Covid-19 vÄ«rusa pandÄmijas un vispÄrÄjÄs karantÄ«nas dÄļ daudzÄs valstÄ«s daudziem uzÅÄmumiem vienÄ«gais veids, kÄ turpinÄt darbu, ir attÄlinÄta piekļuve darba vietÄm, izmantojot internetu. Ir daudz salÄ«dzinoÅ”i droÅ”u metožu attÄlinÄtam darbam ā taÄu, Åemot vÄrÄ problÄmas mÄrogu, jebkuram lietotÄjam ir nepiecieÅ”ama vienkÄrÅ”a metode, kÄ attÄlinÄti izveidot savienojumu ar biroju un bez papildu iestatÄ«jumiem, skaidrojumiem, nogurdinoÅ”Äm konsultÄcijÄm un garÄm instrukcijÄm. Å o metodi iemīļojuÅ”i daudzi administratori RDP (attÄlÄs darbvirsmas protokols). TieÅ”Ä savienojuma izveide ar darba vietu caur RDP ideÄli atrisina mÅ«su problÄmu, izÅemot vienu lielu muÅ”u - turÄt atvÄrtu RDP portu internetam ir ļoti nedroÅ”i. TÄpÄc zemÄk es piedÄvÄju vienkÄrÅ”u, bet uzticamu aizsardzÄ«bas metodi.
TÄ kÄ man bieži nÄkas saskarties ar nelielÄm organizÄcijÄm, kurÄs Mikrotik ierÄ«ces tiek izmantotas kÄ interneta piekļuve, tad zemÄk bÅ«s parÄdÄ«ts, kÄ to ieviest MikrotikÄ, bet Port Knocking aizsardzÄ«bas metode ir viegli iestrÄdÄjama citÄs augstÄkas klases ierÄ«cÄs ar lÄ«dzÄ«giem ievades marÅ”rutÄtÄja iestatÄ«jumiem un ugunsmÅ«ri. .
ÄŖsumÄ par Port Knocking. IdeÄla ar internetu savienota tÄ«kla ÄrÄjÄ aizsardzÄ«ba ir tad, ja visus resursus un portus no Ärpuses aizver ugunsmÅ«ris. Un, lai gan marÅ”rutÄtÄjs ar Å”Ädu konfigurÄtu ugunsmÅ«ri nekÄdÄ veidÄ nereaÄ£Ä uz paketÄm, kas nÄk no Ärpuses, tas klausÄs tÄs. TÄpÄc jÅ«s varat konfigurÄt marÅ”rutÄtÄju tÄ, lai tad, kad dažÄdos portos tiek saÅemta noteikta (koda) tÄ«kla pakeÅ”u secÄ«ba, tas (marÅ”rutÄtÄjs) IP, no kuras tika saÅemtas paketes, pÄrtrauc piekļuvi noteiktiem resursiem (portiem, protokoliem, utt.).
Tagad uz biznesu. Es nesniegÅ”u detalizÄtu Mikrotik ugunsmÅ«ra iestatÄ«jumu aprakstu - internets ir pilns ar augstas kvalitÄtes avotiem. IdeÄlÄ gadÄ«jumÄ ugunsmÅ«ris bloÄ·Ä visas ienÄkoÅ”Äs paketes, bet
/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,related
Ä»auj ienÄkoÅ”o trafiku no izveidotiem, saistÄ«tiem savienojumiem.
