ProHoster > Blogs > Administrācija > Attālināts darbs birojā. LAP, Port Knocking, Mikrotik: vienkārŔi un droŔi

Attālināts darbs birojā. LAP, Port Knocking, Mikrotik: vienkārŔi un droŔi

Covid-19 vÄ«rusa pandēmijas un vispārējās karantÄ«nas dēļ daudzās valstÄ«s daudziem uzņēmumiem vienÄ«gais veids, kā turpināt darbu, ir attālināta piekļuve darba vietām, izmantojot internetu. Ir daudz salÄ«dzinoÅ”i droÅ”u metožu attālinātam darbam ā€“ taču, ņemot vērā problēmas mērogu, jebkuram lietotājam ir nepiecieÅ”ama vienkārÅ”a metode, kā attālināti izveidot savienojumu ar biroju un bez papildu iestatÄ«jumiem, skaidrojumiem, nogurdinoŔām konsultācijām un garām instrukcijām. Å o metodi iemīļojuÅ”i daudzi administratori RDP (attālās darbvirsmas protokols). TieŔā savienojuma izveide ar darba vietu caur RDP ideāli atrisina mÅ«su problēmu, izņemot vienu lielu muÅ”u - turēt atvērtu RDP portu internetam ir ļoti nedroÅ”i. Tāpēc zemāk es piedāvāju vienkārÅ”u, bet uzticamu aizsardzÄ«bas metodi.Attālināts darbs birojā. LAP, Port Knocking, Mikrotik: vienkārÅ”i un droÅ”i

Tā kā man bieži nākas saskarties ar nelielām organizācijām, kurās Mikrotik ierÄ«ces tiek izmantotas kā interneta piekļuve, tad zemāk bÅ«s parādÄ«ts, kā to ieviest Mikrotikā, bet Port Knocking aizsardzÄ«bas metode ir viegli iestrādājama citās augstākas klases ierÄ«cēs ar lÄ«dzÄ«giem ievades marÅ”rutētāja iestatÄ«jumiem un ugunsmÅ«ri. .

ÄŖsumā par Port Knocking. Ideāla ar internetu savienota tÄ«kla ārējā aizsardzÄ«ba ir tad, ja visus resursus un portus no ārpuses aizver ugunsmÅ«ris. Un, lai gan marÅ”rutētājs ar Ŕādu konfigurētu ugunsmÅ«ri nekādā veidā nereaģē uz paketēm, kas nāk no ārpuses, tas klausās tās. Tāpēc jÅ«s varat konfigurēt marÅ”rutētāju tā, lai tad, kad dažādos portos tiek saņemta noteikta (koda) tÄ«kla pakeÅ”u secÄ«ba, tas (marÅ”rutētājs) IP, no kuras tika saņemtas paketes, pārtrauc piekļuvi noteiktiem resursiem (portiem, protokoliem, utt.).

Tagad uz biznesu. Es nesniegÅ”u detalizētu Mikrotik ugunsmÅ«ra iestatÄ«jumu aprakstu - internets ir pilns ar augstas kvalitātes avotiem. Ideālā gadÄ«jumā ugunsmÅ«ris bloķē visas ienākoŔās paketes, bet 

/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,related

Ļauj ienākoŔo trafiku no izveidotiem, saistītiem savienojumiem.
Tagad Mikrotik iestatījām Port Knocking:

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

Tagad sīkāk:

pirmie divi noteikumi 

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules

aizliegt ienākoŔās paketes no IP adresēm, kas portu skenÄ“Å”anas laikā ir iekļautas melnajā sarakstā;

TreŔais noteikums:

add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules

pievieno ip to resursdatoru sarakstam, kas veica pareizo pirmo pieskārienu pareizajam portam (19000);
Nākamie četri noteikumi ir:

add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

izveidojiet trap portus tiem, kas vēlas skenēt jÅ«su portus, un, ja Ŕādi mēģinājumi tiek atklāti, iekļaujiet viņu ip melnajā sarakstā uz 60 minÅ«tēm, kuru laikā pirmie divi noteikumi nedos Ŕādiem saimniekiem iespēju pieklauvēt pie pareizajiem portiem;

