Коллеги, там все немного не так.
речь идет о том, что RDP работает по туннелю SSH. Данные шифруются и безопасность повышается (ну относительно). А соединение SSH можно поднимать без паролей по спец ключам. Роде бы как одни удобства. Настраивать на микротике нужно только SSH, порт маппинг для RDP не нужно.
В посте выше дана ссылка на презентацию. Там все очень хорошо описано.
Мое мнение - все это паранойя! Скорее всего это может быть использовано только для RDP под Windows XP, так как сама по себе система уже старая и это потенциальная дыра в сети. С более современными ОС, проще все сделать напрямую.
А вообще давно придуманы VPN. Все гораздо проще. И не потребуется клиентам ставить всякие Putty и PuttyGen и тому подобное. Все уже есть в винде.
Файрвол по протоколу SSH
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
gmx писал(а):А вообще давно придуманы VPN. Все гораздо проще.
Вот и я про тоже, не понимаю зачем ССХ то использовать и велосипед изобретать?
В плане администрирования ну ок для того что бы не мудрить ВПН (если он не нужен) то можно использовать. А обычным юзерам ставить что то, объяснять. Ну честно не понимаю.
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 241
- Зарегистрирован: 21 сен 2014, 08:34
- Откуда: 34
- Контактная информация:
Ну топик стартер написал жеж - чужому человеку дать доступ)))
Хотя да... если чужой человек получит доступ к рдп, то он уже из под рдп сможет "наЧУЖить".....
А вообще, SSH туннели штука довольно удобная... Не так давно включал в себе параноика и писал батник, который делал хитрый ICMP кнокинг (для каждого юзверя свой), затем строил SSH туннель с SSH ключём, затем запускал доступ рдп клиент.... (это было до того, как в микротик был внедрён механизм отзыва сертификатов)
Хотя да... если чужой человек получит доступ к рдп, то он уже из под рдп сможет "наЧУЖить".....
А вообще, SSH туннели штука довольно удобная... Не так давно включал в себе параноика и писал батник, который делал хитрый ICMP кнокинг (для каждого юзверя свой), затем строил SSH туннель с SSH ключём, затем запускал доступ рдп клиент.... (это было до того, как в микротик был внедрён механизм отзыва сертификатов)
-
- Сообщения: 6
- Зарегистрирован: 12 ноя 2015, 16:54
VPN бесспорно лучше, канал стабильнее, можно файрвол настроить как угодно, а еще не зная пароля на другой комп не переставишь.
но задача немного другая, доступ должен быть защищенный с любого компа, пока я придумал так:
я человеку по почте отправил 3 файла:
1-plink.exe
2-Рабочий стол.rdp
3-VPN.exe
VPN.exe это тот же батник но exe, внутренности у него такие:
@echo off
set TMPFILE=%TMP%\mytempfile-%RANDOM%-%TIME:~6,5%.tmp
(
echo PuTTY-User-Key-File-2: ssh-dss
echo Encryption: none
echo Comment: ххххххххххххххххххх
echo Public-Lines: хх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo Private-Lines: х
echo хххххххххххххххххххххххххххххххх
echo Private-MAC: хххххххххххххххххххххххххххххххххххх
)>"%TMPFILE%"
plink.exe -v -ssh -l ХХХХХХХХХХХХ -C -i "%TMPFILE%" -L 31337:192.168.0.1:3389 blabla.ru
но запретить "любопытному чужому человеку" полазать где нибудь еще внутри моей сети я не могу, он с легкостью может создать батник, скопировать ключ, и поменять эти настройки "31337:192.168.0.1:3389", и микротик ему это не запретит.
но задача немного другая, доступ должен быть защищенный с любого компа, пока я придумал так:
я человеку по почте отправил 3 файла:
1-plink.exe
2-Рабочий стол.rdp
3-VPN.exe
VPN.exe это тот же батник но exe, внутренности у него такие:
@echo off
set TMPFILE=%TMP%\mytempfile-%RANDOM%-%TIME:~6,5%.tmp
(
echo PuTTY-User-Key-File-2: ssh-dss
echo Encryption: none
echo Comment: ххххххххххххххххххх
echo Public-Lines: хх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo хххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххххх
echo Private-Lines: х
echo хххххххххххххххххххххххххххххххх
echo Private-MAC: хххххххххххххххххххххххххххххххххххх
)>"%TMPFILE%"
plink.exe -v -ssh -l ХХХХХХХХХХХХ -C -i "%TMPFILE%" -L 31337:192.168.0.1:3389 blabla.ru
но запретить "любопытному чужому человеку" полазать где нибудь еще внутри моей сети я не могу, он с легкостью может создать батник, скопировать ключ, и поменять эти настройки "31337:192.168.0.1:3389", и микротик ему это не запретит.
