Comments 20
При выкладывании настроек для микротика хорошим тоном считается прикладывать не только скриншоты интерфейса, но и команды из консоли производящие эти настройки.
С ними и понятнее что конкретно делается и удобнее для многих.
Обычно проблема не с серверной стороны безопасность накрутить, а с юзерской заставить эти требования соблюдать.
Если к впн более-менее юзеров приучили, то вот стучать телнетом в порты перед тем, как через rdp логиниться...
Если к впн более-менее юзеров приучили, то вот стучать телнетом в порты перед тем, как через rdp логиниться...
Это легко автоматизируется же. Скрипт который стукнет в порты определённым образом это изи. Юзер будет запускать свой софт как обычно, ярлычком на экране. Это уже 100500 раз описано. Тема далеко не свежая)
да, и заморочки с телнетом не нужны, можно сделать html с фетчами и стучаться прямо из браузера
Несвежая, но и не взлетевшая.
Юзер будет запускать свой софт как обычно, ярлычком на экране. Это уже 100500 раз описано.
Вот если честно, ни разу не видел "прозрачного" решения.
Либо "сперва откройте эту страничку в браузере, потом подключайтесь через rdp", либо "скачайте, распакуйте в одну папку, сперва запускайте это, а потом подключайтесь через rdp".
По мне так для пользователя оба решения кривые и неудобные, как в настройке, так и в использовании. Если же рабочее место настраивает админ, то он же и vpn настроить может с тем же успехом.
Если же рабочее место настраивает админ, то он же и vpn настроить может с тем же успехом.
Большинство админов покинуло страну, поэтому возвращаемся вот к этому.
Один cmd, bat, ps1, sh где все это сделано за юзера. И тогда юзеру просто дабл клик
На микротике можно делать портнокинг последовательность пингов с разным размером пакета.
Таким образом, например, юзеру можно выдать просто один cmd файл, который сначала отправляет несколько одиночных пингов, а затем запускает mstsc.exe
В планах написать статью о юзерских скриптах, начиная с bat файлов ну и Python по итогу к которому я пришел
Это элементарно вскрывается массовым сканированием, нужно просто на каждый порт делать несколько попыток. Классический port knocking открывается если клиент стучится только на ключевые порты и только в заданной последовательности.
Так вроде тут и задаётся цепочка открывающихся портов для клиента. И левому чуваку который постучится на 2ой порт из цепочки отлуп дадут. Там-же добавляется src адрес в список на доступ к следующему порту.
Или вы про то что цепочка должна сбрасываться при попытке постучать в "неправильный порт последовательности"? Хм, тогда да, интересно как оно там реализовано. Может оно сбрасывает цепочку. Подскажите кто в курсе.
интересное предположение, но если вы соблюдаете элементарные правила хорошего тона при настройке сетевого оборудования, то у вас как минимум должен быть черный список IP адресов, в который и попадает ботнет при сканировании портов, статью об этом так же постараюсь написать
Все 3 правила необходимо расположить сразу после основных правил блокировок (а я надеюсь, что они у вас есть).
В таком случае они никогда не отработают. Основные правила блокируют все нестандартные и неиспользуемые порты.
Есть также вариант с использованием пинга и определенным размером пакета.
Ping 1.1.1.1 - l 100 -n 1
Кинуть пакет с размером 128 и количеством 1 раз на целевой адрес.
Пинг идёт с n+28 байт. Если целевое значение 128 ,то пингуем с суммой 100.
У меня много лет работает вариант в комбинации udp+ping и bat-скрипт у пользователей. Потому что tcp с разных провайдеров иногда не срабатывал, терялся стук в середине цепочки. Плюс для большей безопасности стук идет на один IP, а дыра открывается на другом IP.
«Port Knocking» на устройствах MikroTik