- Аддайце прыярытэт палітыцы забароны па змаўчанні і выкарыстоўвайце белыя спісы для SSH.
- Спалучае NAT + ACL: адкрывае порт і абмяжоўвае па зыходным IP-адрасе.
- Праверце з дапамогай nmap/ping і ўлічвайце прыярытэт правілаў (ID).
- Умацуйце сістэму абнаўленнямі, ключамі SSH і мінімальнымі паслугамі.
¿Як абмежаваць доступ па SSH да маршрутызатара TP-Link толькі даверанымі IP-адрасамі? Кантроль доступу да вашай сеткі праз SSH — гэта не капрыз, а важны ўзровень бяспекі. Дазволіць доступ толькі з давераных IP-адрасоў Гэта памяншае паверхню атакі, запавольвае аўтаматычнае сканаванне і прадухіляе пастаянныя спробы ўварвання з Інтэрнэту.
У гэтым практычным і вычарпальным кіраўніцтве вы даведаецеся, як гэта зрабіць у розных сітуацыях з абсталяваннем TP-Link (SMB і Omada), што трэба ўлічваць пры выбары правілаў ACL і белых спісаў, а таксама як праверыць, ці ўсё правільна закрыта. Мы інтэгруем дадатковыя метады, такія як TCP Wrappers, iptables і найлепшыя практыкі. каб вы маглі абараніць сваё асяроддзе, не пакідаючы ніякіх нявырашаных пытанняў.
Навошта абмяжоўваць доступ па SSH на маршрутызатарах TP-Link
Адкрыццё доступу да Інтэрнэту праз SSH адкрывае дзверы для масавых праверак з боку ўжо цікаўных ботаў са злымі намерамі. Нярэдка пасля сканавання ў глабальнай сетцы выяўляецца порт 22, даступны для доступу, як гэта назіралася ў [прыкладах SSH]. крытычныя збоі ў маршрутызатарах TP-Link. Простая каманда nmap можа быць выкарыстана для праверкі, ці адкрыты порт 22 вашага публічнага IP-адраса.: выконвае нешта падобнае на знешняй машыне nmap -vvv -p 22 TU_IP_PUBLICA і праверце, ці з'яўляецца надпіс "адкрыць ssh".
Нават калі вы выкарыстоўваеце адкрытыя ключы, пакіданне порта 22 адкрытым прыводзіць да далейшага даследавання, тэставання іншых партоў і атакі на службы кіравання. Рашэнне відавочнае: забараняць па змаўчанні і ўключаць толькі з дазволеных IP-адрасоў або дыяпазонаў.Пажадана, каб вы самі фіксавалі і кіравалі гэтым. Калі вам не патрэбна дыстанцыйнае кіраванне, цалкам адключыце яго ў глабальнай сетцы.
Акрамя раскрыцця партоў, існуюць сітуацыі, калі можна западозрыць змены правілаў або анамальную паводзіны (напрыклад, кабельны мадэм, які праз некаторы час пачынае «скідаць» выходны трафік). Калі вы заўважылі, што ping, traceroute або прагляд завіслі на мадэме, праверце налады, прашыўку і падумайце аб аднаўленні заводскіх налад. і зачыніце ўсё, чым не карыстаецеся.
Ментальная мадэль: блакіроўка па змаўчанні і стварэнне белага спісу
Філасофія перамогі простая: палітыка адхілення па змаўчанні і відавочныя выключэнніНа многіх маршрутызатарах TP-Link з пашыраным інтэрфейсам вы можаце ўсталяваць палітыку аддаленага ўваходу тыпу Drop у брандмаўэры, а затым дазволіць пэўныя адрасы з белага спісу для службаў кіравання.
У сістэмах, якія ўключаюць опцыі «Палітыка аддаленага ўводу» і «Правілы белага спісу» (на старонках «Сетка» — «Брандмаўэр»), Палітыка аддаленага ўваходу не ўключае брэнд І дадайце ў белы спіс публічныя IP-адрасы ў фармаце CIDR XXXX/XX, якія павінны мець доступ да канфігурацыі або службаў, такіх як SSH/Telnet/HTTP(S). Гэтыя запісы могуць утрымліваць кароткае апісанне, каб пазбегнуць блытаніны ў будучыні.
