ProHoster > බ්ලොග් > පරිපාලනය > කාර්යාලයේ දුරස්ථ වැඩ. RDP, Port Knocking, Mikrotik: සරල සහ ආරක්ෂිත

කාර්යාලයේ දුරස්ථ වැඩ. RDP, Port Knocking, Mikrotik: සරල සහ ආරක්ෂිත

බොහෝ රටවල covid-19 වෛරස් වසංගතය සහ සාමාන්‍ය නිරෝධායනය හේතුවෙන්, බොහෝ සමාගම්වලට දිගටම වැඩ කිරීමට ඇති එකම ක්‍රමය අන්තර්ජාලය හරහා සේවා ස්ථාන වෙත දුරස්ථ ප්‍රවේශයයි. දුරස්ථ වැඩ සඳහා සාපේක්ෂ වශයෙන් ආරක්ෂිත ක්‍රම රාශියක් ඇත - නමුත් ගැටලුවේ පරිමාණය අනුව, අවශ්‍ය වන්නේ ඕනෑම පරිශීලකයෙකුට දුරස්ථව කාර්යාලයට සම්බන්ධ වීමට පහසු ක්‍රමයක් වන අතර අමතර සැකසුම්, පැහැදිලි කිරීම්, වෙහෙසකර උපදේශන සහ දිගු අවශ්‍යතා නොමැතිව. උපදෙස්. මෙම ක්රමය බොහෝ පරිපාලකයින් RDP (දුරස්ථ ඩෙස්ක්ටොප් ප්රොටෝකෝලය) විසින් ආදරය කරනු ලැබේ. එක් විශාල මැස්සෙකු හැර RDP හරහා වැඩපොළකට කෙලින්ම සම්බන්ධ වීම අපගේ ගැටලුව ඉතා මැනවින් විසඳයි - RDP වරාය අන්තර්ජාලය සඳහා විවෘතව තබා ගැනීම ඉතා අනාරක්ෂිත ය. එමනිසා, පහත මම සරල නමුත් විශ්වාසදායක ආරක්ෂණ ක්රමයක් යෝජනා කරමි.කාර්යාලයේ දුරස්ථ වැඩ. RDP, Port Knocking, Mikrotik: සරල සහ ආරක්ෂිත

Mikrotik උපාංග අන්තර්ජාල සම්බන්ධතාවයක් ලෙස භාවිතා කරන කුඩා සංවිධාන මට නිතර හමුවන බැවින්, Mikrotik මත මෙය ක්‍රියාත්මක කරන ආකාරය පහතින් පෙන්වන්නම්, නමුත් Port Knocking ආරක්ෂණ ක්‍රමය සමාන ආදාන රවුටර සැකසුම් සහ අනෙකුත් ඉහල පන්තියේ උපාංග මත පහසුවෙන් ක්‍රියාත්මක කල හැක. ගිනි පවුර

Port Knocking ගැන කෙටියෙන්. අන්තර්ජාලයට සම්බන්ධ වූ ජාලයක පරමාදර්ශී බාහිර ආරක්ෂාව වනුයේ ෆයර්වෝලයකින් පිටත සිට සියලු සම්පත් සහ වරායන් වසා දැමීමයි. තවද එවැනි වින්‍යාසගත ෆයර්වෝලයක් සහිත රවුටරයක් ​​පිටතින් එන පැකට් වලට කිසිදු ආකාරයකින් ප්‍රතික්‍රියා නොකරන නමුත් එය ඒවාට සවන් දෙයි. එමනිසා, ඔබට රවුටරය වින්‍යාසගත කළ හැකි අතර එමඟින් විවිධ වරායන්හි ජාල පැකට් වල නිශ්චිත (කේත) අනුපිළිවෙලක් ලැබුණු විට, එය (රවුටරය) පැකට් පැමිණි IP සඳහා, ඇතැම් සම්පත් වෙත ප්‍රවේශය ප්‍රතික්ෂේප කරයි (වරාය, ප්‍රොටෝකෝල, ආදිය. .)

