புரோஹோஸ்டர் > Блог > நிர்வாகம் > அலுவலகத்தில் தொலைதூர வேலை. RDP, போர்ட் நாக்கிங், மைக்ரோடிக்: எளிமையானது மற்றும் பாதுகாப்பானது

அலுவலகத்தில் தொலைதூர வேலை. RDP, போர்ட் நாக்கிங், மைக்ரோடிக்: எளிமையானது மற்றும் பாதுகாப்பானது

கோவிட்-19 வைரஸ் தொற்றுநோய் மற்றும் பல நாடுகளில் உள்ள பொதுவான தனிமைப்படுத்தலின் காரணமாக, பல நிறுவனங்கள் தொடர்ந்து வேலை செய்வதற்கான ஒரே வழி இணையம் வழியாக பணியிடங்களுக்கு தொலைதூர அணுகல் மட்டுமே. தொலைதூர வேலைக்கு ஒப்பீட்டளவில் பாதுகாப்பான பல முறைகள் உள்ளன - ஆனால் சிக்கலின் அளவைக் கருத்தில் கொண்டு, எந்தவொரு பயனரும் அலுவலகத்துடன் தொலைதூரத்தில் இணைக்க ஒரு எளிய முறை தேவைப்படுகிறது மற்றும் கூடுதல் அமைப்புகள், விளக்கங்கள், கடினமான ஆலோசனைகள் மற்றும் நீண்ட அறிவுறுத்தல்கள் தேவையில்லை. இந்த முறை பல நிர்வாகிகளால் விரும்பப்படுகிறது RDP (ரிமோட் டெஸ்க்டாப் புரோட்டோகால்). RDP வழியாக பணியிடத்துடன் நேரடியாக இணைப்பது, களிம்புகளில் ஒரு பெரிய ஈவைத் தவிர, எங்கள் சிக்கலைத் தீர்க்கிறது - RDP போர்ட்டை இணையத்திற்குத் திறந்து வைத்திருப்பது மிகவும் பாதுகாப்பற்றது. எனவே, கீழே நான் ஒரு எளிய ஆனால் நம்பகமான பாதுகாப்பு முறையை முன்மொழிகிறேன்.அலுவலகத்தில் தொலைதூர வேலை. RDP, போர்ட் நாக்கிங், மைக்ரோடிக்: எளிமையானது மற்றும் பாதுகாப்பானது

Mikrotik சாதனங்கள் இணைய அணுகலாகப் பயன்படுத்தப்படும் சிறிய நிறுவனங்களை நான் அடிக்கடி சந்திப்பதால், Mikrotik இல் இதை எவ்வாறு செயல்படுத்துவது என்பது கீழே காண்பிக்கப்படும், ஆனால் Port Knocking பாதுகாப்பு முறையானது இதே போன்ற உள்ளீட்டு திசைவி அமைப்புகள் மற்றும் ஃபயர்வால் கொண்ட பிற உயர்தர சாதனங்களில் எளிதாக செயல்படுத்தப்படுகிறது. .

போர்ட் நாக்கிங் பற்றி சுருக்கமாக. இணையத்துடன் இணைக்கப்பட்ட பிணையத்தின் சிறந்த வெளிப்புற பாதுகாப்பு, அனைத்து வளங்களும் துறைமுகங்களும் வெளியில் இருந்து ஃபயர்வால் மூலம் மூடப்படும். அத்தகைய கட்டமைக்கப்பட்ட ஃபயர்வால் கொண்ட திசைவி வெளியில் இருந்து வரும் பாக்கெட்டுகளுக்கு எந்த வகையிலும் எதிர்வினையாற்றவில்லை என்றாலும், அது அவற்றைக் கேட்கிறது. எனவே, நீங்கள் திசைவியை உள்ளமைக்கலாம், இதனால் நெட்வொர்க் பாக்கெட்டுகளின் ஒரு குறிப்பிட்ட (குறியீடு) வரிசை வெவ்வேறு போர்ட்களில் பெறப்பட்டால், அது (திசைவி) ஐபிக்கான பாக்கெட்டுகள் சில ஆதாரங்களுக்கான அணுகலைத் துண்டிக்கிறது (போர்ட்கள், நெறிமுறைகள், முதலியன).

