• +420 777 057 761
  • Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Jak zabezpečit vzdálenou plochu RDP v Mikrotiku. Safe RDP on Mikrotik

Je nějaká jednoduchá cesta jak zabezpečit vzdálené připojení k počítači (RDP - Remote desktop) pomocí Mikrotiku?

Chci nějak zabezpečit připojování přes vzdálenou plochu. Používám router Mikrotik. Je nějaká možnost?

 

Řešení problému: Jak zabezpečit vzdálenou plochu RDP v Mikrotiku. Safe RDP on Mikrotik

  • NIKDY NEPOUŽÍVEJTE PRO VZDÁLENOU PLOCHU POVOLENÝ VÝCHOZÍ PORT 3389
  • ZVOLTE JINÝ NÁHRADNÍ, KTERÝ AŽ V ROUTERU PŘESMĚRUJTE NA INTERNÍ 3389
  • Samozřejmě je vhodné vzdálená připojení řešit v kombinaci s VPN, článek se zaměřuje na základní zabezpečení, kdy VPN nemáme.

Varianta 1 - Povolení portů pro vzdálené připojení jen pro vybrané IP adresy

Do pravidla pro přesměrování portů RDP vložím přesnou IP adresu, ze které připojení bude možné - z jiné ne. Pravidlo bude platit jen pro konkrétní IP.

Vzdálená plocha bude fungovat jen pokud se připojuji z linky která má IP adresu např. 82.150.187.60, NEPOUŽIJEME PORT 3389 MÍSTO TOHO SI ZVOLÍME VLASTNÍ např. 33322, který pravidlem přesměrujeme na 3389

Vzdáleně se pak připojuji přes veřejnou IP routeru a zvolený port 33322

Celý tento postup je vhodný doplnit ještě o filtraci, že k routeru mají přístup jen IP z České republiky. Viz Jak omezit přístup na router Mikrotik pouze pro českou republiku (ČR)

 

Varianta 2 - Blokace útočících adres

Co když ale dopředu nevím, z jakých adres se bude vzdálená plocha používat? Pak varianta 1 není použitelná a je potřeba postupovat jinak. Základní zabezpečení vidím v automatické blokaci IP adres, ze kterých přichází útoky na Váš router. Automaty skenují otevřené porty pro vzdálené připojení. Defaultní port pro vzdálenou plochu je 3389. Tedy jako základní nástroj je vhodné detekovat příchozí požadavky na port 3389 a všechny IP adresy, ze kterých požadavky na 3389 chodí, dát na blacklist a zakázat pro ně jakoukoliv komunikaci z internetu do vnitřní sítě.

Pozn. Tento obranný prvek je univerzální. I když vzdálenou plochu nevyužíváte vyplatí se tato pravidla udělat. Celkově tím snížíte útoky na Váš router. Případně můžete využít i pro jiné služby nejenom pro RDP.

Postup je následující:

A) Vytvořím (návnadu, sběrače dat) pravidlo v IP - FIREWALL - záložka NAT

add action=add-src-to-address-list address-list=BLOCKED address-list-timeout=\

    none-static chain=dstnat comment="CIHA NA PORTU 3389 kdo ho zkusi toho hod\

    in a blacklist a blokuji se jeho veskere pristupy" dst-port=3389 \

    log-prefix=RDP-ATTACK protocol=tcp

Graficky je postup následující:

 

 

!!!!! Doporučuji vytvořit úplně stejné pravidlo ještě pro porty: 3388, 3390, 3391, 3392. Zachytíte tím více IP adres a rychleji.

 

B) Vytvořím pravidla pro INPUT a FORWARD v záložce FILTER RULES - vše co jde z IP adres, které jsou na seznamu BLOCKED zahoď (dropni).

add action=drop chain=forward comment="BLOKUJE VSE CO JE NA BLACKLISTU je to n\

    avaznost na pasticku 3389 - FORWARD" in-interface=WAN src-address-list=\

    BLOCKED

add action=drop chain=input comment="BLOKUJE VSE CO JE NA BLACKLISTU je to nav\

    aznost na pasticku 3389 - INPUT" in-interface=WAN src-address-list=\

     BLOCKED

Graficky pravidlo vypadá takto: 

 

 

 

 

Analogicky vytvoříme i pro input

 

Výsledná pravidla budou vypadat takto (zachycuje následující obrázek):

Pravidla vytáhněte myší co nejvýše nahoru !!!!!!!!!!!!!!!!!!

Před ně je vhodné ještě vytvořit pravidlo na povolení winboxu pro určitou (Vaší IP adresu), kdyby se Vaše adresa dostala na blacklist, tak aby byl přes winbox stále přístup.

 

Celé zabezpečení je vhodné doplnit například filtrem, že na Mikrotik mohou přistupovat IP adresy jen z České republiky. Popis je zde: Jak omezit přístup na router Mikrotik pouze pro českou republiku (ČR)