្ជាប់ទៅអ៊ីនធឺណិតគឺនៅពេលដែលធនធាន និងច្រកទាំងអស់ត្រូវបានបិទពីខាងក្រៅដោយជញ្ជាំងភ្លើង។ ហើយទោះបីជារ៉ោតទ័រដែលមានជញ្ជាំងភ្លើងដែលបានកំណត់រចនាសម្ព័ន្ធបែបនេះមិនមានប្រតិកម្មក្នុងមធ្យោបាយណាមួយចំពោះកញ្ចប់ព័ត៌មានដែលមកពីខាងក្រៅក៏ដោយ ក៏វាស្តាប់ពួកគេដែរ។ ដូច្នេះហើយ អ្នកអាចកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ ដូច្នេះនៅពេលដែលកញ្ចប់ព័ត៌មានបណ្តាញជាក់លាក់មួយត្រូវបានទទួលនៅលើច្រកផ្សេងៗគ្នា វា (រ៉ោតទ័រ) សម្រាប់ IP ដែលកញ្ចប់ព័ត៌មានបានមកពីការកាត់ផ្តាច់ការចូលប្រើប្រាស់ធនធានមួយចំនួន (ច្រក ពិធីការ។ ល។ )

ឥឡូវនេះទៅអាជីវកម្ម។ ខ្ញុំនឹងមិនធ្វើការពណ៌នាលម្អិតអំពីការកំណត់ជញ្ជាំងភ្លើងនៅលើ Mikrotik ទេ - អ៊ិនធឺណិតគឺពោរពេញទៅដោយប្រភពដែលមានគុណភាពខ្ពស់សម្រាប់រឿងនេះ។ តាមឧត្ដមគតិ ជញ្ជាំងភ្លើងរារាំងកញ្ចប់ព័ត៌មានចូលទាំងអស់ ប៉ុន្តែ

/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,related

អនុញ្ញាតឱ្យចរាចរចូលពីការតភ្ជាប់ដែលពាក់ព័ន្ធដែលបានបង្កើតឡើង។
ឥឡូវនេះយើងរៀបចំ Port Knocking នៅលើ Mikrotik៖

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

ឥឡូវនេះនៅក្នុងលម្អិតបន្ថែមទៀត:

ច្បាប់ពីរដំបូង

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules

ហាមឃាត់កញ្ចប់ព័ត៌មានចូលពីអាសយដ្ឋាន IP ដែលត្រូវបានដាក់ក្នុងបញ្ជីខ្មៅកំឡុងពេលស្កេនច្រក។

ច្បាប់ទីបី៖

add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules

បន្ថែម ip ទៅក្នុងបញ្ជីម៉ាស៊ីនដែលបានធ្វើឱ្យគោះដំបូងត្រឹមត្រូវនៅលើច្រកត្រឹមត្រូវ (19000);
ច្បាប់បួនបន្ទាប់គឺ៖

add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

បង្កើតច្រកអន្ទាក់សម្រាប់អ្នកដែលចង់ស្កេនច្រករបស់អ្នក ហើយប្រសិនបើការប៉ុនប៉ងបែបនេះត្រូវបានរកឃើញ បញ្ជីខ្មៅ ip របស់ពួកគេសម្រាប់រយៈពេល 60 នាទី ក្នុងអំឡុងពេលដែលច្បាប់ពីរដំបូងនឹងមិនផ្តល់ឱ្យម្ចាស់ផ្ទះបែបនេះនូវឱកាសដើម្បីគោះច្រកត្រឹមត្រូវនោះទេ។

ច្បាប់បន្ទាប់៖

add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

ដាក់ ​​ip នៅក្នុងបញ្ជីដែលបានអនុញ្ញាតរយៈពេល 1 នាទី (គ្រប់គ្រាន់ដើម្បីបង្កើតការតភ្ជាប់) ចាប់តាំងពីការគោះត្រឹមត្រូវទីពីរត្រូវបានធ្វើឡើងនៅលើច្រកដែលចង់បាន (16000);

