사무실에서 원격 작업. RDP, Port Knocking, Mikrotik: 간단하고 안전함

코로나19 바이러스 대유행과 많은 국가의 일반 검역으로 인해 많은 기업이 계속 작업할 수 있는 유일한 방법은 인터넷을 통한 작업장 원격 액세스입니다. 비교적 안전한 원격 근무 방법이 많이 있지만 문제의 규모를 감안할 때 추가 설정, 설명, 지루한 상담 및 긴 지침 없이 모든 사용자가 원격으로 사무실에 연결할 수 있는 간단한 방법이 필요합니다. 이 방법은 많은 관리자 RDP(원격 데스크톱 프로토콜)에 의해 사랑받고 있습니다. RDP를 통해 작업장에 직접 연결하면 문제가 이상적으로 해결됩니다. 단, 연고에 큰 파리가 하나 있는 경우는 예외입니다. 인터넷을 위해 RDP 포트를 열어 두는 것은 매우 안전하지 않습니다. 따라서 아래에서 간단하지만 신뢰할 수 있는 보호 방법을 제안합니다.

Mikrotik 장치를 인터넷 액세스로 사용하는 소규모 조직을 자주 만나기 때문에 Mikrotik에서 이를 구현하는 방법을 아래에 표시하지만 Port Knocking 보호 방법은 유사한 입력 라우터 설정 및 방화벽을 가진 다른 상위 장치에서 쉽게 구현됩니다. .

포트 노킹에 대해 간단히. 인터넷에 연결된 네트워크의 이상적인 외부 보호는 모든 리소스와 포트가 방화벽에 의해 외부에서 닫히는 것입니다. 그리고 이렇게 구성된 방화벽이 있는 라우터는 외부에서 오는 패킷에 어떤 식으로든 반응하지 않지만 패킷을 수신합니다. 따라서 특정(코드) 네트워크 패킷 시퀀스가 ​​다른 포트에서 수신될 때 패킷이 온 IP에 대한 라우터(라우터)가 특정 리소스(포트, 프로토콜, 등.).

이제 사업을 시작합니다. Mikrotik의 방화벽 설정에 대한 자세한 설명은 하지 않겠습니다. 인터넷에는 이에 대한 고품질 소스가 가득합니다. 이상적으로는 방화벽이 들어오는 모든 패킷을 차단하지만

/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,related

설정된 관련 연결에서 들어오는 트래픽을 허용합니다.
이제 Mikrotik에서 포트 노킹을 설정합니다.

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

이제 더 :

처음 두 규칙

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules

포트 스캔 중에 블랙리스트에 오른 IP 주소에서 들어오는 패킷을 금지합니다.

세 번째 규칙:

add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules

올바른 포트(19000)에서 올바른 첫 번째 노크를 한 호스트 목록에 ip를 추가합니다.
다음 네 가지 규칙은 다음과 같습니다.

add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

포트를 스캔하려는 사람들을 위해 트랩 포트를 만들고 그러한 시도가 감지되면 60분 동안 그들의 IP를 블랙리스트에 추가합니다. 이 동안 처음 두 규칙은 그러한 호스트가 올바른 포트를 노크할 기회를 제공하지 않습니다

다음 규칙:

add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

원하는 포트(1)에서 두 번째 올바른 노크가 이루어졌으므로 16000분 동안 허용 목록에 ip를 넣습니다(연결을 설정하기에 충분함).

다음 명령:

move [/ip firewall filter find comment=RemoteRules] 1

새로 만든 규칙이 작동하지 않도록 이미 구성된 다른 거부 규칙이 있을 가능성이 높기 때문에 규칙을 방화벽 처리 체인 위로 이동합니다. Mikrotik의 첫 번째 규칙은 1에서 시작하지만 내 장치에서는 기본 제공 규칙이 XNUMX을 차지했고 이동할 수 없었습니다. XNUMX로 옮겼습니다. 따라서 설정을 살펴보고 이동할 수 있습니다. 원하는 번호를 표시하십시오.

다음 설정:

/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

임의로 선택한 포트 33890을 일반적인 RDP 포트 3389와 필요한 컴퓨터 또는 터미널 서버의 IP로 전달합니다. 필요한 모든 내부 리소스에 대해 이러한 규칙을 만들고 비표준(및 다른) 외부 포트를 설정하는 것이 좋습니다. 당연히 내부 리소스의 IP는 정적이거나 DHCP 서버에 고정되어 있어야 합니다.

