ProHoster > blog > Amministrazzjoni > Xogħol mill-bogħod fl-uffiċċju. RDP, Port Knocking, Mikrotik: sempliċi u sigur

Xogħol mill-bogħod fl-uffiċċju. RDP, Port Knocking, Mikrotik: sempliċi u sigur

Minħabba l-pandemija tal-virus covid-19 u l-kwarantina ġenerali f’ħafna pajjiżi, l-uniku mod biex ħafna kumpaniji jkomplu jaħdmu huwa aċċess mill-bogħod għall-postijiet tax-xogħol permezz tal-Internet. Hemm ħafna metodi relattivament sikuri għal xogħol remot - iżda minħabba l-iskala tal-problema, metodu sempliċi għal kull utent biex jgħaqqad mill-bogħod mal-uffiċċju huwa meħtieġ u mingħajr il-ħtieġa ta 'settings addizzjonali, spjegazzjonijiet, konsultazzjonijiet tedjanti u struzzjonijiet twal. Dan il-metodu huwa maħbub minn ħafna amministraturi RDP (Remote Desktop Protocol). Il-konnessjoni direttament mal-post tax-xogħol permezz tal-RDP idealment issolvi l-problema tagħna, ħlief għal fly waħda kbira fl-ingwent - iż-żamma tal-port RDP miftuħ għall-Internet hija perikoluża ħafna. Għalhekk, hawn taħt nipproponi metodu ta 'protezzjoni sempliċi iżda affidabbli.Xogħol mill-bogħod fl-uffiċċju. RDP, Port Knocking, Mikrotik: sempliċi u sigur

Peress li ħafna drabi niltaqa' ma' organizzazzjonijiet żgħar fejn it-tagħmir Mikrotik jintuża bħala aċċess għall-Internet, hawn taħt se jintwera kif nimplimenta dan fuq Mikrotik, iżda l-metodu ta' protezzjoni tal-Port Knocking huwa implimentat faċilment fuq apparati oħra ta' klassi ogħla b'settings simili ta' router ta' input u firewall. .

Fil-qosor dwar Port Iħabbtu. Il-protezzjoni esterna ideali ta 'netwerk konness mal-Internet hija meta r-riżorsi u l-portijiet kollha jingħalqu minn barra minn firewall. U għalkemm router b'tali firewall konfigurat ma jirreaġixxi bl-ebda mod għal pakketti li ġejjin minn barra, jismagħhom. Għalhekk, tista 'tikkonfigura r-router sabiex meta ċerta sekwenza (kodiċi) ta' pakketti tan-netwerk tasal fuq portijiet differenti, hija (ir-router) għall-IP minn fejn ġew il-pakketti jaqta 'l-aċċess għal ċerti riżorsi (portijiet, protokolli, eċċ.).

Issa għan-negozju. Mhux se nagħmel deskrizzjoni dettaljata tas-settings tal-firewall fuq Mikrotik - l-Internet huwa mimli sorsi ta 'kwalità għolja għal dan. Idealment, il-firewall jimblokka l-pakketti kollha deħlin, iżda 

/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,related

Jippermetti traffiku deħlin minn konnessjonijiet stabbiliti u relatati.
Issa waqqafna Port Knocking fuq Mikrotik:

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

Issa f'aktar dettall:

l-ewwel żewġ regoli 

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules

jipprojbixxu pakketti deħlin minn indirizzi IP li huma blacklisted waqt l-iskannjar tal-port;

It-tielet regola:

add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules

iżid ip mal-lista ta 'ospiti li għamlu l-ewwel knock korretta fuq il-port korrett (19000);
L-erba' regoli li jmiss huma:

add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

oħloq portijiet tan-nassa għal dawk li jridu jiskennjaw il-portijiet tiegħek, u jekk jinstabu tali tentattivi, lista sewda l-ip tagħhom għal 60 minuta, li matulhom l-ewwel żewġ regoli ma jagħtux lil dawn l-ospiti l-opportunità li jħabbtu fuq il-portijiet korretti;

Ir-regola li jmiss:

add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

ipoġġi ip fil-lista permessa għal minuta 1 (biżżejjed biex tiġi stabbilita konnessjoni), peress li t-tieni knock korretta saret fuq il-port mixtieq (16000);

Il-kmand li jmiss:

move [/ip firewall filter find comment=RemoteRules] 1

imexxi r-regoli tagħna 'l fuq fil-katina tal-ipproċessar tal-firewall, peress li x'aktarx li diġà jkollna regoli ta' ċaħda differenti kkonfigurati li jipprevjenu lil dawk maħluqa ġodda tagħna milli jaħdmu. L-ewwel regola f'Mikrotik tibda minn żero, iżda fuq it-tagħmir tiegħi żero kien okkupat minn regola inkorporata u kien impossibbli li ċċaqlaqha - ċaqlaqha għal 1. Għalhekk, inħarsu lejn is-settings tagħna - fejn tista 'timxiha. u indika n-numru mixtieq.

L-issettjar li jmiss:

/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

jgħaddi port 33890 magħżul b'mod arbitrarju lill-port RDP tas-soltu 3389 u l-ip tal-kompjuter jew server terminal li għandna bżonn. Aħna noħolqu regoli bħal dawn għar-riżorsi interni kollha meħtieġa, preferibbilment inwaqqfu portijiet esterni mhux standard (u differenti). Naturalment, l-ip tar-riżorsi interni għandu jkun jew statiku jew iffissat fuq is-server DHCP.

