Wéinst der Covid-19 Virus Pandemie an allgemeng Quarantän a ville Länner, ass deen eenzege Wee fir vill Firmen weider ze schaffen, de Fernzougang op Aarbechtsplazen iwwer den Internet. Et gi vill relativ sécher Methode fir Fernaarbecht - awer no der Skala vum Problem ass eng einfach Method fir all Benotzer fir op de Büro ze verbannen an ouni zousätzlech Astellungen, Erklärungen, langweileg Konsultatiounen a laang Instruktiounen. Dës Method ass beléift vu villen Admins RDP (Remote Desktop Protocol). Direkt op d'Aarbechtsplaz iwwer RDP verbannen léist idealerweis eise Problem, ausser enger grousser Méck an der Sallef - den RDP Hafen oppen fir den Internet ze halen ass ganz onsécher. Dofir, hei ënnen proposéieren ech eng einfach awer zouverlässeg Schutzmethod.
Well ech dacks op kleng Organisatiounen kommen, wou Mikrotik-Geräter als Internetzougang benotzt ginn, gëtt et hei ënnen gewisen, wéi een dat op Mikrotik ëmsetzt, awer d'Port Knocking-Schutzmethod ass einfach op aner méi héije Geräter mat ähnlechen Input Router Astellungen a Firewall implementéiert. .
Kuerz iwwer Port Knocking. Den idealen externe Schutz vun engem Netzwierk, deen mam Internet verbonnen ass, ass wann all Ressourcen a Ports vu baussen duerch eng Firewall zougemaach ginn. An och wann e Router mat esou enger konfiguréierter Firewall op kee Fall op Pakete reagéiert, déi vu baussen kommen, lauschtert se no. Dofir kënnt Dir de Router konfiguréieren sou datt wann eng gewësse (Code) Sequenz vun Netzwierkpakete op verschiddene Ports kritt gëtt, et (de Router) fir d'IP vu wou d'Päckchen hierkommen den Zougang zu bestëmmte Ressourcen ofschneiden (Ports, Protokoller, etc.).
Elo zum Geschäft. Ech wäert keng detailléiert Beschreiwung vun de Firewall Astellungen op Mikrotik maachen - den Internet ass voller héichqualitativ Quellen dofir. Idealerweis blockéiert d'Firewall all erakommen Pakete, awer
/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,relatedErlaabt Entréeën Traffic aus etabléierten, verbonne Verbindungen.
Elo setzen mir Port Knocking op Mikrotik op:
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389Elo méi am Detail:
éischt zwou Regelen
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRulesverbidden erakommen Pakete vun IP Adressen, déi während dem Port Scannen op der schwaarzer Lëscht sinn;
Drëtt Regel:
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
füügt ip un d'Lëscht vun den Hosten, déi de richtegen éischte Klop op de richtege Port gemaach hunn (19000);
Déi nächst véier Regele sinn:
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRuleserstellt Trap Ports fir déi, déi Är Ports scannen wëllen, a wann esou Versuche festgestallt ginn, schwarzlëscht hir IP fir 60 Minutten, während deenen déi éischt zwou Regelen esou Hosten net d'Méiglechkeet ginn op déi richteg Ports ze klappen;
Nächst Regel:
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRulessetzt IP an der erlaabt Lëscht fir 1 Minutt (genuch fir eng Verbindung ze etabléieren), well déi zweet richteg Klapp op de gewënschten Hafen gemaach gouf (16000);
Nächste Kommando:
move [/ip firewall filter find comment=RemoteRules] 1bewegt eis Reegelen an d'Firewall-Veraarbechtungskette, well mir wahrscheinlech scho verschidde Reegelen konfiguréiert hunn, déi verhënnere datt eis nei erstallt funktionnéieren. Déi alleréischt Regel am Mikrotik fänkt vun Null un, awer op mengem Apparat gouf Null vun enger agebauter Regel besat an et war onméiglech ze réckelen - ech hunn et op 1 geplënnert. Dofir kucke mir eis Astellungen - wou Dir se réckelen kënnt an uginn déi gewënscht Zuel.
Nächst Astellung:
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389schéckt en arbiträr ausgewielten Hafen 33890 op den üblechen RDP Hafen 3389 an d'IP vum Computer oder Terminal Server dee mir brauchen. Mir schafen esou Regele fir all néideg intern Ressourcen, Preferenz Formatioun Net-Standard (a verschidde) extern Häfen. Natierlech muss d'IP vun internen Ressourcen entweder statesch sinn oder um DHCP Server fixéiert sinn.