இப்போது வணிகத்திற்கு. Mikrotik இல் ஃபயர்வால் அமைப்புகளின் விரிவான விளக்கத்தை நான் செய்ய மாட்டேன் - இணையம் இதற்கான உயர்தர ஆதாரங்களால் நிரம்பியுள்ளது. வெறுமனே, ஃபயர்வால் அனைத்து உள்வரும் பாக்கெட்டுகளையும் தடுக்கிறது, ஆனால் 

/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,related

நிறுவப்பட்ட, தொடர்புடைய இணைப்புகளிலிருந்து உள்வரும் போக்குவரத்தை அனுமதிக்கிறது.
இப்போது Mikrotik இல் போர்ட் நாக்கிங் அமைக்கிறோம்:

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

இப்போது இன்னும் விரிவாக:

முதல் இரண்டு விதிகள் 

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules

போர்ட் ஸ்கேனிங்கின் போது தடுப்புப்பட்டியலில் உள்ள IP முகவரிகளிலிருந்து உள்வரும் பாக்கெட்டுகளை தடை செய்தல்;

மூன்றாவது விதி:

add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules

சரியான போர்ட்டில் (19000) சரியான முதல் நாக் செய்த ஹோஸ்ட்களின் பட்டியலில் ip ஐ சேர்க்கிறது;
அடுத்த நான்கு விதிகள்:

add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

உங்கள் போர்ட்களை ஸ்கேன் செய்ய விரும்புவோருக்கு ட்ராப் போர்ட்களை உருவாக்கவும், அத்தகைய முயற்சிகள் கண்டறியப்பட்டால், அவர்களின் ஐபியை 60 நிமிடங்களுக்கு தடுப்புப்பட்டியலில் வைக்கவும், இதன் போது முதல் இரண்டு விதிகள் அத்தகைய ஹோஸ்ட்களுக்கு சரியான போர்ட்களைத் தட்டுவதற்கான வாய்ப்பை வழங்காது;

அடுத்த விதி:

add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

1 நிமிடத்திற்கு அனுமதிக்கப்பட்ட பட்டியலில் ஐபியை வைக்கிறது (இணைப்பை நிறுவ போதுமானது), ஏனெனில் விரும்பிய போர்ட்டில் (16000) இரண்டாவது சரியான நாக் செய்யப்பட்டது;

பின்வரும் கட்டளை:

move [/ip firewall filter find comment=RemoteRules] 1

எங்கள் விதிகளை ஃபயர்வால் செயலாக்கச் சங்கிலியில் நகர்த்துகிறது, ஏனெனில் பெரும்பாலும் நாங்கள் ஏற்கனவே வெவ்வேறு மறுப்பு விதிகளை உள்ளமைத்துள்ளோம், அது புதிதாக உருவாக்கப்பட்டவை செயல்படுவதைத் தடுக்கும். Mikrotik இன் முதல் விதி பூஜ்ஜியத்திலிருந்து தொடங்குகிறது, ஆனால் எனது சாதனத்தில் பூஜ்ஜியம் உள்ளமைக்கப்பட்ட விதியால் ஆக்கிரமிக்கப்பட்டுள்ளது, அதை நகர்த்துவது சாத்தியமில்லை - நான் அதை 1 க்கு நகர்த்தினேன். எனவே, எங்கள் அமைப்புகளைப் பார்க்கிறோம் - நீங்கள் அதை எங்கு நகர்த்தலாம் மற்றும் விரும்பிய எண்ணைக் குறிக்கவும்.

அடுத்த அமைப்பு:

/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

தன்னிச்சையாக தேர்ந்தெடுக்கப்பட்ட போர்ட் 33890 ஐ வழக்கமான RDP போர்ட் 3389 க்கு அனுப்புகிறது மற்றும் நமக்குத் தேவையான கணினி அல்லது டெர்மினல் சர்வரின் ip. தேவையான அனைத்து உள் வளங்களுக்கும் இதுபோன்ற விதிகளை நாங்கள் உருவாக்குகிறோம், முன்னுரிமை தரமற்ற (மற்றும் வேறுபட்ட) வெளிப்புற துறைமுகங்களை அமைக்கிறோம். இயற்கையாகவே, DHCP சேவையகத்தில் உள்ளக வளங்களின் ip நிலையான அல்லது நிலையானதாக இருக்க வேண்டும்.