Вельмі важна разумець розніцу паміж механізмамі. Перанакіраванне партоў (NAT/DNAT) перанакіроўвае парты на машыны лакальнай сеткіУ той час як «Правілы фільтрацыі» кантралююць трафік паміж глабальнай сеткай і лакальнай сеткай або міжсеткавы трафік, «Правілы белага спісу» брандмаўэра рэгулююць доступ да сістэмы кіравання маршрутызатарам. Правілы фільтрацыі не блакуюць доступ да самой прылады; для гэтага выкарыстоўваюцца белыя спісы або спецыяльныя правілы адносна ўваходнага трафіку на маршрутызатар.
Для доступу да ўнутраных службаў у NAT ствараецца мапінг партоў, а затым абмяжоўваецца доступ да гэтага мапінгу звонку. Рэцэпт такі: адкрыць патрэбны порт, а затым абмежаваць яго з дапамогай кантролю доступу. які дазваляе праходзіць толькі аўтарызаваным крыніцам і блакуе астатнія.
SSH з давераных IP-адрасоў на TP-Link SMB (ER6120/ER8411 і падобныя)
У маршрутызатарах SMB, такіх як TL-ER6120 або ER8411, звычайная схема аб'явы паслугі лакальнай сеткі (напрыклад, SSH на ўнутраным серверы) і абмежавання яе па IP-адрасе крыніцы — двухфазная. Спачатку порт адкрываецца з дапамогай віртуальнага сервера (NAT), а затым ён фільтруецца з дапамогай кантролю доступу. на аснове груп IP-адрасоў і тыпаў паслуг.
Этап 1 – Віртуальны сервер: перайдзіце да Пашыраныя налады → NAT → Віртуальны сервер і стварае запіс для адпаведнага інтэрфейсу WAN. Наладзьце знешні порт 22 і накіруйце яго на ўнутраны IP-адрас сервера (напрыклад, 192.168.0.2:22)Захавайце правіла, каб дадаць яго ў спіс. Калі ў вашым выпадку выкарыстоўваецца іншы порт (напрыклад, вы змянілі SSH на 2222), адкарэктуйце значэнне адпаведна.
Этап 2 – Тып паслугі: увядзіце Налады → Тып паслугі, стварыце новую службу пад назвай, напрыклад, SSH, абярыце TCP або TCP/UDP і вызначце порт прызначэння 22 (дыяпазон портаў крыніцы можа быць ад 0 да 65535). Гэты ўзровень дазволіць вам акуратна спасылацца на порт у ACL.
Этап 3 – Група інтэлектуальнай уласнасці: перайдзіце да Налады → Група IP-адрасоў → IP-адрас і дадайце запісы як для дазволенай крыніцы (напрыклад, ваш публічны IP-адрас або дыяпазон пад назвай "Access_Client"), так і для рэсурсу прызначэння (напрыклад, "SSH_Server" з унутраным IP-адрасам сервера). Затым звяжыце кожны адрас з адпаведнай IP-групай у тым жа меню.
Этап 4 – Кантроль доступу: у Брандмаўэр → Кантроль доступу Стварыце два правілы. 1) Правіла дазволу: палітыка дазволу, новавызначаная служба "SSH", Крыніца = IP-група "Access_Client" і прызначэнне = "SSH_Server". Дайце яму ідэнтыфікатар 1. 2) Правіла блакавання: палітыка блакавання з дапамогай крыніца = IPGROUP_ANY і пункт прызначэння = "SSH_Server" (або, калі гэта дастасавальна) з ідэнтыфікатарам 2. Такім чынам, толькі давераны IP-адрас або дыяпазон пройдзе праз NAT да вашага SSH; астатнія будуць заблакіраваны.
Парадак ацэнкі мае вырашальнае значэнне. Ніжэйшыя ідэнтыфікатары маюць прыярытэтТакім чынам, правіла «Дазволіць» павінна папярэднічаць правілу «Блакіраваць» (з меншым ідэнтыфікатарам). Пасля ўжывання змяненняў вы зможаце падключыцца да WAN IP-адраса маршрутызатара на вызначаным порце з дазволенага IP-адраса, але падключэнні з іншых крыніц будуць заблакаваныя.
Заўвагі па мадэлі/прашыўцы: інтэрфейс можа адрознівацца ў залежнасці ад абсталявання і версіі. Для выканання пэўных функцый TL-R600VPN патрабуецца абсталяванне версіі 4І на розных сістэмах меню могуць быць перамешчаны. Тым не менш, паток дзеянняў аднолькавы: тып службы → групы IP-адрасоў → ACL з дазволам і блакіроўкай. Не забудзьцеся захаваць і прымяніць каб правілы ўступілі ў сілу.