Elo ass eise Mikrotik konfiguréiert a mir brauchen eng einfach Prozedur fir de Benotzer mat eisem internen RDP ze verbannen. Well mir haaptsächlech Windows Benotzer hunn, erstellen mir eng einfach Fliedermausdatei an nennen se StartRDP.bat:
1.htm
1.rdprespektiv 1.htm enthält de folgende Code:
<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">et enthält zwee Linken op imaginär Biller déi op my_router.sn.mynetname.net sinn - mir huelen dës Adress vum Mikrotik DDNS System nodeems se se an eisem Mikrotik aktivéiert hunn: gitt op den IP-> Cloud Menu - kontrolléiert d'DDNS Enabled Checkbox, klickt gëllen a kopéiert den dns Numm vun eisem Router. Awer dëst ass nëmmen néideg wann déi extern IP vum Router dynamesch ass oder eng Konfiguratioun mat e puer Internet Ubidder benotzt gëtt.
Den Hafen am éischte Link: 19000 entsprécht dem éischten Hafen op deem Dir musst klappen, an der zweeter respektiv dem zweeten. Tëscht de Linken gëtt et eng kuerz Instruktioun déi weist wat ze maachen wann op eemol eis Verbindung wéinst kuerzen Netzwierkproblemer ënnerbrach gëtt - mir erfrëschen d'Säit, de RDP-Port mécht fir eis 1 Minutt erëm op an eis Sessioun ass restauréiert. Och den Text tëscht den img-Tags bildt e Mikro-Verzögerung fir de Browser, wat d'Wahrscheinlechkeet reduzéiert datt den éischte Paket an den zweeten Hafen (16000) geliwwert gëtt - bis elo goufen et keng esou Fäll an zwou Woche vum Gebrauch (30 Leit).
Als nächst kënnt d'1.rdp Datei, déi mir eng fir all oder separat fir all Benotzer konfiguréieren (ech hunn dat gemaach - et ass méi einfach eng extra 15 Minutten ze verbréngen wéi e puer Stonnen fir déi ze konsultéieren déi et net erausfannen)
screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomainvun den interessanten Astellungen hei ass d'Benotzung vu Multimon: i: 1 - dëst beinhalt d'Benotzung vu multiple Monitore - e puer brauchen dat, awer si selwer denken net drun ze maachen.
Verbindungstyp: i: 6 an Networkautodetect: i: 0 - well d'Majoritéit vum Internet iwwer 10 Mbps ass, da schalt d'Verbindungstyp 6 un (lokalt Netzwierk 10 Mbps a méi héich) a schalt Networkautodetect aus, well wann Standard (Auto) , da setzt souguer eng rar kleng Netzlatenz automatesch eis Sessioun op eng lues Geschwindegkeet fir eng laang Zäit, wat merkbar Verspéidungen an der Aarbecht erstellen kann, besonnesch a Grafikprogrammer.
auszeschalten Tapeten: ech: 1 - desaktivéiere vum Desktop Bild
Benotzernumm:s:myuserlogin - mir spezifizéieren de Benotzer Login, well e groussen Deel vun eise Benotzer net kennen hire Login
Domain:s:mydomain - spezifizéiert den Domain oder den Computernumm
Awer wa mir eis Aufgab vereinfachen fir eng Verbindungsprozedur ze kreéieren, da kënne mir och PowerShell benotzen - StartRDP.ps1
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890Och e bëssen iwwer de RDP Client a Windows: MS ass e laange Wee komm fir de Protokoll a seng Server- a Clientdeeler ze optimiséieren, huet vill nëtzlech Features implementéiert - wéi z. a sou weider. Awer natierlech ass alles am Réckkompatibilitéitsmodus implementéiert, a wann de Client Windows 3 ass, an de Remote PC ass Windows 7, da funktionnéiert RDP mat Protokollversioun 10. Awer de Virdeel ass datt Dir RDP Versiounen op méi rezent Versioune aktualiséieren - zum Beispill kënnt Dir d'Protokollversioun vun 7.0 (Windows 7.0) op 7 upgrade. Dofir, fir d'Bequemlechkeet vun de Clienten, ass et néideg d'Versioune vum Serverdeel sou vill wéi méiglech ze erhéijen, souwéi Linken erofzesetzen fir op nei Versioune vu RDP Protokoll Clienten ze upgrade.
Als Resultat hu mir eng einfach a relativ sécher Technologie fir Fernverbindung mat engem funktionnéierende PC oder Terminal Server. Awer fir eng méi sécher Verbindung kann eis Port Knocking Method méi schwéier gemaach ginn fir duerch e puer Uerderen vun der Gréisst ze attackéieren, andeems Dir Ports bäidréit fir ze kontrolléieren - Dir kënnt 3,4,5,6 ... en Hafen no der selwechter Logik addéieren , an an dësem Fall wäert en direkten Abroch an Ärem Netz bal onméiglech sinn.
.
Source: will.com