දැන් කාරණයට. මම Mikrotik මත ෆයර්වෝලයක් පිහිටුවීම පිළිබඳ සවිස්තරාත්මක විස්තරයක් ලබා නොදෙනු ඇත - අන්තර්ජාලය මේ සඳහා ගුණාත්මක මූලාශ්රවලින් පිරී ඇත. ඉතා මැනවින්, ෆයර්වෝලයක් පැමිණෙන සියලුම පැකට් අවහිර කරයි, නමුත් 

/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,related

දැනටමත් ස්ථාපිත (ස්ථාපිත, අදාළ) සම්බන්ධතා වලින් එන ගමනාගමනයට ඉඩ දෙයි.
දැන් අපි Mikrotik මත Port Knocking වින්‍යාස කරමු:

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

දැන් වඩාත් විස්තරාත්මකව:

පළමු නීති දෙක 

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules

වරාය පරිලෝකනය කිරීමේදී අසාදු ලේඛනගත කර ඇති IP ලිපින වලින් එන පැකට් තහනම් කරන්න;

තුන්වන රීතිය:

add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules

අපේක්ෂිත වරායට (19000) නිවැරදි පළමු තට්ටු කළ සත්කාරක ලැයිස්තුවට ip එකතු කරයි;
පහත සඳහන් නීති හතර:

add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

ඔබගේ වරාය පරිලෝකනය කිරීමට අවශ්‍ය අය සඳහා උගුල් වරායන් සාදන්න, එවැනි උත්සාහයන් අනාවරණය වූ විට, ඔවුන් විනාඩි 60 ක් සඳහා ඔවුන්ගේ IP අසාදු ලේඛනගත කරයි, එම කාලය තුළ පළමු නීති දෙක එවැනි සත්කාරකයින්ට නිවැරදි වරායන් වෙත තට්ටු කිරීමට අවස්ථාව ලබා නොදේ;

ඊළඟ රීතිය:

add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

අපේක්ෂිත වරායට (1) දෙවන නිවැරදි තට්ටු කර ඇති බැවින්, අවසර ලත් ලැයිස්තුවේ ip විනාඩි 16000 ක් (සම්බන්ධතාවයක් ඇති කිරීමට ප්‍රමාණවත්) තබයි;

ඊළඟ විධානය:

move [/ip firewall filter find comment=RemoteRules] 1

අපගේ නීති ෆයර්වෝල් සැකසුම් දාමය ඉහළට ගෙන යයි, බොහෝ විට අප විසින් අලුතින් සාදන ලද ඒවා ක්‍රියා කිරීම වලක්වන විවිධ තහනම් නීති වින්‍යාස කර ඇති බැවින්. Mikrotik හි පළමු රීතිය බිංදුවෙන් ආරම්භ වේ, නමුත් මගේ උපාංගයේ බිංදුව සාදන ලද රීතියක් මගින් අල්ලාගෙන ඇති අතර එය ගෙන යාමට නොහැකි විය - මම එය 1 වෙත ගෙන ගියෙමි. එබැවින්, අපි අපගේ සැකසුම් දෙස බලමු - අපට එය ගෙන යා හැකි ස්ථානය සහ අවශ්ය අංකය සඳහන් කරන්න.

ඊළඟ සැකසුම:

/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

අහඹු ලෙස තෝරාගත් වරාය 33890 සාමාන්‍ය RDP port 3389 වෙත යොමු කරයි සහ අපට අවශ්‍ය පරිගණකයේ හෝ ටර්මිනල් සේවාදායකයේ IP. අවශ්‍ය සියලුම අභ්‍යන්තර සම්පත් සඳහා අපි එවැනි නීති සාදන්නෙමු, වඩාත් සුදුසු සම්මත නොවන (සහ වෙනස්) බාහිර වරායන් සැකසීම. ස්වාභාවිකවම, අභ්‍යන්තර සම්පත් වල IP ස්ථිතික හෝ DHCP සේවාදායකයකට පැවරිය යුතුය.

