ఆఫీసులో రిమోట్ పని. RDP, పోర్ట్ నాకింగ్, మైక్రోటిక్: సాధారణ మరియు సురక్షితమైనది

అనేక దేశాల్లో కోవిడ్-19 వైరస్ మహమ్మారి మరియు సాధారణ నిర్బంధం కారణంగా, చాలా కంపెనీలు పనిని కొనసాగించడానికి ఏకైక మార్గం ఇంటర్నెట్ ద్వారా కార్యాలయాలకు రిమోట్ యాక్సెస్. రిమోట్ పని కోసం చాలా సురక్షితమైన పద్ధతులు ఉన్నాయి - కానీ సమస్య యొక్క స్థాయిని బట్టి, ఏ వినియోగదారు అయినా రిమోట్‌గా కార్యాలయానికి కనెక్ట్ అవ్వడానికి మరియు అదనపు సెట్టింగ్‌లు, వివరణలు, దుర్భరమైన సంప్రదింపులు మరియు సుదీర్ఘమైన అవసరం లేకుండా సరళమైన పద్ధతి అవసరం. సూచనలు. ఈ పద్ధతిని చాలా మంది నిర్వాహకులు RDP (రిమోట్ డెస్క్‌టాప్ ప్రోటోకాల్) ఇష్టపడతారు. RDP ద్వారా నేరుగా వర్క్‌స్టేషన్‌కి కనెక్ట్ చేయడం ద్వారా మా సమస్యను ఆదర్శంగా పరిష్కరిస్తుంది, ఒక పెద్ద ఫ్లై ఆయింట్‌మెంట్ మినహా - ఇంటర్నెట్ కోసం RDP పోర్ట్‌ను తెరిచి ఉంచడం చాలా సురక్షితం కాదు. అందువల్ల, క్రింద నేను సరళమైన కానీ నమ్మదగిన రక్షణ పద్ధతిని ప్రతిపాదిస్తున్నాను.

Mikrotik పరికరాలను ఇంటర్నెట్ కనెక్షన్‌గా ఉపయోగించే చిన్న సంస్థలను నేను తరచుగా చూస్తాను కాబట్టి, Mikrotikలో దీన్ని ఎలా అమలు చేయాలో నేను క్రింద చూపుతాను, అయితే పోర్ట్ నాకింగ్ రక్షణ పద్ధతిని సారూప్య ఇన్‌పుట్ రూటర్ సెట్టింగ్‌లు మరియు ఇతర ఉన్నత-తరగతి పరికరాలలో సులభంగా అమలు చేయవచ్చు. ఫైర్వాల్

పోర్ట్ నాకింగ్ గురించి క్లుప్తంగా. ఇంటర్నెట్‌కు కనెక్ట్ చేయబడిన నెట్‌వర్క్ యొక్క ఆదర్శవంతమైన బాహ్య రక్షణ అనేది అన్ని వనరులు మరియు పోర్ట్‌లు బయట నుండి ఫైర్‌వాల్ ద్వారా మూసివేయబడినప్పుడు. మరియు అటువంటి కాన్ఫిగర్ చేయబడిన ఫైర్‌వాల్ ఉన్న రూటర్ బయటి నుండి వచ్చే ప్యాకెట్‌లకు ఏ విధంగానూ స్పందించనప్పటికీ, అది వాటిని వింటుంది. అందువల్ల, మీరు రౌటర్‌ను కాన్ఫిగర్ చేయవచ్చు, తద్వారా వివిధ పోర్ట్‌లలో నెట్‌వర్క్ ప్యాకెట్‌ల యొక్క నిర్దిష్ట (కోడ్) క్రమాన్ని స్వీకరించినప్పుడు, ప్యాకెట్‌లు వచ్చిన IP కోసం ఇది (రౌటర్), నిర్దిష్ట వనరులకు (పోర్ట్‌లు, ప్రోటోకాల్‌లు మొదలైనవి) ప్రాప్యతను నిరాకరిస్తుంది. .)

