Кори дурдаст дар офис. RDP, Port Knocking, Mikrotik: оддӣ ва бехатар

Бар асари пандемияи вируси Ковид-19 ва карантини умумӣ дар бисёр кишварҳо, ягона роҳи идомаи кор барои бисёре аз ширкатҳо дастрасии фосилавӣ ба ҷойҳои корӣ тавассути Интернет мебошад. Бисёр усулҳои нисбатан бехатар барои кори дурдаст вуҷуд доранд - аммо бо назардошти миқёси мушкилот, усули оддии пайвастшавӣ ба офис барои ҳар як корбар лозим аст ва бидуни ниёз ба танзимоти иловагӣ, тавзеҳот, машваратҳои дилгиркунанда ва дастурҳои дароз. Ин усулро бисёр маъмурони RDP (Протоколи Мизи дурдаст) дӯст медоранд. Пайвастшавӣ мустақиман ба ҷои кор тавассути RDP мушкилоти моро ба таври идеалӣ ҳал мекунад, ба истиснои як пашшаи калон дар равған - кушода нигоҳ доштани бандари RDP барои Интернет хеле хатарнок аст. Аз ин рӯ, дар зер ман як усули оддӣ, вале боэътимоди муҳофизатро пешниҳод мекунам.

Азбаски ман зуд-зуд бо ташкилотҳои хурде дучор мешавам, ки дар онҳо дастгоҳҳои Микротик ҳамчун дастрасӣ ба Интернет истифода мешаванд, дар зер нишон дода мешавад, ки чӣ гуна онро дар Mikrotik татбиқ кардан мумкин аст, аммо усули муҳофизати Port Knocking дар дигар дастгоҳҳои дараҷаи олӣ бо танзимоти шабеҳи роутер ва брандмауэр ба осонӣ татбиқ карда мешавад. .

Мухтасар дар бораи Порт-Кокинг. Муҳофизати беҳтарини берунии шабакае, ки ба Интернет пайваст аст, он аст, ки ҳамаи захираҳо ва портҳо аз берун бо девори девор баста мешаванд. Ва гарчанде ки роутер бо чунин девори танзимшуда ба пакетҳое, ки аз берун меоянд, ба ҳеҷ ваҷҳ вокуниш нишон намедиҳад, он ба онҳо гӯш медиҳад. Аз ин рӯ, шумо метавонед роутерро тавре танзим кунед, ки вақте ки пайдарпайии муайяни (рамзи) бастаҳои шабакавӣ дар портҳои гуногун қабул карда мешавад, он (роутер) барои IP аз куҷо бастаҳо омадаанд, дастрасӣ ба захираҳои муайянро (портҳо, протоколҳо, ғайра).

Акнун ба тиҷорат. Ман тавсифи муфассали танзимоти брандмауэрро дар Mikrotik иҷро намекунам - Интернет барои ин пур аз сарчашмаҳои баландсифат аст. Идеалӣ, брандмауэр ҳамаи бастаҳои воридотро маҳкам мекунад, аммо

/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,related

Ба трафики воридотӣ аз пайвастҳои муқарраршуда ва алоқаманд имкон медиҳад.
Ҳоло мо Порт Knocking-ро дар Mikrotik насб кардем:

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

Акнун муфассалтар:

ду қоидаҳои аввал

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules

манъ кардани бастаҳои воридотӣ аз суроғаҳои IP, ки ҳангоми сканкунии порт ба рӯйхати сиёҳ дохил карда шудаанд;

Қоидаи сеюм:

add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules

IP-ро ба рӯйхати ҳостҳое илова мекунад, ки бори аввал дар бандари дуруст кӯфтанд (19000);
Чор қоидаҳои оянда инҳоянд:

add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

барои онҳое, ки портҳои шуморо скан кардан мехоҳанд, портҳои домро эҷод кунед ва агар чунин кӯшишҳо ошкор карда шаванд, IP-и онҳоро дар тӯли 60 дақиқа ба рӯйхати сиёҳ гузоред, ки дар давоми он ду қоидаҳои аввал ба ин гуна ҳостҳо имкони кӯфтани портҳои дурустро намедиҳанд;

Қоидаи навбатӣ:

add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

ip-ро дар рӯйхати иҷозатдодашуда дар тӯли 1 дақиқа мегузорад (барои барқарор кардани пайваст кофӣ аст), зеро дар порти дилхоҳ кӯфтани дуюми дуруст анҷом дода шуд (16000);

Фармони навбатӣ:

move [/ip firewall filter find comment=RemoteRules] 1

қоидаҳои моро ба занҷири коркарди брандмауэр бармеангезад, зеро эҳтимоли зиёд мо аллакай қоидаҳои гуногуни радкуниро танзим карда метавонем, ки ба кори навтаъсиси мо монеъ мешаванд. Аввалин қоида дар Микротик аз сифр оғоз мешавад, аммо дар дастгоҳи ман сифр қоидаи дарунсохтро ишғол карда буд ва интиқол додани он ғайриимкон буд - ман онро ба 1 кӯчондам. Аз ин рӯ, мо ба танзимоти худ назар мекунем - дар куҷо шумо онро кӯчонед. ва рақами дилхоҳро нишон диҳед.

Танзимоти навбатӣ:

/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

порти худсарона интихобшудаи 33890-ро ба порти муқаррарии RDP 3389 ва IP-и компютер ё сервери терминал, ки ба мо лозим аст, интиқол медиҳад. Мо чунин қоидаҳоро барои ҳама захираҳои дохилии зарурӣ эҷод мекунем, беҳтараш портҳои берунии ғайристандартӣ (ва гуногун) муқаррар мекунанд. Табиист, ки IP-и захираҳои дохилӣ бояд дар сервери DHCP статикӣ ё собит бошад.

