ProHoster > Blog > башкаруу > Офисте алыстан иштөө. RDP, Port Knocking, Mikrotik: жөнөкөй жана коопсуз

Офисте алыстан иштөө. RDP, Port Knocking, Mikrotik: жөнөкөй жана коопсуз

Ковид-19 вирусунун пандемиясынан жана көптөгөн өлкөлөрдө жалпы карантинден улам, көптөгөн компаниялардын ишин улантуунун бирден-бир жолу интернет аркылуу жумуш орундарына алыстан кирүү болуп саналат. Алыскы иштөө үчүн салыштырмалуу коопсуз ыкмалар көп - бирок маселенин масштабын эске алганда, ар бир колдонуучуга офиске алыстан туташуу үчүн жөнөкөй ыкма зарыл жана кошумча орнотууларды, түшүндүрмөлөрдү, тажатма консультацияларды жана узак нускамаларды талап кылбастан. Бул ыкма көптөгөн администраторлор RDP (Remote Desktop Protocol) тарабынан жакшы көрүлгөн. RDP аркылуу жумуш ордуна түз туташуу биздин көйгөйдү эң сонун чечет, бир чоң чымындан башкасы - RDP портун Интернет үчүн ачык кармоо абдан кооптуу. Ошондуктан, төмөндө мен коргоонун жөнөкөй, бирок ишенимдүү ыкмасын сунуштайм.Офисте алыстан иштөө. RDP, Port Knocking, Mikrotik: жөнөкөй жана коопсуз

Мен микротик шаймандары Интернетке кирүү катары колдонулган чакан уюмдарды көп жолуктургандыктан, төмөндө аны Микротикте кантип ишке ашыруу керектиги көрсөтүлөт, бирок Port Knocking коргоо ыкмасы окшош киргизүү роутер орнотуулары жана брандмауэр менен башка жогорку класстагы түзмөктөрдө оңой ишке ашырылат. .

Port Knocking жөнүндө кыскача. Интернетке туташкан тармактын идеалдуу тышкы коргоосу бардык ресурстар жана порттор сырттан брандмауэр менен жабылганда болот. Жана ушундай конфигурацияланган брандмауэри бар роутер сырттан келген пакеттерге эч кандай реакция кылбаса да, аларды угат. Ошондуктан, сиз роутерди конфигурациялай аласыз, ошондой эле тармак пакеттеринин белгилүү (коддук) ырааттуулугу ар кандай порттордо кабыл алынганда, ал (роутер) IP үчүн пакеттер келген жерден белгилүү бир ресурстарга (порттор, протоколдор, жана башкалар.).

Эми бизнеске. Мен Микротиктеги брандмауэр жөндөөлөрүн кеңири сүрөттөп бербейм - Интернет бул үчүн жогорку сапаттагы булактарга толгон. Идеалында, брандмауэр бардык келген пакеттерди бөгөттөйт, бирок 

/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,related

Түзүлгөн, байланышкан байланыштардан келген трафикке уруксат берет.
Эми биз Микротикке Port Knocking орноттук:

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

Азыр кененирээк:

биринчи эки эреже 

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules

порт сканерлөө учурунда кара тизмеге кирген IP даректерден келген пакеттерге тыюу салуу;

Үчүнчү эреже:

add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules

туура портту туура биринчи такылдаткан хосттордун тизмесине ip кошот (19000);
Кийинки төрт эреже болуп саналат:

add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

портторуңузду сканерлөөнү каалагандар үчүн тузак портторун түзүңүз, эгерде мындай аракеттер аныкталса, алардын IP 60 мүнөткө кара тизмеге киргизиңиз, анын жүрүшүндө биринчи эки эреже мындай хостторго туура портторду тыкылдатуу мүмкүнчүлүгүн бербейт;

Кийинки эреже:

add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

IPди уруксат берилген тизмеге 1 мүнөткө коёт (байланыш түзүү үчүн жетиштүү), анткени экинчи туура тыкылдатуу каалаган портто жасалган (16000);

Кийинки буйрук:

move [/ip firewall filter find comment=RemoteRules] 1

эрежелерибизди брандмауэрди иштетүү чынжырына чейин жылдырат, анткени бизде жаңы түзүлгөндөрдүн иштешине тоскоол боло турган конфигурацияланган башка баш тартуу эрежелери болушу мүмкүн. Микротиктеги эң биринчи эреже нөлдөн башталат, бирок менин түзмөгүмдө нөлдү орнотулган эреже ээлеген жана аны жылдыруу мүмкүн эмес болчу - мен аны 1ге жылдырдым. Ошондуктан, биз орнотууларыбызды карайбыз - аны кайда жылдырсаңыз болот жана каалаган санды көрсөтүңүз.

Кийинки жөндөө:

/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

ыктыярдуу түрдө тандалган 33890 портун кадимки RDP портуна 3389 жана компьютердин же терминалдык сервердин бизге керектүү IP дарегине багыттайт. Биз бардык зарыл болгон ички ресурстар үчүн ушундай эрежелерди түзөбүз, эң жакшысы стандарттуу эмес (жана башка) тышкы портторду орнотуу. Албетте, ички ресурстардын IP же DHCP серверинде статикалык же туруктуу болушу керек.