ఇప్పుడు పాయింట్. మైక్రోటిక్‌లో ఫైర్‌వాల్‌ను సెటప్ చేయడం గురించి నేను వివరణాత్మక వర్ణనను ఇవ్వను - ఇంటర్నెట్ దీని కోసం నాణ్యమైన వనరులతో నిండి ఉంది. ఆదర్శవంతంగా, ఫైర్‌వాల్ అన్ని ఇన్‌కమింగ్ ప్యాకెట్‌లను బ్లాక్ చేస్తుంది, కానీ

/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,related

ఇప్పటికే ఏర్పాటు చేసిన (స్థాపించిన, సంబంధిత) కనెక్షన్‌ల నుండి ఇన్‌కమింగ్ ట్రాఫిక్‌ను అనుమతిస్తుంది.
ఇప్పుడు మేము మైక్రోటిక్‌లో పోర్ట్ నాకింగ్‌ను కాన్ఫిగర్ చేస్తాము:

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

ఇప్పుడు మరింత వివరంగా:

మొదటి రెండు నియమాలు

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules

పోర్ట్ స్కానింగ్ సమయంలో బ్లాక్‌లిస్ట్ చేయబడిన IP చిరునామాల నుండి ఇన్‌కమింగ్ ప్యాకెట్‌లను నిషేధించండి;

మూడవ నియమం:

add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules

కావలసిన పోర్ట్ (19000)పై సరైన మొదటి నాక్ చేసిన హోస్ట్‌ల జాబితాకు ipని జోడిస్తుంది;
కింది నాలుగు నియమాలు:

add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

మీ పోర్ట్‌లను స్కాన్ చేయాలనుకునే వారి కోసం ట్రాప్ పోర్ట్‌లను సృష్టించండి మరియు అలాంటి ప్రయత్నాలు కనుగొనబడినప్పుడు, వారు వారి IPని 60 నిమిషాల పాటు బ్లాక్‌లిస్ట్ చేస్తారు, ఈ సమయంలో మొదటి రెండు నియమాలు అటువంటి హోస్ట్‌లకు సరైన పోర్ట్‌లను కొట్టే అవకాశాన్ని ఇవ్వవు;

తదుపరి నియమం:

add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

1 నిమిషానికి అనుమతించబడిన వాటి జాబితాలో ipని ఉంచుతుంది (కనెక్షన్ ఏర్పాటు చేయడానికి సరిపోతుంది), ఎందుకంటే కావలసిన పోర్ట్ (16000)లో రెండవ సరైన నాక్ చేయబడుతుంది;

తదుపరి ఆదేశం:

move [/ip firewall filter find comment=RemoteRules] 1

మా నియమాలను ఫైర్‌వాల్ ప్రాసెసింగ్ గొలుసుపైకి తరలిస్తుంది, ఎందుకంటే మనం ఇప్పటికే కొత్తగా సృష్టించిన వాటిని పని చేయకుండా నిరోధించే వివిధ నిషేధిత నియమాలను కాన్ఫిగర్ చేసి ఉండవచ్చు. Mikrotik లో మొట్టమొదటి నియమం సున్నా నుండి ప్రారంభమవుతుంది, కానీ నా పరికరంలో సున్నా అంతర్నిర్మిత నియమం ద్వారా ఆక్రమించబడింది మరియు దానిని తరలించడం అసాధ్యం - నేను దానిని 1కి తరలించాను. అందువల్ల, మేము మా సెట్టింగ్‌లను పరిశీలిస్తాము - మేము దానిని ఎక్కడ తరలించగలము మరియు కావలసిన సంఖ్యను సూచించండి.

తదుపరి సెట్టింగ్:

/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

యాదృచ్ఛికంగా ఎంచుకున్న పోర్ట్ 33890ని సాధారణ RDP పోర్ట్ 3389కి మరియు మనకు అవసరమైన కంప్యూటర్ లేదా టెర్మినల్ సర్వర్ యొక్క IPని ఫార్వార్డ్ చేస్తుంది. మేము అవసరమైన అన్ని అంతర్గత వనరుల కోసం ఇటువంటి నియమాలను రూపొందిస్తాము, ప్రాధాన్యంగా ప్రామాణికం కాని (మరియు విభిన్నమైన) బాహ్య పోర్ట్‌లను సెట్ చేస్తాము. సహజంగానే, అంతర్గత వనరుల IP తప్పనిసరిగా స్థిరంగా లేదా DHCP సర్వర్‌కు కేటాయించబడి ఉండాలి.