දැන් අපගේ Mikrotik වින්‍යාස කර ඇති අතර අපගේ අභ්‍යන්තර RDP වෙත සම්බන්ධ වීමට පරිශීලකයාට පහසු ක්‍රියා පටිපාටියක් අවශ්‍ය වේ. අපට වැඩිපුරම සිටින්නේ Windows භාවිතා කරන්නන් බැවින්, අපි සරල bat ගොනුවක් සාදා එය StartRDP.bat ලෙස හඳුන්වමු:

1.htm
1.rdp

ඒ අනුව 1.htm හි පහත කේතය අඩංගු වේ:

<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">

my_router.sn.mynetname.net යන ලිපිනයේ ඇති මනඃකල්පිත පින්තූර සඳහා සබැඳි දෙකක් මෙහි අඩංගු වේ - අපගේ Mikrotik හි මෙය සක්‍රීය කිරීමෙන් පසුව අපි මෙම ලිපිනය Mikrotik DDNS පද්ධතියෙන් ලබා ගනිමු: IP->Cloud මෙනුව වෙත යන්න - DDNS සක්‍රීය කර ඇති බව පරීක්ෂා කරන්න. කොටුව, අයදුම් කරන්න ක්ලික් කර අපගේ රවුටරයේ dns නම පිටපත් කරන්න. නමුත් මෙය අවශ්‍ය වන්නේ රවුටරයේ බාහිර IP ගතික හෝ අන්තර්ජාල සැපයුම්කරුවන් කිහිප දෙනෙකු සමඟ වින්‍යාසයක් භාවිතා කරන විට පමණි.

පළමු සබැඳියේ ඇති වරාය: 19000 ඔබ තට්ටු කළ යුතු පළමු වරායට අනුරූප වේ, දෙවනුව එය දෙවැන්නට අනුරූප වේ. කෙටි ජාල ගැටළු හේතුවෙන් හදිසියේම අපගේ සම්බන්ධතාවයට බාධා ඇති වුවහොත් කුමක් කළ යුතු දැයි පෙන්වන කෙටි උපදෙස් සබැඳි අතර ඇත - අපි පිටුව නැවුම් කරන්නෙමු, RDP වරාය අප වෙනුවෙන් මිනිත්තු 1 ක් නැවත විවෘත කර අපගේ සැසිය ප්‍රතිසාධනය කෙරේ. එසේම, img ටැග් අතර ඇති පෙළ බ්‍රව්සරය සඳහා ක්ෂුද්‍ර ප්‍රමාදයක් ඇති කරයි, එමඟින් පළමු පැකට්ටුව දෙවන වරායට (16000) ලබා දීමේ සම්භාවිතාව අඩු කරයි - මෙතෙක් සති දෙකක භාවිතයේ එවැනි අවස්ථා නොමැත (30 මහජන).

ඊළඟට 1.rdp ගොනුව පැමිණේ, එය අපට සෑම කෙනෙකුටම හෝ එක් එක් පරිශීලකයා සඳහා වෙන වෙනම වින්‍යාසගත කළ හැකිය (එය මම කළ දෙයයි - එය තේරුම් ගත නොහැකි අයගෙන් උපදෙස් ලබා ගැනීමට පැය කිහිපයක් ගත කිරීමට වඩා අමතර විනාඩි 15 ක් ගත කිරීම පහසුය) 

screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomain

මෙහි ඇති සිත්ගන්නාසුලු සැකසුම් වලින් එකක් නම් multimon:i:1 භාවිතා කිරීමයි - මෙයට බහු මොනිටර භාවිතා කිරීම ඇතුළත් වේ - සමහර අයට මෙය අවශ්‍ය වේ, නමුත් ඔවුන් එය තමන් වෙත හැරවීමට සිතන්නේ නැත.

සම්බන්ධතා වර්ගය:i:6 සහ networkautodetect:i:0 - අන්තර්ජාලයේ බහුතරය 10 Mbit ට වඩා වැඩි බැවින්, සම්බන්ධතා වර්ගය 6 (දේශීය ජාලය 10 Mbit සහ ඊට වැඩි) සක්‍රීය කර networkautodetect අක්‍රීය කරන්න, මන්ද පෙරනිමිය (ස්වයංක්‍රීයව), එවිට දුර්ලභ කුඩා ජාල ප්‍රමාදයක් පවා ස්වයංක්‍රීයව අපගේ සැසිය සඳහා වේගය දිගු වේලාවක් අඩු වේගයකින් සකසයි, එමඟින් කාර්යයේ, විශේෂයෙන් ග්‍රැෆික් වැඩසටහන්වල සැලකිය යුතු ප්‍රමාදයන් ඇති කළ හැකිය.