Рэкамендаваная праверка: з аўтарызаванага IP-адраса паспрабуйце ssh usuario@IP_WAN і праверыць доступ. З іншага IP-адраса порт павінен стаць недаступным. (злучэнне, якое не прыбывае або адхіляецца, ідэальна без банера, каб пазбегнуць падказак).
ACL з кантролерам Omada: спісы, станы і прыклады сцэнарыяў
Калі вы кіруеце шлюзамі TP-Link з дапамогай Omada Controller, логіка падобная, але з большай колькасцю візуальных опцый. Стварэнне груп (IP або партоў), вызначэнне спісаў кантролю доступу (ACL) шлюза і арганізацыя правілаў дазволіць сабе самы мінімум і адмаўляць усё астатняе.
Спісы і групы: у Налады → Профілі → Групы Вы можаце ствараць групы IP-адрасоў (падсеткі або хасты, напрыклад, 192.168.0.32/27 або 192.168.30.100/32), а таксама групы партоў (напрыклад, HTTP 80 і DNS 53). Гэтыя групы спрашчаюць складаныя правілы шляхам паўторнага выкарыстання аб'ектаў.
ACL шлюза: уключаны Канфігурацыя → Бяспека сеткі → ACL Дадайце правілы з напрамкам LAN→WAN, LAN→LAN або WAN→LAN у залежнасці ад таго, што вы хочаце абараніць. Палітыка для кожнага правіла можа быць «Дазволіць» або «Забараніць». і парадак вызначае фактычны вынік. Пастаўце галачку «Уключыць», каб актываваць іх. У некаторых версіях можна пакідаць правілы падрыхтаванымі і адключанымі.
Карысныя выпадкі (адаптаваныя да SSH): дазволіць толькі пэўныя сэрвісы і заблакіраваць астатнія (напрыклад, «Дазволіць DNS і HTTP», а потым «Забараніць усё»). Для белых спісаў кіравання стварыце «Дазволіць з давераных IP-адрасоў» на старонцы «Адміністраванне шлюза». а затым агульная адмова ад іншых сетак. Калі ваша прашыўка мае такую опцыю. ДвунакіраваныВы можаце аўтаматычна згенераваць адваротнае правіла.
Стан падключэння: ACL могуць мець стан. Распаўсюджаныя тыпы: новыя, усталяваныя, звязаныя і несапраўдныя«Новы» апрацоўвае першы пакет (напрыклад, SYN у TCP), «Устаноўлены» апрацоўвае раней выяўлены двухнакіраваны трафік, «Звязаны» апрацоўвае залежныя злучэнні (напрыклад, каналы дадзеных FTP), а «Несапраўдны» апрацоўвае анамальны трафік. Звычайна лепш за ўсё захоўваць налады па змаўчанні, калі вам не патрэбна дадатковая дэталізацыя.
VLAN і сегментацыя: падтрымка маршрутызатараў Omada і SMB аднанакіраваныя і двухнакіраваныя сцэнарыі паміж віртуальнымі лакальнымі сеткамі (VLAN)Вы можаце заблакаваць Маркетынг→Даследаванні і распрацоўкі, але дазволіць Даследаванні і распрацоўкі→Маркетынг, або заблакаваць абодва напрамкі і ўсё роўна аўтарызаваць канкрэтнага адміністратара. Кірунак LAN→LAN у ACL выкарыстоўваецца для кіравання трафікам паміж унутранымі падсеткамі.
Дадатковыя метады і ўзмацненні: TCP Wrappers, iptables, MikroTik і класічны брандмаўэр
Акрамя ACL маршрутызатара, ёсць і іншыя ўзроўні, якія варта ўжываць, асабліва калі SSH-прызначэннем з'яўляецца сервер Linux за маршрутызатарам. TCP Wrappers дазваляе фільтраваць па IP-адрасе з дапамогай hosts.allow і hosts.deny на сумяшчальных сэрвісах (у тым ліку OpenSSH у многіх традыцыйных канфігурацыях).