Nākamais noteikums:

add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

ievieto ip atļauto sarakstā uz 1 minūti (pietiek, lai izveidotu savienojumu), jo otrs pareizais klauvējums tika veikts vēlamajā portā (16000);

Nākamā komanda:

move [/ip firewall filter find comment=RemoteRules] 1

pārvieto mÅ«su noteikumus uz augÅ”u ugunsmÅ«ra apstrādes ķēdē, jo, visticamāk, mums jau bÅ«s konfigurēti dažādi aizlieguma noteikumi, kas neļaus mÅ«su jaunizveidotajiem darboties. Pats pirmais noteikums Mikrotikā sākas no nulles, bet manā ierÄ«cē nulli aizņēma iebÅ«vētais noteikums un nebija iespējams to pārvietot - es to pārvietoju uz 1. Tāpēc mēs skatāmies uz saviem iestatÄ«jumiem - kur to var pārvietot un norādiet vajadzÄ«go numuru.

Nākamais iestatījums:

/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

pārsÅ«ta patvaļīgi izvēlētu portu 33890 uz parasto RDP portu 3389 un mums nepiecieÅ”amā datora vai termināļa servera IP. Mēs veidojam Ŕādus noteikumus visiem nepiecieÅ”amajiem iekŔējiem resursiem, vēlams uzstādot nestandarta (un dažādus) ārējos portus. Protams, iekŔējo resursu IP ir jābÅ«t vai nu statiskam, vai fiksētam DHCP serverÄ«.

Tagad mÅ«su Mikrotik ir konfigurēts, un mums ir nepiecieÅ”ama vienkārÅ”a procedÅ«ra, lai lietotājs varētu izveidot savienojumu ar mÅ«su iekŔējo RDP. Tā kā mums galvenokārt ir Windows lietotāji, mēs izveidojam vienkārÅ”u sikspārņu failu un nosaucam to par StartRDP.bat:

1.htm
1.rdp

attiecīgi 1.htm satur Ŕādu kodu:

<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
Š½Š°Š¶Š¼ŠøтŠµ Š¾Š±Š½Š¾Š²Šøть стрŠ°Š½Šøцу Š“Š»Ń ŠæŠ¾Š²Ń‚Š¾Ń€Š½Š¾Š³Š¾ Š·Š°Ń…Š¾Š“Š° ŠæŠ¾ RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">

tajā ir divas saites uz iedomātiem attēliem, kas atrodas vietnē my_router.sn.mynetname.net - mēs iegÅ«stam Å”o adresi no Mikrotik DDNS sistēmas pēc tās iespējoÅ”anas mÅ«su Mikrotik: dodieties uz izvēlni IP-> Cloud - atzÄ«mējiet izvēles rÅ«tiņu DDNS Enabled, noklikŔķiniet uz Lietot un nokopējiet mÅ«su marÅ”rutētāja DNS nosaukumu. Bet tas ir nepiecieÅ”ams tikai tad, ja marÅ”rutētāja ārējais IP ir dinamisks vai tiek izmantota konfigurācija ar vairākiem interneta pakalpojumu sniedzējiem.

Ports pirmajā saitē: 19000 atbilst pirmajam portam, pie kura jums ir jāpieklauvē, otrajā, attiecÄ«gi, otrajam. Starp saitēm ir Ä«sa instrukcija, kas parāda, kā rÄ«koties, ja pēkŔņi mÅ«su savienojums tiek pārtraukts Ä«su tÄ«kla problēmu dēļ - mēs atsvaidzinām lapu, RDP ports mums atkal atveras uz 1 minÅ«ti un mÅ«su sesija tiek atjaunota. Tāpat teksts starp img tagiem veido pārlÅ«kprogrammai mikro aizkavi, kas samazina iespējamÄ«bu, ka pirmā pakete tiks piegādāta uz otro portu (16000) - lÄ«dz Å”im divu lietoÅ”anas nedēļu laikā Ŕādu gadÄ«jumu nav bijis (30 cilvēki).

