پرو ہوسٹر > بلاگ > انتظامیہ > دفتر میں دور دراز کا کام۔ آر ڈی پی، پورٹ نوکنگ، میکروٹک: سادہ اور محفوظ

دفتر میں دور دراز کا کام۔ آر ڈی پی، پورٹ نوکنگ، میکروٹک: سادہ اور محفوظ

بہت سے ممالک میں کوویڈ 19 وائرس کی وبائی بیماری اور عام قرنطینہ کی وجہ سے، بہت سی کمپنیوں کے لیے کام جاری رکھنے کا واحد راستہ انٹرنیٹ کے ذریعے کام کی جگہوں تک دور دراز تک رسائی ہے۔ دور دراز کے کام کے لیے بہت سے نسبتاً محفوظ طریقے ہیں - لیکن مسئلے کے پیمانے کو دیکھتے ہوئے، کسی بھی صارف کے لیے دفتر سے دور سے جڑنے کے لیے ایک آسان طریقہ کی ضرورت ہے اور اضافی ترتیبات، وضاحتوں، تھکا دینے والی مشاورت اور طویل ہدایات کی ضرورت کے بغیر۔ یہ طریقہ بہت سے منتظمین RDP (ریموٹ ڈیسک ٹاپ پروٹوکول) کو پسند کرتے ہیں۔ RDP کے ذریعے کام کی جگہ سے براہ راست جڑنا مثالی طور پر ہمارا مسئلہ حل کرتا ہے، سوائے مرہم میں ایک بڑی مکھی کے - انٹرنیٹ کے لیے RDP پورٹ کو کھلا رکھنا بہت غیر محفوظ ہے۔ لہذا، ذیل میں میں تحفظ کا ایک آسان لیکن قابل اعتماد طریقہ تجویز کرتا ہوں۔دفتر میں دور دراز کا کام۔ آر ڈی پی، پورٹ نوکنگ، میکروٹک: سادہ اور محفوظ

چونکہ میں اکثر چھوٹی تنظیموں میں آتا ہوں جہاں Mikrotik ڈیوائسز کو انٹرنیٹ تک رسائی کے طور پر استعمال کیا جاتا ہے، اس لیے ذیل میں دکھایا جائے گا کہ اسے Mikrotik پر کیسے لاگو کیا جائے، لیکن پورٹ نوکنگ پروٹیکشن کا طریقہ اسی طرح کے ان پٹ راؤٹر سیٹنگز اور فائر وال والی دیگر اعلیٰ قسم کے آلات پر آسانی سے لاگو کیا جاتا ہے۔ .

پورٹ نوکنگ کے بارے میں مختصراً. انٹرنیٹ سے منسلک نیٹ ورک کا مثالی بیرونی تحفظ اس وقت ہوتا ہے جب تمام وسائل اور بندرگاہوں کو فائر وال کے ذریعے باہر سے بند کر دیا جاتا ہے۔ اور اگرچہ اس طرح کی ترتیب شدہ فائر وال والا راؤٹر باہر سے آنے والے پیکٹوں پر کسی بھی طرح سے رد عمل ظاہر نہیں کرتا ہے، لیکن یہ ان کی بات سنتا ہے۔ لہذا، آپ راؤٹر کو ترتیب دے سکتے ہیں تاکہ جب مختلف پورٹس پر نیٹ ورک پیکٹوں کی ایک مخصوص (کوڈ) ترتیب موصول ہوتی ہے، تو یہ (راؤٹر) آئی پی کے لیے جہاں سے پیکٹ آئے تھے کچھ وسائل (پورٹس، پروٹوکول،) تک رسائی بند کر دیتے ہیں۔ وغیرہ)۔

اب کاروبار کی طرف۔ میں Mikrotik پر فائر وال کی ترتیبات کی تفصیلی وضاحت نہیں کروں گا - انٹرنیٹ اس کے لئے اعلی معیار کے ذرائع سے بھرا ہوا ہے. مثالی طور پر، فائر وال تمام آنے والے پیکٹوں کو روکتا ہے، لیکن 