ពាក្យបញ្ជាបន្ទាប់៖

move [/ip firewall filter find comment=RemoteRules] 1

ផ្លាស់ទីច្បាប់របស់យើងឡើងលើខ្សែសង្វាក់ដំណើរការជញ្ជាំងភ្លើង ដោយសារភាគច្រើនទំនងជាយើងនឹងមានច្បាប់បដិសេធផ្សេងគ្នាដែលបានកំណត់រចនាសម្ព័ន្ធរួចហើយ ដែលនឹងរារាំងអ្នកបង្កើតថ្មីរបស់យើងមិនដំណើរការ។ ច្បាប់ដំបូងបំផុតនៅក្នុង Mikrotik ចាប់ផ្តើមពីសូន្យ ប៉ុន្តែនៅលើឧបករណ៍របស់ខ្ញុំសូន្យត្រូវបានកាន់កាប់ដោយច្បាប់ដែលមានស្រាប់ ហើយវាមិនអាចទៅរួចទេក្នុងការផ្លាស់ទីវា - ខ្ញុំបានផ្លាស់ទីវាទៅលេខ 1។ ដូច្នេះហើយ យើងមើលការកំណត់របស់យើង - ដែលជាកន្លែងដែលអ្នកអាចផ្លាស់ទីវាបាន និងចង្អុលបង្ហាញលេខដែលចង់បាន។

ការកំណត់បន្ទាប់៖

/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

បញ្ជូនបន្តច្រក 33890 ដែលបានជ្រើសរើសតាមអំពើចិត្តទៅច្រក RDP ធម្មតា 3389 និង ip របស់កុំព្យូទ័រ ឬម៉ាស៊ីនមេស្ថានីយដែលយើងត្រូវការ។ យើងបង្កើតច្បាប់បែបនេះសម្រាប់ធនធានខាងក្នុងចាំបាច់ទាំងអស់ និយមកំណត់ច្រកខាងក្រៅដែលមិនស្តង់ដារ (និងខុសគ្នា)។ ជាធម្មតា IP នៃធនធានខាងក្នុងត្រូវតែឋិតិវន្ត ឬជួសជុលនៅលើម៉ាស៊ីនមេ DHCP ។

ឥឡូវនេះ Mikrotik របស់យើងត្រូវបានកំណត់រចនាសម្ព័ន្ធ ហើយយើងត្រូវការនីតិវិធីសាមញ្ញមួយសម្រាប់អ្នកប្រើប្រាស់ដើម្បីភ្ជាប់ទៅ RDP ខាងក្នុងរបស់យើង។ ដោយសារយើងមានអ្នកប្រើប្រាស់ Windows ជាចម្បង យើងបង្កើតឯកសារ bat សាមញ្ញមួយ ហើយដាក់ឈ្មោះវាថា StartRDP.bat៖

1.htm
1.rdp

រៀងគ្នា 1.htm មានកូដខាងក្រោម៖

<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">

វាមានតំណភ្ជាប់ពីរទៅរូបភាពស្រមើលស្រមៃដែលមានទីតាំងនៅ my_router.sn.mynetname.net - យើងយកអាសយដ្ឋាននេះពីប្រព័ន្ធ Mikrotik DDNS បន្ទាប់ពីបើកវានៅក្នុង Mikrotik របស់យើង៖ ចូលទៅកាន់ IP-> Cloud menu - ពិនិត្យប្រអប់ធីក DDNS Enabled ។ ចុច អនុវត្ត ហើយចម្លងឈ្មោះ dns នៃរ៉ោតទ័ររបស់យើង។ ប៉ុន្តែនេះគឺចាំបាច់តែនៅពេលដែល ip ខាងក្រៅរបស់រ៉ោតទ័រមានលក្ខណៈថាមវន្ត ឬការកំណត់រចនាសម្ព័ន្ធជាមួយអ្នកផ្តល់អ៊ីនធឺណិតជាច្រើនត្រូវបានប្រើប្រាស់។