이제 Mikrotik이 구성되었으며 사용자가 내부 RDP에 연결하는 간단한 절차가 필요합니다. 주로 Windows 사용자가 있으므로 간단한 bat 파일을 만들고 이름을 StartRDP.bat로 지정합니다.

1.htm
1.rdp

각각 1.htm에는 다음 코드가 포함되어 있습니다.

<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">

여기에는 my_router.sn.mynetname.net에 있는 가상 사진에 대한 두 개의 링크가 포함되어 있습니다. Mikrotik에서 이 주소를 활성화한 후 Mikrotik DDNS 시스템에서 이 주소를 가져옵니다. IP-> 클라우드 메뉴로 이동하여 DDNS 활성화 확인란을 선택합니다. 적용을 클릭하고 라우터의 DNS 이름을 복사합니다. 그러나 이는 라우터의 외부 IP가 동적이거나 여러 인터넷 제공업체의 구성을 사용하는 경우에만 필요합니다.

첫 번째 링크의 포트: 19000은 노크해야 하는 첫 번째 포트에 해당하고 두 번째 포트는 각각 두 번째 포트에 해당합니다. 링크 사이에는 짧은 네트워크 문제로 인해 연결이 갑자기 중단되는 경우 수행할 작업을 보여주는 간단한 지침이 있습니다. 페이지를 새로 고치면 RDP 포트가 1분 동안 다시 열리고 세션이 복원됩니다. 또한 img 태그 사이의 텍스트는 브라우저에 대한 마이크로 지연을 형성하여 첫 번째 패킷이 두 번째 포트(16000)로 전달될 가능성을 줄입니다. 사람들).

다음은 1.rdp 파일입니다. 이 파일은 전체 또는 각 사용자에 대해 개별적으로 구성할 수 있습니다.

screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomain

여기서 흥미로운 설정은 use multimon: i: 1 - 여기에는 다중 모니터 사용이 포함됩니다.

연결 유형: i: 6 및 networkautodetect: i: 0 - 대부분의 인터넷이 10Mbps 이상이므로 연결 유형 6(로컬 네트워크 10Mbps 이상)을 켜고 networkautodetect를 끕니다. , 드문 작은 네트워크 대기 시간조차도 자동으로 세션을 오랜 시간 동안 느린 속도로 설정하여 특히 그래픽 프로그램에서 눈에 띄는 작업 지연을 유발할 수 있습니다.

바탕 화면 비활성화: i: 1 - 바탕 화면 사진 비활성화
username:s:myuserlogin - 사용자의 상당 부분이 자신의 로그인을 모르기 때문에 사용자 로그인을 지정합니다.
domain:s:mydomain - 도메인 또는 컴퓨터 이름 지정

그러나 연결 절차를 만드는 작업을 단순화하려면 PowerShell - StartRDP.ps1을 사용할 수도 있습니다.

Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890

또한 Windows의 RDP 클라이언트에 대해 약간: MS는 프로토콜과 해당 서버 및 클라이언트 부분을 최적화하는 데 먼 길을 왔으며 하드웨어 3D 작업, 모니터의 화면 해상도 최적화, 멀티스크린, 등등. 그러나 물론 모든 것은 이전 버전과의 호환성 모드로 구현되며 클라이언트가 Windows 7이고 원격 PC가 Windows 10이면 RDP는 프로토콜 버전 7.0을 사용하여 작동합니다. 그러나 이점은 RDP 버전을 최신 버전으로 업데이트할 수 있다는 것입니다. 예를 들어 프로토콜 버전을 7.0(Windows 7)에서 8.1로 업그레이드할 수 있습니다. 따라서 클라이언트의 편의를 위해 서버 부분의 버전을 최대한 늘리고 새로운 버전의 RDP 프로토콜 클라이언트로 업그레이드하기 위한 링크를 드롭해야 합니다.

결과적으로 작동 중인 PC 또는 터미널 서버에 원격으로 연결하기 위한 간단하고 비교적 안전한 기술을 보유하고 있습니다. 그러나 보다 안전한 연결을 위해 우리의 포트 노킹 방법은 확인할 포트를 추가하여 몇 배나 더 공격하기 어렵게 만들 수 있습니다. 동일한 논리에 따라 포트를 3,4,5,6 ... 추가할 수 있습니다. 이 경우 네트워크에 직접 침입하는 것은 거의 불가능합니다.

RDP에 대한 원격 연결을 만들기 위한 빈 파일.

출처 : habr.com