Ҳоло Микротики мо танзим шудааст ва ба мо тартиби оддии пайвастшавӣ ба RDP дохилии корбар лозим аст. Азбаски мо асосан корбарони Windows дорем, мо файли оддии bat эҷод мекунем ва онро StartRDP.bat номгузорӣ мекунем:

1.htm
1.rdp

мутаносибан 1.htm дорои рамзи зерин аст:

<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">

он дорои ду истинод ба тасвирҳои хаёлӣ мебошад, ки дар my_router.sn.mynetname.net ҷойгиранд - мо ин суроғаро аз системаи DDNS-и Mikrotik пас аз фаъол кардани он дар Mikrotik-и худ мегирем: ба менюи IP-> Абри гузаред - қуттии қайдкунии DDNS Enabled-ро санҷед, Apply клик кунед ва номи dns-и роутери моро нусхабардорӣ кунед. Аммо ин танҳо вақте лозим аст, ки IP-и берунаи роутер динамикӣ бошад ё конфигуратсия бо якчанд провайдерҳои интернетӣ истифода шавад.

Порт дар истиноди аввал: 19000 ба бандари аввале, ки шумо бояд онро бикӯбед, мувофиқат мекунад, дар дуюм, мутаносибан ба дуюм. Дар байни истинодҳо дастури кӯтоҳе мавҷуд аст, ки нишон медиҳад, ки чӣ бояд кард, агар пайвасти мо ногаҳон бо сабаби мушкилоти шабакаи кӯтоҳ қатъ шавад - мо саҳифаро нав мекунем, порти RDP барои мо барои 1 дақиқа боз мешавад ва сессияи мо барқарор мешавад. Инчунин, матни байни барчаспҳои img барои браузер як таъхири хурдро ташкил медиҳад, ки эҳтимолияти интиқоли бастаи аввалро ба бандари дуюм коҳиш медиҳад (16000) - то ҳол дар ду ҳафтаи истифода чунин ҳолатҳо рух надодаанд (30 одамон).

Баъдан файли 1.rdp меояд, ки мо метавонем онро барои ҳама ё алоҳида барои ҳар як корбар танзим кунем (ман ин корро кардам - ​​сарф кардани 15 дақиқаи иловагӣ назар ба чанд соат барои машварат бо онҳое, ки инро фаҳмида натавонистанд осонтар аст)

screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomain

аз танзимоти ҷолиб дар ин ҷо истифодаи multimon аст: i: 1 - ин истифодаи мониторҳои сершуморро дар бар мегирад - баъзеҳо ба ин ниёз доранд, аммо онҳо худашон дар бораи фурӯзон кардани он фикр намекунанд.

навъи пайвастшавӣ: i: 6 ва networkautodetect: i: 0 - азбаски аксарияти Интернет аз 10 Мбит / сония зиёдтар аст, пас навъи пайвасти 6-ро (шабакаи маҳаллӣ 10 Мбит / сония ва болотар) фаъол кунед ва автоматии шабакаро хомӯш кунед, зеро агар бо нобаёнӣ (авто) , он гоҳ ҳатто як таъхири хурди шабакавӣ ба таври худкор сессияи моро ба суръати суст барои муддати тӯлонӣ муқаррар мекунад, ки метавонад таъхирҳои назаррасро дар кор, бахусус дар барномаҳои графикӣ эҷод кунад.

хомӯш кардани обои: i: 1 - ғайрифаъол кардани тасвири мизи корӣ
username:s:myuserlogin - мо воридшавии корбарро муайян мекунем, зеро қисми зиёди корбарони мо воридшавии худро намедонанд
domain:s:mydomain - номи домен ё компютерро муайян кунед

Аммо агар мо хоҳем, ки вазифаи худро барои эҷоди тартиби пайвастшавӣ содда кунем, пас мо метавонем PowerShell - StartRDP.ps1 -ро низ истифода барем.

Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890

Инчунин каме дар бораи муштарии RDP дар Windows: MS дар оптимизатсияи протокол ва қисмҳои сервер ва муштарии он роҳи тӯлониро тай кардааст, бисёр хусусиятҳои муфидро амалӣ кардааст - ба монанди кор бо сахтафзори 3D, оптимизатсияи ҳалли экран барои монитор, бисёрэкран, ва ғайра. Аммо албатта, ҳама чиз дар ҳолати мутобиқати ақиб амалӣ карда мешавад ва агар муштарӣ Windows 7 бошад ва компютери дурдаст Windows 10 бошад, RDP бо истифода аз версияи протоколи 7.0 кор мекунад. Аммо фоида дар он аст, ки шумо метавонед версияҳои RDP-ро ба версияҳои навтарин навсозӣ кунед - масалан, шумо метавонед версияи протоколро аз 7.0 (Windows 7) ба 8.1 навсозӣ кунед. Аз ин рӯ, барои роҳати муштариён, ба қадри имкон версияҳои қисми серверро зиёд кардан, инчунин истинодҳоро барои навсозӣ ба версияҳои нави муштариёни протоколи RDP лозим аст.

Дар натиҷа, мо технологияи оддӣ ва нисбатан бехатар барои пайвасти дурдаст ба компютери корӣ ё сервери терминал дорем. Аммо барои пайвасти бехатартар, усули Port Knocking-и мо метавонад ҳамларо бо якчанд фармоиши бузургӣ бо илова кардани портҳо барои тафтиш душвортар кунад - шумо метавонед мувофиқи ҳамон мантиқ 3,4,5,6 ... порт илова кунед. , ва дар ин ҳолат дахолати мустақим ба шабакаи шумо қариб ғайриимкон хоҳад буд.

Файлҳои холӣ барои эҷоди пайвасти дурдаст ба RDP.

Манбаъ: will.com