/ip firewall filter
add action=accept chain=input comment="established and related accept" connection-state=established,related

قائم، متعلقہ کنکشن سے آنے والی ٹریفک کی اجازت دیتا ہے۔
اب ہم نے Mikrotik پر پورٹ نوکنگ ترتیب دی ہے۔

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
move [/ip firewall filter find comment=RemoteRules] 1
/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

اب مزید:

پہلے دو اصول 

/ip firewall filter
add action=drop chain=input dst-port=19000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules
add action=drop chain=input dst-port=16000 protocol=tcp src-address-list="Black_scanners" comment=RemoteRules

پورٹ اسکیننگ کے دوران بلیک لسٹ کیے گئے IP پتوں سے آنے والے پیکٹوں کو روکنا؛

تیسرا اصول:

add action=add-src-to-address-list address-list="remote_port_1" address-list-timeout=1m chain=input dst-port=19000 protocol=tcp comment=RemoteRules

ip کو میزبانوں کی فہرست میں شامل کرتا ہے جنہوں نے صحیح پورٹ (19000) پر صحیح پہلی دستک دی تھی۔
اگلے چار اصول ہیں:

add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=19001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=18999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=16001 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules
add action=add-src-to-address-list address-list="Black_scanners" address-list-timeout=60m chain=input dst-port=15999 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

ان لوگوں کے لیے ٹریپ پورٹس بنائیں جو آپ کی بندرگاہوں کو اسکین کرنا چاہتے ہیں، اور اگر ایسی کوششوں کا پتہ چل جائے تو ان کے آئی پی کو 60 منٹ کے لیے بلیک لسٹ کریں، اس دوران پہلے دو اصول ایسے میزبانوں کو صحیح بندرگاہوں پر دستک دینے کا موقع نہیں دیں گے۔

اگلا اصول:

add action=add-src-to-address-list address-list="allow_remote_users" address-list-timeout=1m chain=input dst-port=16000 protocol=tcp src-address-list="remote_port_1" comment=RemoteRules

آئی پی کو اجازت شدہ فہرست میں 1 منٹ کے لیے رکھتا ہے (کنکشن قائم کرنے کے لیے کافی ہے)، چونکہ دوسری درست دستک مطلوبہ پورٹ (16000) پر کی گئی تھی۔

مندرجہ ذیل کمانڈ:

move [/ip firewall filter find comment=RemoteRules] 1

ہمارے قوانین کو فائر وال پروسیسنگ چین کو اوپر لے جاتا ہے، کیونکہ زیادہ تر امکان ہے کہ ہمارے پاس پہلے سے ہی مختلف تردید کے قواعد موجود ہوں گے جو ہمارے نئے بنائے گئے قوانین کو کام کرنے سے روکیں گے۔ Mikrotik میں پہلا اصول صفر سے شروع ہوتا ہے، لیکن میرے آلے پر صفر پر پہلے سے موجود اصول کا قبضہ تھا اور اسے منتقل کرنا ناممکن تھا - میں نے اسے 1 میں منتقل کر دیا ہے۔ اس لیے، ہم اپنی ترتیبات کو دیکھتے ہیں - جہاں آپ اسے منتقل کر سکتے ہیں اور مطلوبہ نمبر کی نشاندہی کریں۔

اگلی ترتیب:

/ip firewall nat
add action=dst-nat chain=dstnat comment="remote_rdp_to_33" src-address-list="allow_remote_users" dst-port=33890 in-interface-list=WAN protocol=tcp to-addresses=192.168.1.33 to-ports=3389

من مانی طور پر منتخب کردہ پورٹ 33890 کو معمول کے RDP پورٹ 3389 اور کمپیوٹر یا ٹرمینل سرور کے آئی پی کو آگے بھیجتا ہے جس کی ہمیں ضرورت ہے۔ ہم تمام ضروری داخلی وسائل کے لیے ایسے اصول بناتے ہیں، ترجیحاً غیر معیاری (اور مختلف) بیرونی بندرگاہوں کو ترتیب دیتے ہیں۔ قدرتی طور پر، اندرونی وسائل کا آئی پی یا تو جامد ہونا چاہیے یا DHCP سرور پر فکس ہونا چاہیے۔