Эми биздин Mikrotik конфигурацияланды жана колдонуучуга ички RDP'ге туташуу үчүн жөнөкөй процедура керек. Бизде негизинен Windows колдонуучулары болгондуктан, биз жөнөкөй жарганат файлын түзүп, аны StartRDP.bat деп атайбыз:

1.htm
1.rdp

1.htm төмөнкү кодду камтыйт:

<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">

ал my_router.sn.mynetname.net дарегинде жайгашкан элестүү сүрөттөргө эки шилтемени камтыйт - биз бул даректи Mikrotik DDNS тутумунан Микротикте иштеткенден кийин алабыз: IP-> Cloud менюсуна өтүңүз - DDNS иштетилген белги кутучасын белгилеңиз, Колдонууну чыкылдатыңыз жана роутерибиздин dns атын көчүрүңүз. Бирок бул роутердин тышкы IP динамикалык болгондо же бир нече интернет провайдерлери менен конфигурация колдонулганда гана керек.

Биринчи шилтемедеги порт: 19000 биринчи портко туура келет, ал эми экинчисинде, экинчисинде, тыкылдатуу керек. Шилтемелердин ортосунда кыска тармактагы көйгөйлөрдөн улам капыстан байланышыбыз үзүлүп калса, эмне кылуу керек экенин көрсөткөн кыска нускама бар - биз баракты жаңыртабыз, RDP порту биз үчүн 1 мүнөткө кайра ачылат жана сессиябыз калыбына келтирилет. Ошондой эле, img тегтеринин ортосундагы текст браузер үчүн микро-кечигүүнү түзөт, бул биринчи пакеттин экинчи портко (16000) жеткирилиши ыктымалдыгын азайтат - азырынча эки жумалык колдонууда мындай учурлар болгон эмес (30 адамдар).

Андан кийин 1.rdp файлы келет, аны биз бардыгы үчүн же ар бир колдонуучу үчүн өзүнчө конфигурациялай алабыз (мен муну жасадым - түшүнө албагандар менен кеңешкенге караганда бир нече сааттан ашыкча 15 мүнөт коротуу оңой) 

screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomain

Бул жердеги кызыктуу орнотуулардын ичинен multimon колдонуу болуп саналат: i: 1 - бул бир нече мониторлорду колдонууну камтыйт - айрымдарына бул керек, бирок алар өздөрү аны күйгүзүүнү ойлошпойт.

туташуу түрү: i: 6 жана networkautodetect: i: 0 - Интернеттин көпчүлүгү 10 Мбит / с жогору болгондуктан, туташуу 6 түрүн (локалдык тармак 10 Мбит / с жана андан жогору) күйгүзүңүз жана тармакты автоматтык аныктоону өчүрүңүз, анткени демейки боюнча (авто) , анда сейрек кездешүүчү кичинекей тармактык кечигүү да биздин сеансты узак убакытка жай ылдамдыкка орнотот, бул жумушта, айрыкча графикалык программаларда байкаларлык кечиктирүүлөрдү жаратышы мүмкүн.

обои өчүрүү: i: 1 - рабочий сүрөттү өчүрүү
username:s:myuserlogin - биз колдонуучунун логинди көрсөтөбүз, анткени биздин колдонуучулардын олуттуу бөлүгү логинди билишпейт.
domain:s:mydomain - доменди же компьютердин атын көрсөтүңүз

Бирок биз туташуу жол-жобосун түзүү милдетибизди жөнөкөйлөтүүнү кааласак, анда PowerShell - StartRDP.ps1 колдонсок болот.

Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890

Ошондой эле Windows'тагы RDP кардары жөнүндө бир аз: MS протоколду жана анын серверин жана кардар бөлүктөрүн оптималдаштырууда узак жолду басып өттү, көптөгөн пайдалуу функцияларды ишке ашырды - 3D аппараттык каражаттары менен иштөө, мониторуңуз үчүн экрандын резолюциясын оптималдаштыруу, көп экран, жана башка. Бирок, албетте, баары артка шайкештик режиминде ишке ашырылат, эгерде кардар Windows 7 болсо, ал эми алыскы компьютер Windows 10 болсо, RDP протоколдун 7.0 версиясын колдонуу менен иштейт. Бирок пайдасы RDP версияларын акыркы версияларга жаңырта аласыз - мисалы, протоколдун версиясын 7.0 (Windows 7) дан 8.1ге чейин жаңырта аласыз. Ошондуктан, кардарлардын ыңгайлуулугу үчүн сервер бөлүгүнүн версияларын мүмкүн болушунча көбөйтүү, ошондой эле RDP протоколунун кардарларынын жаңы версияларына жаңыртуу үчүн шилтемелерди таштоо зарыл.

Натыйжада, бизде иштеген компьютерге же терминалдык серверге алыстан туташуу үчүн жөнөкөй жана салыштырмалуу коопсуз технология бар. Бирок коопсуз туташуу үчүн, биздин Port Knocking ыкмасын текшерүү үчүн портторду кошуу менен бир нече даражадагы чабуул коюу кыйындашы мүмкүн - сиз ошол эле логикага ылайык 3,4,5,6 ... порт кошо аласыз. , жана бул учурда тармагыңызга түздөн-түз кирүү дээрлик мүмкүн болбой калат.

RDP менен алыскы байланышты түзүү үчүн бош файлдар.

Source: www.habr.com

Комментарий кошуу