ច្រកក្នុងតំណភ្ជាប់ទីមួយ៖ 19000 ត្រូវគ្នានឹងច្រកទីមួយដែលអ្នកត្រូវគោះទីពីរ រៀងគ្នាទៅទីពីរ។ រវាងតំណភ្ជាប់មានការណែនាំខ្លីៗដែលបង្ហាញពីអ្វីដែលត្រូវធ្វើប្រសិនបើភ្លាមៗការតភ្ជាប់របស់យើងត្រូវបានរំខានដោយសារបញ្ហាបណ្តាញខ្លី - យើងធ្វើឱ្យទំព័រឡើងវិញ ច្រក RDP បើកឡើងវិញសម្រាប់យើង 1 នាទី ហើយវគ្គរបស់យើងត្រូវបានស្ដារឡើងវិញ។ ដូចគ្នានេះផងដែរ អត្ថបទរវាងស្លាក img បង្កើតបានជា micro-delay សម្រាប់ browser ដែលកាត់បន្ថយលទ្ធភាពនៃកញ្ចប់ព័ត៌មានទីមួយដែលត្រូវបានបញ្ជូនទៅច្រកទីពីរ (16000) - រហូតមកដល់ពេលនេះមិនមានករណីបែបនេះទេក្នុងរយៈពេលពីរសប្តាហ៍នៃការប្រើប្រាស់ (30 មនុស្ស)។

បន្ទាប់មកឯកសារ 1.rdp ដែលយើងអាចកំណត់រចនាសម្ព័ន្ធមួយសម្រាប់ទាំងអស់គ្នា ឬដោយឡែកពីគ្នាសម្រាប់អ្នកប្រើប្រាស់ម្នាក់ៗ (ខ្ញុំបានធ្វើវា - វាងាយស្រួលជាងក្នុងការចំណាយពេល 15 នាទីបន្ថែម ជាងពីរបីម៉ោងដើម្បីពិគ្រោះជាមួយអ្នកដែលមិនអាចយល់បាន)

screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomain

នៃការកំណត់គួរឱ្យចាប់អារម្មណ៍នៅទីនេះគឺប្រើ multimon: i: 1 - នេះរួមបញ្ចូលទាំងការប្រើប្រាស់ម៉ូនីទ័រច្រើន - មួយចំនួនត្រូវការវា ប៉ុន្តែពួកគេផ្ទាល់នឹងមិនគិតពីការបើកវាទេ។

ប្រភេទការតភ្ជាប់៖ i: 6 និង networkautodetect: i: 0 - ដោយសារអ៊ីនធឺណេតភាគច្រើនលើសពី 10 Mbps បន្ទាប់មកបើកប្រភេទការតភ្ជាប់ 6 (បណ្តាញមូលដ្ឋាន 10 Mbps និងខ្ពស់ជាងនេះ) ហើយបិទ networkautodetect ព្រោះប្រសិនបើតាមលំនាំដើម (ស្វ័យប្រវត្តិ) បន្ទាប់មក សូម្បីតែភាពយឺតនៃបណ្តាញតូចមួយដ៏កម្រនឹងកំណត់វគ្គរបស់យើងដោយស្វ័យប្រវត្តិទៅជាល្បឿនយឺតក្នុងរយៈពេលយូរ ដែលអាចបង្កើតការពន្យារពេលគួរឱ្យកត់សម្គាល់ក្នុងការងារ ជាពិសេសនៅក្នុងកម្មវិធីក្រាហ្វិក។

បិទផ្ទាំងរូបភាព: i: 1 - បិទរូបភាពផ្ទៃតុ
username:s:myuserlogin - យើងបញ្ជាក់ការចូលរបស់អ្នកប្រើ ចាប់តាំងពីផ្នែកសំខាន់នៃអ្នកប្រើប្រាស់របស់យើងមិនស្គាល់ការចូលរបស់ពួកគេ
domain:s:mydomain - បញ្ជាក់ domain ឬឈ្មោះកុំព្យូទ័រ