இப்போது எங்கள் Mikrotik கட்டமைக்கப்பட்டுள்ளது மற்றும் பயனர் எங்கள் உள் RDP உடன் இணைக்க ஒரு எளிய செயல்முறை தேவை. எங்களிடம் முக்கியமாக விண்டோஸ் பயனர்கள் இருப்பதால், நாங்கள் ஒரு எளிய பேட் கோப்பை உருவாக்கி அதற்கு StartRDP.bat என்று பெயரிடுகிறோம்:

1.htm
1.rdp

முறையே 1.htm பின்வரும் குறியீட்டைக் கொண்டுள்ளது:

<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">

இது my_router.sn.mynetname.net இல் உள்ள கற்பனைப் படங்களுக்கான இரண்டு இணைப்புகளைக் கொண்டுள்ளது - இந்த முகவரியை Mikrotik DDNS அமைப்பிலிருந்து எங்கள் Mikrotik இல் செயல்படுத்திய பின் எடுக்கிறோம்: IP-> Cloud மெனுவிற்குச் செல்லவும் - DDNS இயக்கப்பட்ட தேர்வுப்பெட்டியை சரிபார்க்கவும், விண்ணப்பிக்கவும் என்பதைக் கிளிக் செய்து, எங்கள் திசைவியின் dns பெயரை நகலெடுக்கவும். ஆனால் திசைவியின் வெளிப்புற ஐபி மாறும் அல்லது பல இணைய வழங்குநர்களுடன் உள்ளமைவு பயன்படுத்தப்படும்போது மட்டுமே இது அவசியம்.

முதல் இணைப்பில் உள்ள போர்ட்: 19000 நீங்கள் தட்ட வேண்டிய முதல் துறைமுகத்திற்கு ஒத்திருக்கிறது, இரண்டாவது முறையே, இரண்டாவது. இணைப்புகளுக்கு இடையில், குறுகிய நெட்வொர்க் சிக்கல்கள் காரணமாக எங்கள் இணைப்பு திடீரென தடைபட்டால் என்ன செய்வது என்பதைக் காட்டும் ஒரு சிறிய அறிவுறுத்தல் உள்ளது - நாங்கள் பக்கத்தைப் புதுப்பிக்கிறோம், RDP போர்ட் எங்களுக்காக 1 நிமிடம் மீண்டும் திறக்கப்படும் மற்றும் எங்கள் அமர்வு மீட்டமைக்கப்படும். மேலும், img குறிச்சொற்களுக்கு இடையிலான உரை உலாவிக்கு மைக்ரோ-தாமதத்தை உருவாக்குகிறது, இது முதல் பாக்கெட் இரண்டாவது போர்ட்டிற்கு (16000) வழங்கப்படுவதற்கான வாய்ப்பைக் குறைக்கிறது - இதுவரை இரண்டு வார பயன்பாட்டில் இதுபோன்ற வழக்குகள் எதுவும் இல்லை (30 மக்கள்).

அடுத்து 1.rdp கோப்பு வருகிறது, அதை நாம் அனைவருக்கும் அல்லது ஒவ்வொரு பயனருக்கும் தனித்தனியாக உள்ளமைக்க முடியும் (நான் இதைச் செய்தேன் - அதைக் கண்டுபிடிக்க முடியாதவர்களுடன் ஆலோசனை செய்வதை விட 15 நிமிடங்கள் கூடுதல் நேரம் செலவிடுவது எளிது) 

screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomain

இங்கே உள்ள சுவாரஸ்யமான அமைப்புகளில் மல்டிமோனைப் பயன்படுத்தவும்: i: 1 - இதில் பல மானிட்டர்களின் பயன்பாடு அடங்கும் - சிலருக்கு இது தேவை, ஆனால் அவர்களே அதை இயக்க நினைக்க மாட்டார்கள்.

