- Priorisoi oletusarvoinen estokäytäntö ja käytä SSH:n sallittujen luetteloita.
- Yhdistää NAT:n ja ACL:n: avaa portin ja rajoittaa lähde-IP:n mukaan.
- Varmista nmap/ping-komennolla ja noudata säännön prioriteettia (ID).
- Vahvista päivityksillä, SSH-avaimilla ja vähimmäispalveluilla.
¿Kuinka rajoittaa SSH-yhteys TP-Link-reitittimeen luotettaviin IP-osoitteisiin? Verkkosi SSH:n kautta pääsyn hallinta ei ole harhautus, vaan olennainen tietoturvakerros. Salli pääsy vain luotettavista IP-osoitteista Se pienentää hyökkäyspinta-alaa, hidastaa automaattisia tarkistuksia ja estää jatkuvia tunkeutumisyrityksiä internetistä.
Tässä käytännöllisessä ja kattavassa oppaassa näet, miten se tehdään eri tilanteissa TP-Link-laitteilla (SMB ja Omada), mitä ottaa huomioon ACL-sääntöjen ja valkoisten listojen kanssa ja miten varmistaa, että kaikki on suljettu oikein. Integroimme lisämetodeja, kuten TCP-kääreitä, iptables-ohjelmia ja parhaita käytäntöjä joten voit suojata ympäristösi jättämättä mitään irrallisia päitä.
Miksi rajoittaa SSH-yhteyttä TP-Link-reitittimissä
SSH:n paljastaminen internetille avaa oven massiivisille uteliaiden ja pahantahtoisten bottien tekemille tarkastuksille. Ei ole harvinaista havaita porttia 22 käytettävissä WAN-verkossa skannauksen jälkeen, kuten [SSH-esimerkeissä] on havaittu. kriittisiä vikoja TP-Link-reitittimissä. Yksinkertaisella nmap-komennolla voidaan tarkistaa, onko julkisessa IP-osoitteessasi portti 22 auki.: suorittaa jotain tällaista ulkoisella koneella nmap -vvv -p 22 TU_IP_PUBLICA ja tarkista, tuleeko näkyviin "avaa ssh".
Vaikka käyttäisit julkisia avaimia, portin 22 auki jättäminen mahdollistaa lisätutkimuksia, muiden porttien testaamisen ja hallintapalveluihin hyökkäämisen. Ratkaisu on selvä: estä oletuksena ja ota käyttöön vain sallituista IP-osoitteista tai -alueilta.Mieluiten sinun korjattava ja hallittava sitä. Jos et tarvitse etähallintaa, poista se kokonaan käytöstä WAN-verkossa.
Porttien paljastamisen lisäksi on tilanteita, joissa saatat epäillä sääntömuutoksia tai poikkeavaa toimintaa (esimerkiksi kaapelimodeemi, joka alkaa "pudottaa" lähtevää liikennettä jonkin ajan kuluttua). Jos huomaat, että ping-, traceroute- tai browsing-komennot eivät mene modeemin läpi, tarkista asetukset ja laiteohjelmisto ja harkitse tehdasasetusten palauttamista. ja sulje kaikki mitä et käytä.
Ajatusmalli: estä oletuksena ja luo sallittujen lista
Voittofilosofia on yksinkertainen: oletusarvoinen kieltokäytäntö ja eksplisiittiset poikkeuksetMonissa TP-Link-reitittimissä, joissa on edistynyt käyttöliittymä, voit asettaa palomuuriin Drop-tyyppisen etäyhteyden käytännöt ja sallia sitten tietyt valkoisella listalla olevat osoitteet hallintapalveluille.
Järjestelmissä, joissa on vaihtoehdot "Etäsyöttökäytäntö" ja "Valkoisen listan säännöt" (Verkko - Palomuuri -sivuilla), Pudota brändi etäkäyttökäytännössä Ja lisää valkoiselle listalle julkiset IP-osoitteet CIDR-muodossa XXXX/XX, joiden pitäisi pystyä saavuttamaan kokoonpano tai palvelut, kuten SSH/Telnet/HTTP(S). Näihin merkintöihin voi sisällyttää lyhyen kuvauksen myöhempien sekaannusten välttämiseksi.