Кантрольныя файлы: калі яны не існуюць, стварыце іх з дапамогай sudo touch /etc/hosts.{allow,deny}. Найлепшая практыка: забараніць усё ў hosts.deny і відавочна дазваляе гэта ў hosts.allow. Напрыклад: у /etc/hosts.deny пон sshd: ALL і /etc/hosts.allow дадаць sshd: 203.0.113.10, 198.51.100.0/24Такім чынам, толькі гэтыя IP-адрасы змогуць звязацца з SSH-дэманам сервера.
Карыстальніцкія iptables: Калі ваш маршрутызатар або сервер дазваляе гэта, дадайце правілы, якія прымаюць SSH толькі з пэўных крыніц. Тыповым правілам будзе: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT а затым палітыка DROP па змаўчанні або правіла, якое блакуе астатнія. На маршрутызатарах з укладкай Індывідуальныя правілы Вы можаце ўставіць гэтыя радкі і прымяніць іх з дапамогай «Захаваць і прымяніць».
Найлепшыя практыкі ў MikroTik (можна выкарыстоўваць у якасці агульнага кіраўніцтва): змяняйце парты па змаўчанні, калі гэта магчыма, дэактываваць Telnet (выкарыстоўвайце толькі SSH), выкарыстоўвайце надзейныя паролі або, яшчэ лепш, аўтэнтыфікацыя ключаАбмяжуйце доступ па IP-адрасе з дапамогай брандмаўэра, уключыце 2FA, калі прылада падтрымлівае яе, і абнаўляйце прашыўку/RouterOS. Адключыце доступ да WAN, калі ён вам не патрэбныЁн адсочвае няўдалыя спробы і, пры неабходнасці, ужывае абмежаванні хуткасці падключэння, каб стрымаць атакі метадам грубай сілы.
Класічны інтэрфейс TP-Link (старэйшая версія прашыўкі): Увайдзіце ў панэль, выкарыстоўваючы IP-адрас лакальнай сеткі (па змаўчанні 192.168.1.1) і ўліковыя дадзеныя адміністратара, затым перайдзіце па спасылцы Бяспека → БрандмаўэрУключыце IP-фільтр і выберыце, каб неўказаныя пакеты прытрымліваліся патрэбнай палітыкі. Затым, у Фільтрацыя IP-адрасоў, націсніце «Дадаць новы» і вызначце якія IP-адрасы могуць выкарыстоўваць службовы порт, а якія не могуць у глабальнай сетцы (для SSH, 22/tcp). Захавайце кожны крок. Гэта дазваляе ўжыць агульную забарону і стварыць выключэнні, каб дазволіць доступ толькі давераным IP-адрасам.
Блакіраваць пэўныя IP-адрасы з дапамогай статычных маршрутаў
У некаторых выпадках карысна блакаваць выходныя паведамленні на пэўныя IP-адрасы, каб палепшыць стабільнасць працы з пэўнымі сэрвісамі (напрыклад, струменевай трансляцыяй). Адзін са спосабаў зрабіць гэта на некалькіх прыладах TP-Link — гэта статычная маршрутызацыя., ствараючы маршруты /32, якія абыходзяцца без дасягнення гэтых пунктаў прызначэння або накіроўваюць іх такім чынам, каб яны не выкарыстоўваліся маршрутам па змаўчанні (падтрымка залежыць ад прашыўкі).
Нядаўнія мадэлі: перайдзіце на ўкладку Пашыраныя налады → Сетка → Пашыраная маршрутызацыя → Статычная маршрутызацыя і націсніце «+ Дадаць». Увядзіце «Сеткавы пункт прызначэння» з IP-адрасам для блакавання, «Маску падсеткі» 255.255.255.255, «Шлюз па змаўчанні» — шлюз лакальнай сеткі (звычайна 192.168.0.1) і «Інтэрфейс» — лакальную сетку. Выберыце «Дазволіць гэты запіс» і захавайце зменыПаўтарыце для кожнага мэтавага IP-адраса ў залежнасці ад службы, якой вы хочаце кіраваць.
Старыя прашыўкі: перайдзіце па спасылцы Пашыраная маршрутызацыя → Статычны спіс маршрутызацыі, націсніце «Дадаць новы» і запоўніце тыя ж палі. Актывуйце статус маршруту і захавайцеЗвярніцеся ў службу падтрымкі вашага сэрвісу, каб даведацца, якія IP-адрасы апрацоўваць, бо яны могуць змяняцца.