-
- Сообщения: 241
- Зарегистрирован: 21 сен 2014, 08:34
- Откуда: 34
- Контактная информация:
Другой вопрос не сунется ли любопытный куда либо уже будучи на терминале?
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
И опять я ни фига не понимаю. Ну зачем вам давать доступ на Микротик, даже урезанный. Ну прочитайте мой пост, пжлст.
1. Пробрасываем от машины к которой нужен доступ наружу порт для ssh ( наружу будет смотреть нестандартный порт, поэтому долбиться не должны)
2. На самой машине заводим юзера и обрезаем ему права до ( ну сами решите, насколько его ограничить) , лишь бы он мог зайти по ssh и подключить рабочий стол.
3. Даем параметры доступа вашему юзеру, пусть ходит на эту машину.
4. Дабы снизить риск и порадовать паранойю на Микротике применяем доступ по нестандартным портам и сложному паролю.
И теперь еще раз, где в этой схеме место вашему любопытному человеку? Или я опять что-то недопонял? Зачем на самом Тике юзера заводить?
1. Пробрасываем от машины к которой нужен доступ наружу порт для ssh ( наружу будет смотреть нестандартный порт, поэтому долбиться не должны)
2. На самой машине заводим юзера и обрезаем ему права до ( ну сами решите, насколько его ограничить) , лишь бы он мог зайти по ssh и подключить рабочий стол.
3. Даем параметры доступа вашему юзеру, пусть ходит на эту машину.
4. Дабы снизить риск и порадовать паранойю на Микротике применяем доступ по нестандартным портам и сложному паролю.
И теперь еще раз, где в этой схеме место вашему любопытному человеку? Или я опять что-то недопонял? Зачем на самом Тике юзера заводить?
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Модератор
- Сообщения: 3321
- Зарегистрирован: 01 окт 2012, 14:48
Да скорее всего у ТС несколько RDP в сети.
Вот он и поднимает SSH до микротика, а потом подключается к нужному RDP.
Вот он и поднимает SSH до микротика, а потом подключается к нужному RDP.
-
- Сообщения: 417
- Зарегистрирован: 26 сен 2012, 16:17
- Контактная информация:
Я бы настаивал на VPN соединении. Можно отправлять клиентов в отдельную подсеть/vlan, отгороженную от всего, кроме конкретных нужных хостов/портов.
Опять таки, если мы говорим о заботе о пользователях, то можно использовать Ovpn и давать им предварительно подготовленный клиент со всеми необходимыми настройками.
И пользователям удобно и базовые требования безопасности соблюдены.
Опять таки, если мы говорим о заботе о пользователях, то можно использовать Ovpn и давать им предварительно подготовленный клиент со всеми необходимыми настройками.
И пользователям удобно и базовые требования безопасности соблюдены.
-
- Сообщения: 6
- Зарегистрирован: 12 ноя 2015, 16:54
podarok66 писал(а):И опять я ни фига не понимаю. Ну зачем вам давать доступ на Микротик, даже урезанный. Ну прочитайте мой пост, пжлст.
1. Пробрасываем от машины к которой нужен доступ наружу порт для ssh ( наружу будет смотреть нестандартный порт, поэтому долбиться не должны)
2. На самой машине заводим юзера и обрезаем ему права до ( ну сами решите, насколько его ограничить) , лишь бы он мог зайти по ssh и подключить рабочий стол.
3. Даем параметры доступа вашему юзеру, пусть ходит на эту машину.
4. Дабы снизить риск и порадовать паранойю на Микротике применяем доступ по нестандартным портам и сложному паролю.
И теперь еще раз, где в этой схеме место вашему любопытному человеку? Или я опять что-то недопонял? Зачем на самом Тике юзера заводить?
Спасибо за идею, как понимаю для ее реализации надо на винду с РДП установить SSH сервер, а уж ее выставить наружу.
Пока у меня не было опыта эксплуатации такой конструкции, никогда не приходилось ставить ssh на винду, в общем то с тем же успехом можно просто rdp наружу выставить помоему.