බිතුපත අක්රිය කරන්න: i:1 - ඩෙස්ක්ටොප් පින්තූරය අක්රිය කරන්න
පරිශීලක නාමය:s:myuserlogin - අපගේ පරිශීලකයින්ගෙන් සැලකිය යුතු කොටසක් ඔවුන්ගේ පිවිසුම නොදන්නා බැවින් අපි පරිශීලක පිවිසුම සඳහන් කරමු
domain:s:mydomain - වසම හෝ පරිගණක නාමය දක්වන්න

නමුත් අපට සම්බන්ධතා ක්‍රියා පටිපාටියක් නිර්මාණය කිරීමේ කාර්යය සරල කිරීමට අවශ්‍ය නම්, අපට PowerShell - StartRDP.ps1 භාවිතා කළ හැකිය.

Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890

වින්ඩෝස් හි RDP සේවාදායකයා ගැන ද ටිකක්: MS ප්‍රොටෝකෝලය සහ එහි සේවාදායකය සහ සේවාදායක කොටස් ප්‍රශස්ත කිරීම, බොහෝ ප්‍රයෝජනවත් විශේෂාංග ක්‍රියාත්මක කිරීම සඳහා දිගු ගමනක් පැමිණ ඇත - දෘඩාංග 3D සමඟ වැඩ කිරීම, ඔබේ මොනිටරය සඳහා තිර විභේදනය ප්‍රශස්ත කිරීම, බහු-තිර, ආදිය නමුත් ඇත්ත වශයෙන්ම, සෑම දෙයක්ම ක්‍රියාත්මක වන්නේ පසුගාමී අනුකූලතා ආකාරයෙන් වන අතර සේවාදායකයා වින්ඩෝස් 7 සහ දුරස්ථ පරිගණකය වින්ඩෝස් 10 නම්, RDP ප්‍රොටෝකෝල අනුවාදය 7.0 භාවිතයෙන් ක්‍රියා කරයි. නමුත් වාසනාවකට මෙන්, ඔබට RDP අනුවාද වඩාත් මෑත සංස්කරණ වෙත යාවත්කාලීන කළ හැකිය - උදාහරණයක් ලෙස, ඔබට ප්‍රොටෝකෝල අනුවාදය 7.0 (Windows 7) සිට 8.1 දක්වා යාවත්කාලීන කළ හැකිය. එබැවින්, සේවාලාභීන්ගේ පහසුව සඳහා, ඔබ සේවාදායක කොටසෙහි අනුවාද උපරිම කිරීමට අවශ්ය වන අතර, RDP ප්රොටෝකෝල සේවාලාභීන්ගේ නව අනුවාද වෙත යාවත්කාලීන කිරීමට සබැඳි ද සැපයිය යුතුය.

එහි ප්‍රතිඵලයක් වශයෙන්, වැඩ කරන පරිගණකයකට හෝ ටර්මිනල් සේවාදායකයකට දුරස්ථ සම්බන්ධතාවයක් සඳහා සරල සහ සාපේක්ෂ ආරක්ෂිත තාක්ෂණයක් අප සතුව ඇත. නමුත් වඩාත් ආරක්ෂිත සම්බන්ධතාවයක් සඳහා, අපගේ Port Knocking ක්‍රමය විශාලත්වයේ ඇණවුම් කිහිපයකින් ප්‍රහාර එල්ල කිරීම වඩාත් අපහසු කළ හැකිය, පරීක්ෂා කිරීමට වරායන් එකතු කිරීමෙන් - එකම තර්කනය භාවිතා කරමින්, ඔබට 3,4,5,6... port සහ මෙම අවස්ථාවෙහිදී, ඔබේ ජාලයට සෘජුවම ඇතුල් වීම පාහේ කළ නොහැක්කකි.

RDP වෙත දුරස්ථ සම්බන්ධතාවයක් නිර්මාණය කිරීම සඳහා ගොනු සූදානම.

මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න