ఇప్పుడు మా Mikrotik కాన్ఫిగర్ చేయబడింది మరియు వినియోగదారు మా అంతర్గత RDPకి కనెక్ట్ చేయడానికి మాకు సులభమైన విధానం అవసరం. మనకు ఎక్కువగా Windows వినియోగదారులు ఉన్నందున, మేము ఒక సాధారణ బ్యాట్ ఫైల్‌ని సృష్టించి, దానిని StartRDP.bat అని పిలుస్తాము:

1.htm
1.rdp

తదనుగుణంగా 1.htm కింది కోడ్‌ను కలిగి ఉంది:

<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">

ఇక్కడ my_router.sn.mynetname.net చిరునామాలో ఉన్న ఊహాత్మక చిత్రాలకు రెండు లింక్‌లు ఉన్నాయి - దీన్ని మా Mikrotikలో ప్రారంభించిన తర్వాత మేము Mikrotik DDNS సిస్టమ్ నుండి ఈ చిరునామాను తీసుకుంటాము: IP->Cloud మెనుకి వెళ్లండి - DDNS ప్రారంభించబడిందని తనిఖీ చేయండి బాక్స్, వర్తించు క్లిక్ చేసి, మా రూటర్ యొక్క dns పేరును కాపీ చేయండి. కానీ రూటర్ యొక్క బాహ్య IP డైనమిక్ లేదా అనేక ఇంటర్నెట్ ప్రొవైడర్లతో కాన్ఫిగరేషన్ ఉపయోగించినప్పుడు మాత్రమే ఇది అవసరం.

మొదటి లింక్‌లోని పోర్ట్: 19000 మీరు కొట్టాల్సిన మొదటి పోర్ట్‌కు అనుగుణంగా ఉంటుంది, రెండవది రెండవదానికి అనుగుణంగా ఉంటుంది. చిన్న నెట్‌వర్క్ సమస్యల కారణంగా అకస్మాత్తుగా మా కనెక్షన్‌కు అంతరాయం ఏర్పడితే ఏమి చేయాలో లింక్‌ల మధ్య ఒక చిన్న సూచన ఉంది - మేము పేజీని రిఫ్రెష్ చేస్తాము, RDP పోర్ట్ మా కోసం 1 నిమిషం పాటు మళ్లీ తెరవబడుతుంది మరియు మా సెషన్ పునరుద్ధరించబడుతుంది. అలాగే, img ట్యాగ్‌ల మధ్య వచనం బ్రౌజర్ కోసం మైక్రో-ఆలస్యాన్ని సృష్టిస్తుంది, ఇది మొదటి ప్యాకెట్ రెండవ పోర్ట్ (16000)కి డెలివరీ చేయబడే అవకాశాన్ని తగ్గిస్తుంది - ఇప్పటివరకు రెండు వారాల ఉపయోగంలో అలాంటి సందర్భాలు లేవు (30 ప్రజలు).

తర్వాత 1.rdp ఫైల్ వస్తుంది, దాన్ని మనం అందరికీ లేదా ప్రతి వినియోగదారు కోసం విడిగా కాన్ఫిగర్ చేయవచ్చు (అదే నేను చేసాను - దాన్ని గుర్తించలేని వారిని సంప్రదించడానికి చాలా గంటలు కంటే 15 నిమిషాలు అదనంగా వెచ్చించడం సులభం)

screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomain

ఇక్కడ ఉన్న ఆసక్తికరమైన సెట్టింగ్‌లలో ఒకటి మల్టీమోన్‌ని ఉపయోగించడం: i:1 - ఇందులో బహుళ మానిటర్‌ల వినియోగాన్ని కలిగి ఉంటుంది - కొంతమందికి ఇది అవసరం, కానీ వారు దీన్ని తమంతట తాముగా మార్చుకోవాలని అనుకోరు.