Tagad Mikrotik iestatÄ«jÄm Port Knocking:
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389
Tagad sÄ«kÄk:
pirmie divi noteikumi
/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
aizliegt ienÄkoÅ”Äs paketes no IP adresÄm, kas portu skenÄÅ”anas laikÄ ir iekļautas melnajÄ sarakstÄ;
TreŔais noteikums:
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
pievieno ip to resursdatoru sarakstam, kas veica pareizo pirmo pieskÄrienu pareizajam portam (19000);
NÄkamie Äetri noteikumi ir:
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
izveidojiet trap portus tiem, kas vÄlas skenÄt jÅ«su portus, un, ja Å”Ädi mÄÄ£inÄjumi tiek atklÄti, iekļaujiet viÅu ip melnajÄ sarakstÄ uz 60 minÅ«tÄm, kuru laikÄ pirmie divi noteikumi nedos Å”Ädiem saimniekiem iespÄju pieklauvÄt pie pareizajiem portiem;
NÄkamais noteikums:
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
ievieto ip atļauto sarakstÄ uz 1 minÅ«ti (pietiek, lai izveidotu savienojumu), jo otrs pareizais klauvÄjums tika veikts vÄlamajÄ portÄ (16000);
NÄkamÄ komanda:
move [/ip firewall filter find comment=RemoteRules] 1
pÄrvieto mÅ«su noteikumus uz augÅ”u ugunsmÅ«ra apstrÄdes Ä·ÄdÄ, jo, visticamÄk, mums jau bÅ«s konfigurÄti dažÄdi aizlieguma noteikumi, kas neļaus mÅ«su jaunizveidotajiem darboties. Pats pirmais noteikums MikrotikÄ sÄkas no nulles, bet manÄ ierÄ«cÄ nulli aizÅÄma iebÅ«vÄtais noteikums un nebija iespÄjams to pÄrvietot - es to pÄrvietoju uz 1. TÄpÄc mÄs skatÄmies uz saviem iestatÄ«jumiem - kur to var pÄrvietot un norÄdiet vajadzÄ«go numuru.
NÄkamais iestatÄ«jums:
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389
pÄrsÅ«ta patvaļīgi izvÄlÄtu portu 33890 uz parasto RDP portu 3389 un mums nepiecieÅ”amÄ datora vai terminÄļa servera IP. MÄs veidojam Å”Ädus noteikumus visiem nepiecieÅ”amajiem iekÅ”Äjiem resursiem, vÄlams uzstÄdot nestandarta (un dažÄdus) ÄrÄjos portus. Protams, iekÅ”Äjo resursu IP ir jÄbÅ«t vai nu statiskam, vai fiksÄtam DHCP serverÄ«.
Tagad mÅ«su Mikrotik ir konfigurÄts, un mums ir nepiecieÅ”ama vienkÄrÅ”a procedÅ«ra, lai lietotÄjs varÄtu izveidot savienojumu ar mÅ«su iekÅ”Äjo RDP. TÄ kÄ mums galvenokÄrt ir Windows lietotÄji, mÄs izveidojam vienkÄrÅ”u sikspÄrÅu failu un nosaucam to par StartRDP.bat:
1.htm
1.rdp
attiecÄ«gi 1.htm satur Å”Ädu kodu:
<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
Š½Š°Š¶Š¼ŠøŃŠµ Š¾Š±Š½Š¾Š²ŠøŃŃ ŃŃŃŠ°Š½ŠøŃŃ Š“Š»Ń ŠæŠ¾Š²ŃŠ¾ŃŠ½Š¾Š³Š¾ Š·Š°Ń
Š¾Š“Š° ŠæŠ¾ RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">
tajÄ ir divas saites uz iedomÄtiem attÄliem, kas atrodas vietnÄ my_router.sn.mynetname.net - mÄs iegÅ«stam Å”o adresi no Mikrotik DDNS sistÄmas pÄc tÄs iespÄjoÅ”anas mÅ«su Mikrotik: dodieties uz izvÄlni IP-> Cloud - atzÄ«mÄjiet izvÄles rÅ«tiÅu DDNS Enabled, noklikŔķiniet uz Lietot un nokopÄjiet mÅ«su marÅ”rutÄtÄja DNS nosaukumu. Bet tas ir nepiecieÅ”ams tikai tad, ja marÅ”rutÄtÄja ÄrÄjais IP ir dinamisks vai tiek izmantota konfigurÄcija ar vairÄkiem interneta pakalpojumu sniedzÄjiem.
Ports pirmajÄ saitÄ: 19000 atbilst pirmajam portam, pie kura jums ir jÄpieklauvÄ, otrajÄ, attiecÄ«gi, otrajam. Starp saitÄm ir Ä«sa instrukcija, kas parÄda, kÄ rÄ«koties, ja pÄkÅ”Åi mÅ«su savienojums tiek pÄrtraukts Ä«su tÄ«kla problÄmu dÄļ - mÄs atsvaidzinÄm lapu, RDP ports mums atkal atveras uz 1 minÅ«ti un mÅ«su sesija tiek atjaunota. TÄpat teksts starp img tagiem veido pÄrlÅ«kprogrammai mikro aizkavi, kas samazina iespÄjamÄ«bu, ka pirmÄ pakete tiks piegÄdÄta uz otro portu (16000) - lÄ«dz Å”im divu lietoÅ”anas nedÄļu laikÄ Å”Ädu gadÄ«jumu nav bijis (30 cilvÄki).