இணைப்பு வகை: i: 6 மற்றும் networkautodetect: i: 0 - இணையத்தின் பெரும்பகுதி 10 Mbps க்கு மேல் இருப்பதால், இணைப்பு வகை 6 ஐ (உள்ளூர் நெட்வொர்க் 10 Mbps மற்றும் அதற்கு மேல்) இயக்கி நெட்வொர்க்autodetect ஐ முடக்கவும், ஏனெனில் முன்னிருப்பாக இருந்தால் (தானாக) , ஒரு அரிதான சிறிய நெட்வொர்க் தாமதம் கூட தானாகவே நீண்ட காலத்திற்கு எங்கள் அமர்வை மெதுவான வேகத்திற்கு அமைக்கிறது, இது வேலையில் குறிப்பிடத்தக்க தாமதங்களை உருவாக்கலாம், குறிப்பாக கிராபிக்ஸ் நிரல்களில்.

வால்பேப்பரை முடக்கு: i: 1 - டெஸ்க்டாப் படத்தை முடக்கு
பயனர்பெயர்:s:myuserlogin - எங்கள் பயனர்களில் கணிசமான பகுதியினர் தங்கள் உள்நுழைவை அறியாததால், பயனர் உள்நுழைவை நாங்கள் குறிப்பிடுகிறோம்.
domain:s:mydomain - டொமைன் அல்லது கணினி பெயரைக் குறிப்பிடவும்

ஆனால் இணைப்பு செயல்முறையை உருவாக்கும் பணியை எளிதாக்க விரும்பினால், நாம் PowerShell - StartRDP.ps1ஐயும் பயன்படுத்தலாம்.

Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890

விண்டோஸில் உள்ள RDP கிளையண்ட் பற்றி கொஞ்சம்: நெறிமுறை மற்றும் அதன் சர்வர் மற்றும் கிளையன்ட் பாகங்களை மேம்படுத்துவதில் MS நீண்ட தூரம் வந்துள்ளது, பல பயனுள்ள அம்சங்களை செயல்படுத்தியுள்ளது - வன்பொருள் 3D உடன் பணிபுரிதல், உங்கள் மானிட்டரின் திரை தெளிவுத்திறனை மேம்படுத்துதல், மல்டிஸ்கிரீன், மற்றும் பல. ஆனால் நிச்சயமாக, எல்லாம் பின்தங்கிய பொருந்தக்கூடிய பயன்முறையில் செயல்படுத்தப்படுகிறது, மேலும் கிளையன்ட் விண்டோஸ் 7 ஆகவும், ரிமோட் பிசி விண்டோஸ் 10 ஆகவும் இருந்தால், நெறிமுறை பதிப்பு 7.0 ஐப் பயன்படுத்தி RDP வேலை செய்யும். ஆனால் நன்மை என்னவென்றால், நீங்கள் RDP பதிப்புகளை சமீபத்திய பதிப்புகளுக்கு புதுப்பிக்கலாம் - எடுத்துக்காட்டாக, நீங்கள் நெறிமுறை பதிப்பை 7.0 (Windows 7) இலிருந்து 8.1 க்கு மேம்படுத்தலாம். எனவே, வாடிக்கையாளர்களின் வசதிக்காக, சர்வர் பகுதியின் பதிப்புகளை முடிந்தவரை அதிகரிக்க வேண்டியது அவசியம், அதே போல் RDP புரோட்டோகால் கிளையண்டுகளின் புதிய பதிப்புகளுக்கு மேம்படுத்த இணைப்புகளை கைவிட வேண்டும்.

இதன் விளைவாக, வேலை செய்யும் பிசி அல்லது டெர்மினல் சர்வருடன் தொலைநிலை இணைப்புக்கான எளிய மற்றும் ஒப்பீட்டளவில் பாதுகாப்பான தொழில்நுட்பம் எங்களிடம் உள்ளது. ஆனால் மிகவும் பாதுகாப்பான இணைப்பிற்கு, எங்கள் போர்ட் நாக்கிங் முறையை பல ஆர்டர்கள் மூலம் தாக்குவது மிகவும் கடினமாக இருக்கும், சரிபார்க்க போர்ட்களைச் சேர்ப்பதன் மூலம் - அதே தர்க்கத்தின்படி நீங்கள் 3,4,5,6 ... ஒரு போர்ட்டைச் சேர்க்கலாம். , இந்த விஷயத்தில் உங்கள் நெட்வொர்க்கில் நேரடியாக ஊடுருவுவது கிட்டத்தட்ட சாத்தியமற்றது.

RDP க்கு ரிமோட் இணைப்பை உருவாக்குவதற்கான வெற்று கோப்புகள்.

ஆதாரம்: www.habr.com

கருத்தைச் சேர்