On tärkeää ymmärtää mekanismien välinen ero. Portin uudelleenohjaus (NAT/DNAT) ohjaa portit lähiverkon koneisiinVaikka "Suodatussäännöt" hallitsevat WAN-LAN-liikennettä tai verkkojen välistä liikennettä, palomuurin "Valkoisen listan säännöt" hallitsevat pääsyä reitittimen hallintajärjestelmään. Suodatussäännöt eivät estä pääsyä itse laitteeseen; sitä varten käytetään valkoisia listoja tai erityisiä sääntöjä reitittimeen tulevalle liikenteelle.
Sisäisten palveluiden käyttämiseksi NAT:ssa luodaan porttikartoitus, ja sitten rajoitetaan, kuka voi käyttää kyseistä kartoitusta ulkopuolelta. Resepti on: avaa tarvittava portti ja rajoita sitä sitten käyttöoikeuksien hallinnalla. joka sallii vain valtuutettujen lähteiden läpikulun ja estää muut.
SSH luotettavista IP-osoitteista TP-Linkin SMB-palvelimissa (ER6120/ER8411 ja vastaavat)
Pk-yritysten reitittimissä, kuten TL-ER6120 tai ER8411, LAN-palvelun (esim. SSH sisäisellä palvelimella) mainostaminen ja sen rajoittaminen lähde-IP:n perusteella tapahtuu yleensä kahdessa vaiheessa. Ensin portti avataan virtuaalipalvelimella (NAT), ja sitten se suodatetaan käyttöoikeuksien hallinnalla. IP-ryhmien ja palvelutyyppien perusteella.
Vaihe 1 – Virtuaalipalvelin: siirry osoitteeseen Lisäasetukset → NAT → Virtuaalipalvelin ja luo merkinnän vastaavalle WAN-liitännälle. Määritä ulkoinen portti 22 ja osoita se palvelimen sisäiseen IP-osoitteeseen (esimerkiksi 192.168.0.2:22)Tallenna sääntö lisätäksesi sen luetteloon. Jos tapauksessasi käytetään eri porttia (esim. olet vaihtanut SSH:n portiksi 2222), säädä arvoa vastaavasti.
Vaihe 2 – Palvelutyyppi: syötä Asetukset → Palvelutyyppi, luo uusi palvelu nimeltä esimerkiksi SSH, valitse TCP tai TCP/UDP ja määritä kohdeportti 22 (lähdeporttialue voi olla 0–65535). Tämän kerroksen avulla voit viitata porttiin selkeästi ACL:ssä..
Vaihe 3 – IP-ryhmä: siirry osoitteeseen Asetukset → IP-ryhmä → IP-osoite ja lisää merkinnät sekä sallitulle lähteelle (esim. julkinen IP-osoitteesi tai alue nimeltä "Access_Client") että kohderesurssille (esim. "SSH_Server", jossa on palvelimen sisäinen IP-osoite). Liitä sitten jokainen osoite vastaavaan IP-ryhmään samassa valikossa.
Vaihe 4 – Pääsyoikeuksien hallinta: sisään Palomuuri → Pääsyoikeuksien hallinta Luo kaksi sääntöä. 1) Salli sääntö: Salli käytäntö, äskettäin määritelty "SSH"-palvelu, Lähde = IP-ryhmä "Access_Client" ja kohde = "SSH_Server". Anna sille ID 1. 2) Estosääntö: Estä käytäntö, jossa on lähde = IPGROUP_ANY ja kohde = "SSH_Server" (tai soveltuvin osin) tunnuksella 2. Tällä tavoin vain luotettu IP-osoite tai alue kulkee NAT:n kautta SSH-yhteydellesi; loput estetään.
Arviointijärjestys on olennainen. Alemmat ID:t ovat etusijallaSiksi Salli-säännön (alempi ID) on oltava ennen Esto-sääntöä. Muutosten käyttöönoton jälkeen voit muodostaa yhteyden reitittimen WAN IP -osoitteeseen määritetyn portin kautta sallitusta IP-osoitteesta, mutta yhteydet muista lähteistä estetään.