اب ہمارا Mikrotik کنفیگر ہو گیا ہے اور ہمیں صارف کے لیے اپنے اندرونی RDP سے جڑنے کے لیے ایک سادہ طریقہ کار کی ضرورت ہے۔ چونکہ ہمارے پاس بنیادی طور پر ونڈوز کے صارفین ہیں، ہم ایک سادہ بیٹ فائل بناتے ہیں اور اسے StartRDP.bat کا نام دیتے ہیں:

1.htm
1.rdp

بالترتیب 1.htm درج ذیل کوڈ پر مشتمل ہے:

<img src="http://my_router.sn.mynetname.net:19000/1.jpg">
нажмите обновить страницу для повторного захода по RDP
<img src="http://my_router.sn.mynetname.net:16000/2.jpg">

اس میں خیالی تصویروں کے دو لنکس ہیں جو my_router.sn.mynetname.net پر موجود ہیں - ہم اس ایڈریس کو اپنے Mikrotik میں فعال کرنے کے بعد Mikrotik DDNS سسٹم سے لیتے ہیں: IP-> Cloud مینو پر جائیں - DDNS فعال چیک باکس کو چیک کریں، اپلائی پر کلک کریں اور ہمارے راؤٹر کا ڈی این ایس نام کاپی کریں۔ لیکن یہ صرف اس صورت میں ضروری ہے جب روٹر کا بیرونی آئی پی متحرک ہو یا متعدد انٹرنیٹ فراہم کنندگان کے ساتھ کنفیگریشن استعمال کی گئی ہو۔

پہلے لنک میں موجود پورٹ: 19000 پہلی بندرگاہ کے مساوی ہے جس پر آپ کو دستک کرنے کی ضرورت ہے، بالترتیب، دوسری میں، دوسری میں۔ لنکس کے درمیان ایک مختصر ہدایت ہے جو بتاتی ہے کہ اگر نیٹ ورک کے مختصر مسائل کی وجہ سے اچانک ہمارا کنکشن منقطع ہو جائے تو کیا کرنا ہے - ہم صفحہ کو ریفریش کرتے ہیں، RDP پورٹ ہمارے لیے 1 منٹ کے لیے دوبارہ کھل جاتا ہے اور ہمارا سیشن بحال ہو جاتا ہے۔ اس کے علاوہ، img ٹیگز کے درمیان متن براؤزر کے لیے ایک مائیکرو تاخیر کا باعث بنتا ہے، جس سے پہلے پیکٹ کے دوسرے پورٹ (16000) پر ڈیلیور کیے جانے کا امکان کم ہو جاتا ہے - اب تک دو ہفتوں کے استعمال میں ایسا کوئی کیس سامنے نہیں آیا ہے (30) لوگ)۔

اس کے بعد 1.rdp فائل آتی ہے، جسے ہم سب کے لیے یا ہر صارف کے لیے الگ الگ کنفیگر کر سکتے ہیں (میں نے یہ کیا - جو لوگ اس کا پتہ نہیں لگا سکے ان سے مشورہ کرنے میں چند گھنٹوں کے مقابلے میں 15 منٹ کا اضافی وقت گزارنا آسان ہے) 

screen mode id:i:2
use multimon:i:1
.....
connection type:i:6
networkautodetect:i:0
.....
disable wallpaper:i:1
.....
full address:s:my_router.sn.mynetname.net:33890
.....
username:s:myuserlogin
domain:s:mydomain

یہاں کی دلچسپ ترتیبات میں سے multimon کا استعمال ہے: i: 1 - اس میں ایک سے زیادہ مانیٹر کا استعمال شامل ہے - کچھ کو اس کی ضرورت ہے، لیکن وہ خود اسے آن کرنے کے بارے میں نہیں سوچیں گے۔

