ProHoster > Blog > Administrasi > Gawé jauh di kantor. RDP, Port Knocking, Mikrotik: basajan tur aman

Gawé jauh di kantor. RDP, Port Knocking, Mikrotik: basajan tur aman

Kusabab pandémik virus covid-19 sareng karantina umum di seueur nagara, hiji-hijina jalan pikeun seueur perusahaan pikeun terus damel nyaéta aksés jarak jauh ka tempat kerja ngalangkungan Internét. Aya seueur metode anu kawilang aman pikeun padamelan jarak jauh - tapi tinangtu skala masalahna, metode anu saderhana pikeun pangguna mana waé pikeun nyambung ka kantor jarak jauh sareng tanpa peryogi setélan tambahan, panjelasan, konsultasi anu pikasieuneun sareng petunjuk anu panjang. Metoda ieu dipikacinta ku loba pangurus RDP (Remote Desktop Protocol). Nyambungkeun langsung ka workstation via RDP ideally solves masalah urang, iwal hiji laleur badag dina salep - ngajaga port RDP kabuka ka Internet pisan unsafe. Ku alatan éta, di handap kuring ngajukeun metodeu panyalindungan anu sederhana tapi dipercaya.Gawé jauh di kantor. RDP, Port Knocking, Mikrotik: basajan tur aman

Kusabab kuring sering mendakan organisasi leutik dimana alat Mikrotik dianggo salaku sambungan Internét, di handap ieu kuring bakal nunjukkeun kumaha nerapkeun ieu dina Mikrotik, tapi metode panyalindungan Port Knocking tiasa gampang dilaksanakeun dina alat-alat kelas luhur sanés sareng setélan router input anu sami sareng. firewall

Sakeudeung ngeunaan Port Knocking. Perlindungan éksternal idéal pikeun jaringan anu nyambung ka Internét nyaéta nalika sadaya sumber sareng palabuhan ditutup ti luar ku firewall. Sareng sanaos router anu nganggo firewall anu dikonpigurasi sapertos kitu henteu ngaréaksikeun sagala cara pikeun pakét anu datang ti luar, éta ngadangukeunana. Ku alatan éta, anjeun tiasa ngonpigurasikeun router supados nalika nampi sekuen (kode) tina pakét jaringan dina palabuhan anu béda, éta (router) pikeun IP ti mana pakét sumping, nampik aksés kana sumber daya anu tangtu (port, protokol, jsb). .).

Ayeuna ka titik. Abdi moal masihan katerangan lengkep ngeunaan nyetel firewall on Mikrotik - Internet pinuh sumber kualitas pikeun ieu. Ideally, firewall a meungpeuk sakabeh pakét asup, tapi 

/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,related

Ngidinan lalu lintas asup tina sambungan anu parantos (ngadegkeun, aya hubunganana).
Ayeuna urang ngonpigurasikeun Port Knocking dina Mikrotik:

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

Ayeuna leuwih jéntré:

dua aturan kahiji 

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules

nyaram pakét asup tina alamat IP anu didaptarkeun hideung nalika scanning port;

Aturan katilu:

add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules

nambihan ip kana daptar host anu ngadamel sambel munggaran anu leres dina port anu dipikahoyong (19000);
Opat aturan di handap ieu:

add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

nyieun palabuhan bubu pikeun maranéhanana anu rék nyeken palabuhan Anjeun, sarta lamun usaha sapertos nu dideteksi, aranjeunna blacklist IP maranéhna pikeun 60 menit, salila dua aturan kahiji moal masihan host sapertos kasempetan pikeun sambel dina palabuhan bener;

Aturan salajengna:

add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

nempatkeun ip dina daptar diidinan pikeun 1 menit (cukup pikeun nyieun sambungan), saprak sambel bener kadua dijieun dina port nu dipikahoyong (16000);

Paréntah salajengna:

move [/ip firewall filter find comment=RemoteRules] 1

ngalir aturan urang nepi ranté processing firewall, saprak paling dipikaresep urang geus boga rupa prohibiting aturan ngonpigurasi nu bakal nyegah urang karek dijieun tina jalan. Aturan pisan munggaran dina Mikrotik dimimitian ti enol, tapi dina alat abdi enol ieu dikawasaan ku aturan diwangun-di na teu mungkin pikeun mindahkeun éta - Kuring dipindahkeun ka 1. Ku alatan éta, urang nempo setélan urang - dimana urang bisa mindahkeun éta. jeung nunjukkeun nomer nu dipikahoyong.

Setélan salajengna:

/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

maju port dipilih acak 33890 ka port RDP biasa 3389 jeung IP tina komputer atawa terminal server urang kudu. Urang nyieun aturan misalna pikeun sakabéh sumberdaya internal diperlukeun, preferably netepkeun non-standar (jeung béda) palabuhan éksternal. Alami, IP sumberdaya internal kedah statik atanapi ditugaskeun ka server DHCP.