Malli-/laiteohjelmistohuomautukset: Käyttöliittymä voi vaihdella laitteiston ja version mukaan. TL-R600VPN vaatii tiettyjen toimintojen kattamiseksi laitteistoversion 4.Eri järjestelmissä valikoiden paikat voivat olla muualla. Työnkulku on kuitenkin sama: palvelutyyppi → IP-ryhmät → ACL ja Salli ja Estä. Älä unohda tallenna ja käytä jotta säännöt tulisivat voimaan.
Suositeltu vahvistus: Kokeile valtuutetusta IP-osoitteesta ssh usuario@IP_WAN ja tarkista käyttöoikeudet. Toisesta IP-osoitteesta portin pitäisi muuttua käyttökelvottomaksi. (yhteys, joka ei saavu tai hylätään, mieluiten ilman banneria vihjeiden antamisen välttämiseksi).
ACL Omada-ohjaimella: listat, tilat ja esimerkkiskenaariot
Jos hallitset TP-Link-yhdyskäytäviä Omada Controllerilla, logiikka on samanlainen, mutta visuaalisia vaihtoehtoja on enemmän. Luo ryhmiä (IP tai portit), määritä yhdyskäytävän käyttöoikeusluettelot (ACL) ja järjestä säännöt sallia vain välttämättömin ja kieltää kaikki muu.
Listat ja ryhmät: sisään Asetukset → Profiilit → Ryhmät Voit luoda IP-ryhmiä (aliverkkoja tai isäntiä, kuten 192.168.0.32/27 tai 192.168.30.100/32) ja myös porttiryhmiä (esimerkiksi HTTP 80 ja DNS 53). Nämä ryhmät yksinkertaistavat monimutkaisia sääntöjä käyttämällä esineitä uudelleen.
Yhdyskäytävän ACL: päällä Kokoonpano → Verkkoturvallisuus → ACL Lisää sääntöjä, joiden suunta on LAN→WAN, LAN→LAN tai WAN→LAN riippuen siitä, mitä haluat suojata. Kunkin säännön käytäntö voi olla Salli tai Kieltäydy. ja järjestys määrää todellisen tuloksen. Aktivoi ne valitsemalla "Ota käyttöön". Joissakin versioissa voit jättää säännöt valmiiksi ja poistaa ne käytöstä.
Hyödyllisiä tapauksia (sopii SSH:hon): salli vain tietyt palvelut ja estä loput (esim. Salli DNS ja HTTP ja sitten Estä kaikki). Luo hallittavien IP-osoitteiden sallittujen listojen osalta "Salli luotetuista IP-osoitteista" -vaihtoehto "Yhdyskäytävän hallintasivulle". ja sitten yleinen esto muista verkoista. Jos laiteohjelmistossasi on tämä vaihtoehto. KaksisuuntainenVoit luoda käänteisen säännön automaattisesti.
Yhteyden tila: ACL-luettelot voivat olla tilallisia. Yleisimmät tyypit ovat Uusi, Vakiintunut, Liittyvä ja Virheellinen"Uusi" käsittelee ensimmäisen paketin (esim. SYN TCP:ssä), "Muodostettu" käsittelee aiemmin havaitun kaksisuuntaisen liikenteen, "Liittyvät" käsittelee riippuvaiset yhteydet (kuten FTP-datakanavat) ja "Virheellinen" käsittelee poikkeavan liikenteen. Yleensä on parasta säilyttää oletusasetukset, ellet tarvitse lisätarkkuutta.
VLAN ja segmentointi: Omada- ja SMB-reitittimien tuki yksi- ja kaksisuuntaiset skenaariot VLANien välilläVoit estää Markkinointi→Tutkimus- ja kehityssuuntaamisen, mutta sallia T&K→Markkinointi, tai estää molemmat suunnat ja silti valtuuttaa tietyn ylläpitäjän. ACL:n LAN→LAN-suuntaa käytetään sisäisten aliverkkojen välisen liikenteen hallintaan.