TÄlÄk nÄk fails 1.rdp, kuru varam konfigurÄt vienu visiem vai atseviŔķi katram lietotÄjam (es tÄ izdarÄ«ju - vieglÄk ir pavadÄ«t papildu 15 minÅ«tes, nekÄ dažas stundas konsultÄjoties ar tiem, kuri to nevarÄja izdomÄt)
screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomain
no interesantajiem iestatÄ«jumiem Å”eit ir izmantot multimon: i: 1 - tas ietver vairÄku monitoru izmantoÅ”anu - dažiem tas ir vajadzÄ«gs, bet viÅi paÅ”i neiedomÄsies to ieslÄgt.
savienojuma veids: i: 6 un tÄ«kla automÄtiskÄ noteikÅ”ana: i: 0 - tÄ kÄ lielÄkÄ daļa interneta ir virs 10 Mbps, tad ieslÄdziet savienojuma veidu 6 (vietÄjais tÄ«kls 10 Mbps un vairÄk) un izslÄdziet tÄ«kla automÄtisko noteikÅ”anu, jo, ja pÄc noklusÄjuma (auto) , tad pat rets neliels tÄ«kla latentums automÄtiski ilgu laiku iestata mÅ«su sesiju uz lÄnu Ätrumu, kas var radÄ«t ievÄrojamas kavÄÅ”anÄs darbÄ, Ä«paÅ”i grafikas programmÄs.
atspÄjot fona attÄlu: i: 1 - atspÄjot darbvirsmas attÄlu
lietotÄjvÄrds:s:myuserlogin - mÄs norÄdÄm lietotÄja pieteikÅ”anos, jo ievÄrojama daļa mÅ«su lietotÄju nezina savu pieteikumvÄrdu
domain:s:mydomain ā norÄdiet domÄna vai datora nosaukumu
Bet, ja mÄs vÄlamies vienkÄrÅ”ot mÅ«su uzdevumu izveidot savienojuma procedÅ«ru, mÄs varam izmantot arÄ« PowerShell - StartRDP.ps1
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890
Nedaudz arÄ« par RDP klientu operÄtÄjsistÄmÄ Windows: MS ir nogÄjusi garu ceļu, optimizÄjot protokolu un tÄ servera un klienta daļas, ir ieviesusi daudzas noderÄ«gas funkcijas - piemÄram, darbs ar aparatÅ«ru 3D, ekrÄna izŔķirtspÄjas optimizÄÅ”ana jÅ«su monitoram, multiscreen, un tÄ tÄlÄk. Bet, protams, viss tiek ieviests atpakaļsaderÄ«bas režīmÄ, un, ja klients ir Windows 7, bet attÄlais dators ir Windows 10, tad RDP darbosies, izmantojot protokola versiju 7.0. Bet ieguvums ir tÄds, ka varat atjauninÄt RDP versijas uz jaunÄkÄm versijÄm ā piemÄram, varat jauninÄt protokola versiju no 7.0 (Windows 7) uz 8.1. TÄpÄc klientu ÄrtÄ«bÄm ir nepiecieÅ”ams maksimÄli palielinÄt servera daļas versijas, kÄ arÄ« nomest saites, lai jauninÄtu uz jaunÄm RDP protokola klientu versijÄm.
RezultÄtÄ mums ir vienkÄrÅ”a un samÄrÄ droÅ”a tehnoloÄ£ija attÄlinÄtam savienojumam ar strÄdÄjoÅ”u datoru vai terminÄļa serveri. Bet droÅ”Äkam savienojumam mÅ«su Port Knocking metodi var apgrÅ«tinÄt uzbrukumus par vairÄkÄm kÄrtÄm, pievienojot pÄrbaudei portus - jÅ«s varat pievienot 3,4,5,6 ... portu pÄc tÄs paÅ”as loÄ£ikas , un Å”ajÄ gadÄ«jumÄ tieÅ”a ielauÅ”anÄs jÅ«su tÄ«klÄ bÅ«s gandrÄ«z neiespÄjama.
Avots: www.habr.com