Ayeuna Mikrotik kami dikonpigurasi sareng kami peryogi prosedur anu gampang pikeun pangguna pikeun nyambung ka RDP internal kami. Kusabab urang lolobana boga pamaké Windows, urang nyieun file bat basajan tur nyebut eta StartRDP.bat:

1.htm
1.rdp

sasuai 1.htm ngandung kodeu handap:

<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">

Ieu ngandung dua tumbu ka gambar imajinér anu aya di alamat my_router.sn.mynetname.net - urang nyandak alamat ieu tina sistem DDNS Mikrotik saatos ngaktifkeun ieu dina Mikrotik kami: lebet kana menu IP-> Cloud - pariksa DDNS Diaktipkeun kotak, klik Larapkeun tur salin nami dns tina router urang. Tapi ieu ngan diperlukeun nalika IP éksternal router anu dinamis atawa konfigurasi kalawan sababaraha panyadia Internet dipaké.

Port dina link kahiji: 19000 pakait jeung port kahiji nu Anjeun kudu sambel, dina kadua pakait jeung kadua. Di antara tautan aya instruksi pondok anu nunjukkeun naon anu kudu dilakukeun upami ujug-ujug sambungan urang kaganggu kusabab masalah jaringan pondok - kami nyegerkeun halaman, port RDP dibuka deui pikeun kami salami 1 menit sareng sési kami dibalikeun. Ogé, téks antara tag img nyiptakeun tunda-mikro pikeun browser, anu ngirangan kamungkinan pakét munggaran dikirimkeun ka palabuhan kadua (16000) - dugi ka ayeuna teu aya kasus sapertos kitu dina dua minggu pamakean (30). jalma).

Salajengna asalna file 1.rdp, anu urang tiasa ngonpigurasikeun hiji kanggo sadayana atanapi nyalira pikeun unggal pangguna (éta anu kuring lakukeun - langkung gampang nyéépkeun 15 menit tambahan tibatan sababaraha jam konsultasi ka jalma anu henteu tiasa terang éta) 

screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomain

Salah sahiji setélan anu pikaresepeun di dieu nyaéta ngagunakeun multimon:i: 1 - ieu kalebet panggunaan sababaraha monitor - sababaraha urang peryogi ieu, tapi aranjeunna henteu mikir pikeun ngaktifkeunana sorangan.

tipe sambungan: i: 6 jeung networkautodetect: i: 0 - saprak mayoritas Internet nyaeta luhur 10 Mbit, lajeng aktipkeun tipe sambungan 6 (jaringan lokal 10 Mbit na luhur) jeung nganonaktipkeun networkautodetect, saprak lamun standar nyaeta (otomatis), lajeng malah leutik langka Network latency otomatis nyetél speed pikeun sési urang dina speed handap pikeun lila, nu bisa nyieun reureuh noticeable dina karya, utamana dina program grafik.

nganonaktipkeun wallpaper: i: 1 - nganonaktipkeun gambar desktop
ngaran pamaké:s:myuserlogin - kami nunjukkeun login pamaké, sabab sabagian signifikan tina pamaké urang teu nyaho login maranéhanana
domain: s: mydomain - nunjukkeun domain atawa ngaran komputer

Tapi upami urang hoyong nyederhanakeun tugas nyiptakeun prosedur sambungan, urang ogé tiasa nganggo PowerShell - StartRDP.ps1

Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890

Ogé saeutik ngeunaan klien RDP dina Windows: MS geus datangna cara lila di optimizing protokol jeung server na bagian klien, ngalaksanakeun loba fitur mangpaat - kayaning gawé bareng hardware 3D, optimalisasi resolusi layar pikeun monitor anjeun, multi-layar, jsb. Tapi tangtosna, sadayana dilaksanakeun dina modeu kasaluyuan mundur sareng upami klienna Windows 7 sareng PC jauh Windows 10, teras RDP bakal tiasa dianggo nganggo versi protokol 7.0. Tapi untungna, anjeun tiasa ngamutahirkeun versi RDP ka versi nu leuwih anyar - contona, anjeun tiasa ningkatkeun versi protokol ti 7.0 (Windows 7) kana 8.1. Ku alatan éta, pikeun genah tina klien, Anjeun kudu ngamaksimalkeun versi tina bagian server, sarta ogé nyadiakeun Tumbu pikeun ngapdet ka versi anyar tina protokol RDP klien.

Hasilna, urang boga téhnologi basajan tur rélatif aman pikeun sambungan jauh ka PC gawé atawa server terminal. Tapi pikeun sambungan anu leuwih aman, métode Port Knocking urang bisa dijieun leuwih hese diserang ku sababaraha ordo gedena, ku nambahkeun port mariksa - ngagunakeun logika sarua, Anjeun bisa nambah 3,4,5,6... port jeung Dina hal ieu, intrusi langsung kana jaringan anjeun bakal ampir teu mungkin.

Persiapan file pikeun nyieun sambungan jauh ka RDP.

sumber: www.habr.com

Tambahkeun komentar