కనెక్షన్ రకం:i:6 మరియు networkautodetect:i:0 - ఇంటర్నెట్‌లో ఎక్కువ భాగం 10 Mbit కంటే ఎక్కువగా ఉన్నందున, కనెక్షన్ రకం 6 (స్థానిక నెట్‌వర్క్ 10 Mbit మరియు అంతకంటే ఎక్కువ)ని ప్రారంభించండి మరియు networkautodetectని నిలిపివేయండి, ఎందుకంటే డిఫాల్ట్ అయితే (ఆటో) అప్పుడు అరుదైన చిన్న నెట్‌వర్క్ జాప్యం కూడా మా సెషన్‌కు స్వయంచాలకంగా వేగాన్ని చాలా కాలం పాటు తక్కువ వేగంతో సెట్ చేస్తుంది, ఇది పనిలో ముఖ్యంగా గ్రాఫిక్స్ ప్రోగ్రామ్‌లలో గుర్తించదగిన జాప్యాలను సృష్టించగలదు.

వాల్‌పేపర్‌ను నిలిపివేయండి: i:1 - డెస్క్‌టాప్ చిత్రాన్ని నిలిపివేయండి
వినియోగదారు పేరు:s:myuserlogin - మేము వినియోగదారు లాగిన్‌ని సూచిస్తాము, ఎందుకంటే మా వినియోగదారులలో గణనీయమైన భాగం వారి లాగిన్ తెలియదు
domain:s:mydomain - డొమైన్ లేదా కంప్యూటర్ పేరును సూచించండి

కానీ మేము కనెక్షన్ విధానాన్ని సృష్టించే పనిని సులభతరం చేయాలనుకుంటే, మేము PowerShell - StartRDP.ps1ని కూడా ఉపయోగించవచ్చు.

Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890

Windowsలో RDP క్లయింట్ గురించి కూడా కొంచెం: MS ప్రోటోకాల్ మరియు దాని సర్వర్ మరియు క్లయింట్ భాగాలను ఆప్టిమైజ్ చేయడంలో, హార్డ్‌వేర్ 3Dతో పని చేయడం, మీ మానిటర్ కోసం స్క్రీన్ రిజల్యూషన్‌ను ఆప్టిమైజ్ చేయడం వంటి అనేక ఉపయోగకరమైన ఫీచర్‌లను అమలు చేయడంలో చాలా ముందుకు వచ్చింది, బహుళ-స్క్రీన్, మొదలైనవి అయితే, ప్రతిదీ బ్యాక్‌వర్డ్ కంపాటబిలిటీ మోడ్‌లో అమలు చేయబడుతుంది మరియు క్లయింట్ Windows 7 మరియు రిమోట్ PC Windows 10 అయితే, RDP ప్రోటోకాల్ వెర్షన్ 7.0 ఉపయోగించి పని చేస్తుంది. కానీ అదృష్టవశాత్తూ, మీరు RDP సంస్కరణలను ఇటీవలి సంస్కరణలకు నవీకరించవచ్చు - ఉదాహరణకు, మీరు ప్రోటోకాల్ సంస్కరణను 7.0 (Windows 7) నుండి 8.1కి అప్‌గ్రేడ్ చేయవచ్చు. అందువల్ల, క్లయింట్‌ల సౌలభ్యం కోసం, మీరు సర్వర్ భాగం యొక్క సంస్కరణలను గరిష్టీకరించాలి మరియు RDP ప్రోటోకాల్ క్లయింట్‌ల యొక్క కొత్త సంస్కరణలకు నవీకరించడానికి లింక్‌లను కూడా అందించాలి.

ఫలితంగా, మేము పని PC లేదా టెర్మినల్ సర్వర్‌కు రిమోట్ కనెక్షన్ కోసం సరళమైన మరియు సాపేక్షంగా సురక్షితమైన సాంకేతికతను కలిగి ఉన్నాము. కానీ మరింత సురక్షితమైన కనెక్షన్ కోసం, మా పోర్ట్ నాకింగ్ పద్ధతిని తనిఖీ చేయడానికి పోర్ట్‌లను జోడించడం ద్వారా అనేక ఆర్డర్‌ల ద్వారా దాడి చేయడం కష్టతరం చేయవచ్చు - అదే లాజిక్‌ని ఉపయోగించి, మీరు 3,4,5,6... పోర్ట్ మరియు ఈ సందర్భంలో, మీ నెట్‌వర్క్‌లోకి నేరుగా చొరబడడం దాదాపు అసాధ్యం .

RDPకి రిమోట్ కనెక్షన్‌ని సృష్టించడానికి ఫైల్ సన్నాహాలు.

మూలం: www.habr.com