Tālāk nāk fails 1.rdp, kuru varam konfigurēt vienu visiem vai atseviŔķi katram lietotājam (es tā izdarÄ«ju - vieglāk ir pavadÄ«t papildu 15 minÅ«tes, nekā dažas stundas konsultējoties ar tiem, kuri to nevarēja izdomāt) 

screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomain

no interesantajiem iestatÄ«jumiem Å”eit ir izmantot multimon: i: 1 - tas ietver vairāku monitoru izmantoÅ”anu - dažiem tas ir vajadzÄ«gs, bet viņi paÅ”i neiedomāsies to ieslēgt.

savienojuma veids: i: 6 un tÄ«kla automātiskā noteikÅ”ana: i: 0 - tā kā lielākā daļa interneta ir virs 10 Mbps, tad ieslēdziet savienojuma veidu 6 (vietējais tÄ«kls 10 Mbps un vairāk) un izslēdziet tÄ«kla automātisko noteikÅ”anu, jo, ja pēc noklusējuma (auto) , tad pat rets neliels tÄ«kla latentums automātiski ilgu laiku iestata mÅ«su sesiju uz lēnu ātrumu, kas var radÄ«t ievērojamas kavÄ“Å”anās darbā, Ä«paÅ”i grafikas programmās.

atspējot fona attēlu: i: 1 - atspējot darbvirsmas attēlu
lietotājvārds:s:myuserlogin - mēs norādām lietotāja pieteikÅ”anos, jo ievērojama daļa mÅ«su lietotāju nezina savu pieteikumvārdu
domain:s:mydomain ā€” norādiet domēna vai datora nosaukumu

Bet, ja mēs vēlamies vienkārÅ”ot mÅ«su uzdevumu izveidot savienojuma procedÅ«ru, mēs varam izmantot arÄ« PowerShell - StartRDP.ps1

Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890

Nedaudz arÄ« par RDP klientu operētājsistēmā Windows: MS ir nogājusi garu ceļu, optimizējot protokolu un tā servera un klienta daļas, ir ieviesusi daudzas noderÄ«gas funkcijas - piemēram, darbs ar aparatÅ«ru 3D, ekrāna izŔķirtspējas optimizÄ“Å”ana jÅ«su monitoram, multiscreen, un tā tālāk. Bet, protams, viss tiek ieviests atpakaļsaderÄ«bas režīmā, un, ja klients ir Windows 7, bet attālais dators ir Windows 10, tad RDP darbosies, izmantojot protokola versiju 7.0. Bet ieguvums ir tāds, ka varat atjaunināt RDP versijas uz jaunākām versijām ā€” piemēram, varat jaunināt protokola versiju no 7.0 (Windows 7) uz 8.1. Tāpēc klientu ērtÄ«bām ir nepiecieÅ”ams maksimāli palielināt servera daļas versijas, kā arÄ« nomest saites, lai jauninātu uz jaunām RDP protokola klientu versijām.

Rezultātā mums ir vienkārÅ”a un samērā droÅ”a tehnoloÄ£ija attālinātam savienojumam ar strādājoÅ”u datoru vai termināļa serveri. Bet droŔākam savienojumam mÅ«su Port Knocking metodi var apgrÅ«tināt uzbrukumus par vairākām kārtām, pievienojot pārbaudei portus - jÅ«s varat pievienot 3,4,5,6 ... portu pēc tās paÅ”as loÄ£ikas , un Å”ajā gadÄ«jumā tieÅ”a ielauÅ”anās jÅ«su tÄ«klā bÅ«s gandrÄ«z neiespējama.

TukŔi faili attālā savienojuma izveidei ar RDP.

Avots: www.habr.com

Pievieno komentāru