کنکشن کی قسم: i: 6 اور networkautodetect: i: 0 - چونکہ انٹرنیٹ کی اکثریت 10 Mbps سے اوپر ہے، تو کنکشن کی قسم 6 (مقامی نیٹ ورک 10 Mbps اور اس سے اوپر) کو آن کریں اور نیٹ ورک آٹو ڈیٹیکٹ کو بند کردیں، کیونکہ اگر پہلے سے طے شدہ (آٹو) ، تب بھی ایک نایاب چھوٹا نیٹ ورک لیٹنسی خود بخود ہمارے سیشن کو لمبے عرصے تک سست رفتار پر سیٹ کر دیتی ہے، جو کام میں خاص طور پر گرافکس پروگراموں میں نمایاں تاخیر پیدا کر سکتی ہے۔

وال پیپر کو غیر فعال کریں: i: 1 - ڈیسک ٹاپ تصویر کو غیر فعال کریں۔
username:s:myuserlogin - ہم صارف کے لاگ ان کی وضاحت کرتے ہیں، کیونکہ ہمارے صارفین کا ایک بڑا حصہ اپنے لاگ ان کو نہیں جانتا
domain:s:mydomain - ڈومین یا کمپیوٹر کا نام بتائیں

لیکن اگر ہم کنکشن کے طریقہ کار کو بنانے کے اپنے کام کو آسان بنانا چاہتے ہیں، تو ہم PowerShell - StartRDP.ps1 بھی استعمال کر سکتے ہیں۔

Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 19000
Test-NetConnection -ComputerName my_router.sn.mynetname.net -Port 16000
mstsc /v:my_router.sn.mynetname.net:33890

ونڈوز میں آر ڈی پی کلائنٹ کے بارے میں بھی تھوڑا سا: ایم ایس نے پروٹوکول اور اس کے سرور اور کلائنٹ کے حصوں کو بہتر بنانے میں ایک طویل راستہ طے کیا ہے، بہت سے مفید خصوصیات کو لاگو کیا ہے - جیسے ہارڈ ویئر 3D کے ساتھ کام کرنا، آپ کے مانیٹر کے لیے اسکرین ریزولوشن کو بہتر بنانا، ملٹی اسکرین، اور اسی طرح. لیکن یقینا، ہر چیز کو پسماندہ مطابقت کے موڈ میں لاگو کیا جاتا ہے، اور اگر کلائنٹ ونڈوز 7 ہے، اور ریموٹ پی سی ونڈوز 10 ہے، تو RDP پروٹوکول ورژن 7.0 کا استعمال کرتے ہوئے کام کرے گا۔ لیکن فائدہ یہ ہے کہ آپ RDP ورژن کو مزید حالیہ ورژنز میں اپ ڈیٹ کر سکتے ہیں - مثال کے طور پر، آپ پروٹوکول ورژن کو 7.0 (Windows 7) سے 8.1 تک اپ گریڈ کر سکتے ہیں۔ لہذا، کلائنٹس کی سہولت کے لیے ضروری ہے کہ سرور پارٹ کے ورژن کو زیادہ سے زیادہ بڑھایا جائے، ساتھ ہی RDP پروٹوکول کلائنٹس کے نئے ورژنز میں اپ گریڈ کرنے کے لیے لنکس کو ڈراپ کیا جائے۔

نتیجے کے طور پر، ہمارے پاس ورکنگ پی سی یا ٹرمینل سرور سے ریموٹ کنکشن کے لیے ایک سادہ اور نسبتاً محفوظ ٹیکنالوجی ہے۔ لیکن زیادہ محفوظ کنکشن کے لیے، ہمارے پورٹ نوکنگ کے طریقے کو چیک کرنے کے لیے بندرگاہوں کو شامل کر کے، شدت کے کئی آرڈرز کے ذریعے حملہ کرنے کے لیے مزید مشکل بنایا جا سکتا ہے - آپ اسی منطق کے مطابق ایک بندرگاہ 3,4,5,6 شامل کر سکتے ہیں۔ اور اس صورت میں آپ کے نیٹ ورک میں براہ راست دخل اندازی تقریباً ناممکن ہو جائے گی۔

RDP سے ریموٹ کنکشن بنانے کے لیے خالی فائلیں۔.

ماخذ: www.habr.com

نیا تبصرہ شامل کریں