Праверка: Адкрыйце тэрмінал або камандны радок і праверце ping 8.8.8.8 (або IP-адрас прызначэння, які вы заблакавалі). Калі вы бачыце паведамленне «Час чакання скончыўся» або «Хост прызначэння недаступны»Блакіроўка працуе. Калі не, праглядзіце дзеянні і перазапусціце маршрутызатар, каб усе змены ў табліцах уступілі ў сілу.
Праверка, тэставанне і вырашэнне інцыдэнтаў
Каб праверыць, ці працуе ваш белы спіс SSH, паспрабуйце выкарыстаць аўтарызаваны IP-адрас. ssh usuario@IP_WAN -p 22 (ці порт, які вы выкарыстоўваеце) і пацвердзіце доступ. З несанкцыянаванага IP-адраса порт не павінен прапаноўваць паслугу.. ЗША nmap -p 22 IP_WAN праверыць гарачы стан.
Калі нешта не рэагуе належным чынам, праверце прыярытэт ACL. Правілы апрацоўваюцца паслядоўна, і перамагаюць тыя, у каго найменшы ідэнтыфікатар.«Забараніць» вышэй за «Дазволіць» робіць белы спіс несапраўдным. Таксама праверце, ці «Тып службы» паказвае на правільны порт, і ці вашы «Групы IP-адрасоў» утрымліваюць адпаведныя дыяпазоны.
У выпадку падазроных паводзін (страта падключэння праз некаторы час, правілы, якія змяняюцца самастойна, абрыў трафіку лакальнай сеткі), разгледзьце абнавіць прашыўкуАдключыце службы, якімі вы не карыстаецеся (аддаленае адміністраванне праз вэб/Telnet/SSH), зменіце ўліковыя дадзеныя, праверце кланаванне MAC-адрасоў, калі гэта магчыма, і, у рэшце рэшт, Аднаўленне да заводскіх налад і пераканфігурацыя з мінімальнымі наладамі і строгім белым спісам.
Сумяшчальнасць, мадэлі і заўвагі па даступнасці
Даступнасць функцый (спісы кантролю доступу з адсочваннем стану, профілі, белыя спісы, рэдагаванне PVID партоў і г.д.) Гэта можа залежаць ад мадэлі і версіі абсталяванняУ некаторых прыладах, такіх як TL-R600VPN, пэўныя магчымасці даступныя толькі з версіі 4 і далей. Карыстальніцкія інтэрфейсы таксама змяняюцца, але асноўны працэс застаецца ранейшым: блакіроўка па змаўчанні, вызначыць службы і групы, дазваляць з пэўных IP-адрасоў і блакіраваць астатнія.
У экасістэме TP-Link існуе мноства прылад, якія выкарыстоўваюцца ў карпаратыўных сетках. Мадэлі, згаданыя ў дакументацыі, ўключаюць T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, TL-SG5412F, T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700G-52TQ, TL-SG2008, T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQсярод іншага. Майце на ўвазе, што Прапанова адрозніваецца ў залежнасці ад рэгіёна. а некаторыя могуць быць недаступныя ў вашым рэгіёне.
Каб быць у курсе падзей, наведайце старонку падтрымкі вашага прадукту, выберыце правільную версію абсталявання і праверце заўвагі па прашыўцы і тэхнічныя характарыстыкі з найноўшымі паляпшэннямі. Часам абнаўленні пашыраюць або ўдасканальваюць функцыі брандмаўэра, ACL або дыстанцыйнага кіравання.
Зачыніце SSH Для ўсіх IP-адрасоў, акрамя пэўных, правільная арганізацыя ACL і разуменне таго, які механізм кіруе кожным элементам, ратуе вас ад непрыемных сюрпрызаў. З палітыкай адмовы па змаўчанні, дакладнымі белымі спісамі і рэгулярнай праверкайВаш маршрутызатар TP-Link і службы, якія стаяць за ім, будуць значна лепш абаронены, і вы не будзеце адмаўляцца ад кіравання, калі вам гэта спатрэбіцца.
Захапляўся тэхнікай з малых гадоў. Мне падабаецца быць у курсе падзей у сектары і, перш за ўсё, паведамляць пра гэта. Вось чаму я шмат гадоў займаюся камунікацыяй на вэб-сайтах тэхналогій і відэагульняў. Вы можаце знайсці, як я пішу пра Android, Windows, MacOS, iOS, Nintendo або любую іншую сумежную тэму, якая прыйдзе вам на розум.