ប៉ុន្តែ​ប្រសិន​បើ​យើង​ចង់​សម្រួល​កិច្ចការ​របស់​យើង​ក្នុង​ការ​បង្កើត​នីតិវិធី​នៃ​ការ​តភ្ជាប់ នោះ​យើង​ក៏​អាច​ប្រើ PowerShell - StartRDP.ps1

Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890

បន្តិចទៀតអំពីម៉ាស៊ីនភ្ញៀវ RDP នៅក្នុង Windows៖ MS បានមកដល់ផ្លូវដ៏វែងមួយក្នុងការបង្កើនប្រសិទ្ធភាពពិធីការ និងផ្នែកម៉ាស៊ីនមេ និងម៉ាស៊ីនភ្ញៀវរបស់វា បានអនុវត្តមុខងារមានប្រយោជន៍ជាច្រើន ដូចជាការធ្វើការជាមួយផ្នែករឹង 3D ការបង្កើនគុណភាពបង្ហាញអេក្រង់សម្រាប់ម៉ូនីទ័រ អេក្រង់ច្រើនរបស់អ្នក។ ល​ល។ ប៉ុន្តែជាការពិតណាស់ អ្វីគ្រប់យ៉ាងត្រូវបានអនុវត្តនៅក្នុងរបៀបភាពឆបគ្នាថយក្រោយ ហើយប្រសិនបើម៉ាស៊ីនភ្ញៀវគឺ Windows 7 ហើយកុំព្យូទ័រពីចម្ងាយគឺ Windows 10 នោះ RDP នឹងដំណើរការដោយប្រើពិធីការកំណែ 7.0 ។ ប៉ុន្តែអត្ថប្រយោជន៍គឺថាអ្នកអាចធ្វើបច្ចុប្បន្នភាពកំណែ RDP ទៅកំណែថ្មីៗបន្ថែមទៀត - ឧទាហរណ៍អ្នកអាចដំឡើងកំណែពិធីការពី 7.0 (Windows 7) ទៅ 8.1 ។ ដូច្នេះ ដើម្បីភាពងាយស្រួលរបស់អតិថិជន វាចាំបាច់ក្នុងការបង្កើនកំណែនៃផ្នែកម៉ាស៊ីនមេឱ្យបានច្រើនតាមដែលអាចធ្វើទៅបាន ក៏ដូចជាតំណទម្លាក់ដើម្បីដំឡើងកំណែទៅកំណែថ្មីរបស់អតិថិជនពិធីការ RDP ។

ជាលទ្ធផល យើងមានបច្ចេកវិទ្យាសាមញ្ញ និងមានសុវត្ថិភាពសម្រាប់ការតភ្ជាប់ពីចម្ងាយទៅកាន់កុំព្យូទ័រដែលកំពុងដំណើរការ ឬម៉ាស៊ីនមេស្ថានីយ។ ប៉ុន្តែសម្រាប់ការតភ្ជាប់ដែលមានសុវត្ថិភាពជាងមុន វិធីសាស្ត្រ Port Knocking របស់យើងអាចកាន់តែពិបាកវាយប្រហារដោយការបញ្ជាទិញច្រើនដង ដោយបន្ថែមច្រកដើម្បីពិនិត្យមើល - អ្នកអាចបន្ថែម 3,4,5,6 ... ច្រកមួយយោងទៅតាមតក្កវិជ្ជាដូចគ្នា ហើយក្នុងករណីនេះ ការជ្រៀតចូលដោយផ្ទាល់ទៅក្នុងបណ្តាញរបស់អ្នកនឹងស្ទើរតែមិនអាចទៅរួចទេ។

ឯកសារទទេសម្រាប់បង្កើតការតភ្ជាប់ពីចម្ងាយទៅ RDP.

ប្រភព: www.habr.com