Issa l-Mikrotik tagħna huwa kkonfigurat u neħtieġu proċedura sempliċi biex l-utent jikkonnettja mal-RDP intern tagħna. Peress li prinċipalment għandna utenti tal-Windows, noħolqu fajl BAT sempliċi u nsemmuh StartRDP.bat:

1.htm
1.rdp

rispettivament 1.htm fih il-kodiċi li ġej:

<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">

fih żewġ links għal stampi immaġinarji li jinsabu fuq my_router.sn.mynetname.net - aħna nieħdu dan l-indirizz mis-sistema Mikrotik DDNS wara li nippermettiewh fil-Mikrotik tagħna: mur fil-menu IP-> Cloud - iċċekkja l-kaxxa ta' kontroll DDNS Enabled, ikklikkja Applika u kkopja l-isem dns tar-router tagħna. Iżda dan huwa meħtieġ biss meta l-ip estern tar-router huwa dinamiku jew tintuża konfigurazzjoni b'diversi fornituri tal-Internet.

Il-port fl-ewwel link: 19000 jikkorrispondi għall-ewwel port li fuqu għandek bżonn tħabbat, fit-tieni, rispettivament, għat-tieni. Bejn il-links hemm struzzjoni qasira li turi x'għandek tagħmel jekk f'daqqa waħda l-konnessjoni tagħna tiġi interrotta minħabba problemi qosra tan-netwerk - aħna nġedded il-paġna, il-port RDP jerġa 'jinfetaħ għalina għal minuta u s-sessjoni tagħna tiġi restawrata. Ukoll, it-test bejn it-tikketti img jifforma mikro-dewmien għall-browser, li jnaqqas il-probabbiltà li l-ewwel pakkett jitwassal fit-tieni port (1) - s'issa ma kien hemm l-ebda każijiet bħal dawn f'ġimagħtejn ta 'użu (16000 nies).

Sussegwentement jiġi l-fajl 1.rdp, li nistgħu kkonfigurat wieħed għal kulħadd jew separatament għal kull utent (għamilt dan - huwa aktar faċli li tqatta 'minuta 15 żejda minn ftit sigħat tikkonsulta lil dawk li ma setgħux insemmuh) 

screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomain

tas-settings interessanti hawnhekk huwa l-użu multimon: i: 1 - dan jinkludi l-użu ta 'monitors multipli - xi wħud jeħtieġu dan, iżda huma stess mhux se jaħsbu li jduruh.

tip ta 'konnessjoni: i: 6 u networkautodetect: i: 0 - peress li l-maġġoranza tal-Internet hija 'l fuq minn 10 Mbps, imbagħad ixgħel it-tip ta' konnessjoni 6 (netwerk lokali 10 Mbps u aktar) u itfi networkautodetect, għax jekk b'mod awtomatiku (awtomatiku) , allura anke latency rari ta 'netwerk żgħir awtomatikament jistabbilixxi s-sessjoni tagħna għal veloċità bil-mod għal żmien twil, li jista' joħloq dewmien notevoli fix-xogħol, speċjalment fil-programmi tal-grafika.

tiddiżattiva l-wallpaper: i: 1 - tiddiżattiva l-istampa tad-desktop
username:s:myuserlogin - aħna nispeċifikaw il-login tal-utent, peress li parti sinifikanti tal-utenti tagħna ma jafux il-login tagħhom
domain:s:mydomain - speċifika l-isem tad-dominju jew tal-kompjuter

Imma jekk irridu nissimplifikaw il-kompitu tagħna li noħolqu proċedura ta 'konnessjoni, allura nistgħu nużaw ukoll PowerShell - StartRDP.ps1

Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890

Ftit ukoll dwar il-klijent RDP fil-Windows: MS imxiet triq twila fl-ottimizzazzjoni tal-protokoll u l-partijiet tas-server u l-klijenti tagħha, implimenta ħafna karatteristiċi utli - bħalma hija taħdem ma 'hardware 3D, ottimizza r-riżoluzzjoni tal-iskrin għall-monitor tiegħek, multiscreen, u l-bqija. Imma ovvjament, kollox huwa implimentat f'mod ta 'kompatibilità b'lura, u jekk il-klijent huwa Windows 7, u l-PC remot huwa Windows 10, allura RDP jaħdem bl-użu tal-verżjoni tal-protokoll 7.0. Iżda l-benefiċċju huwa li tista 'taġġorna verżjonijiet RDP għal verżjonijiet aktar reċenti - pereżempju, tista' taġġorna l-verżjoni tal-protokoll minn 7.0 (Windows 7) għal 8.1. Għalhekk, għall-konvenjenza tal-klijenti, huwa meħtieġ li jiżdiedu l-verżjonijiet tal-parti tas-server kemm jista 'jkun, kif ukoll qatra links biex jaġġornaw għal verżjonijiet ġodda tal-klijenti tal-protokoll RDP.

Bħala riżultat, għandna teknoloġija sempliċi u relattivament sigura għal konnessjoni remota ma 'PC li jaħdem jew server terminal. Iżda għal konnessjoni aktar sigura, il-metodu tagħna ta' Port Knocking jista' jsir aktar diffiċli biex jiġi attakkat b'diversi ordnijiet ta' kobor, billi żżid portijiet biex tiċċekkja - tista' żżid 3,4,5,6 ... port skond l-istess loġika , u f'dan il-każ intrużjoni diretta fin-netwerk tiegħek tkun kważi impossibbli.

Fajls vojta għall-ħolqien ta' konnessjoni remota ma' RDP.

Sors: www.habr.com

Żid kumment