Lisämenetelmät ja vahvistukset: TCP-kääreet, iptables, MikroTik ja klassinen palomuuri
Reitittimen käyttöoikeusluetteloiden lisäksi on olemassa muitakin kerroksia, joita tulisi käyttää, varsinkin jos SSH-kohde on reitittimen takana oleva Linux-palvelin. TCP-kääreet mahdollistavat suodatuksen IP-osoitteen perusteella hosts.allow- ja hosts.deny-metodeilla yhteensopivissa palveluissa (mukaan lukien OpenSSH monissa perinteisissä kokoonpanoissa).
Ohjaustiedostot: jos niitä ei ole, luo ne käyttämällä sudo touch /etc/hosts.{allow,deny}. Paras käytäntö: estoi kaikki hosts.deny-metodissa ja sallii sen eksplisiittisesti hosts.allow-metodissa. Esimerkiksi: /etc/hosts.deny pon sshd: ALL ja /etc/hosts.allow lisää sshd: 203.0.113.10, 198.51.100.0/24Näin ollen vain nuo IP-osoitteet voivat tavoittaa palvelimen SSH-daemonin.
Mukautettu iptables: Jos reitittimesi tai palvelimesi sallii sen, lisää säännöt, jotka hyväksyvät SSH:n vain tietyistä lähteistä. Tyypillinen sääntö olisi: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT jota seuraa oletusarvoinen DROP-käytäntö tai sääntö, joka estää loput. Reitittimissä, joissa on välilehti Mukautetut säännöt Voit lisätä nämä viivat ja ottaa ne käyttöön valitsemalla "Tallenna ja käytä".
MikroTikin parhaat käytännöt (sovelletaan yleisenä ohjeena): oletusporttien vaihtaminen, jos mahdollista, Telnetin deaktivointi (käytä vain SSH:ta), käytä vahvoja salasanoja tai, vielä parempi, avaimen todennusRajoita pääsyä IP-osoitteen perusteella palomuurin avulla, ota käyttöön 2FA, jos laite tukee sitä, ja pidä laiteohjelmisto/RouterOS ajan tasalla. Poista WAN-yhteys käytöstä, jos et tarvitse sitäSe tarkkailee epäonnistuneita yrityksiä ja tarvittaessa asettaa yhteysnopeusrajoituksia hillitäkseen raa'an voiman hyökkäyksiä.
TP-Link Classic -käyttöliittymä (vanhempi laiteohjelmisto): Kirjaudu paneeliin käyttämällä LAN IP -osoitetta (oletus 192.168.1.1) ja järjestelmänvalvojan/järjestelmänvalvojan tunnuksia ja siirry sitten osoitteeseen Tietoturva → PalomuuriOta IP-suodatin käyttöön ja valitse, että määrittämättömät paketit noudattavat haluttua käytäntöä. IP-osoitteen suodatus, paina "Lisää uusi" ja määritä mitkä IP-osoitteet voivat tai eivät voi käyttää palveluporttia WAN-verkossa (SSH:lle, 22/tcp). Tallenna jokainen vaihe. Näin voit käyttää yleistä estoa ja luoda poikkeuksia, jotka sallivat vain luotetut IP-osoitteet.
Estä tiettyjä IP-osoitteita staattisilla reiteillä
Joissakin tapauksissa on hyödyllistä estää lähtevät viestit tiettyihin IP-osoitteisiin tiettyjen palveluiden (kuten suoratoiston) vakauden parantamiseksi. Yksi tapa tehdä tämä useilla TP-Link-laitteilla on staattinen reititys., luomalla /32-reittejä, jotka välttävät kyseisten määränpäiden saavuttamisen tai ohjaavat ne siten, että oletusreitti ei kuluta niitä (tuki vaihtelee laiteohjelmiston mukaan).
Viimeisimmät mallit: siirry välilehteen Lisäasetukset → Verkko → Edistynyt reititys → Staattinen reititys ja paina "+ Lisää". Kirjoita "Verkon kohde" ja estettävä IP-osoite, "Aliverkon peite" 255.255.255.255, "Oletusyhdyskäytävä" lähiverkon yhdyskäytävä (yleensä 192.168.0.1) ja "Liitäntä" lähiverkko. Valitse "Salli tämä merkintä" ja tallennaToista kullekin kohde-IP-osoitteelle riippuen siitä, mitä palvelua haluat hallita.
Vanhemmat laiteohjelmistot: siirry osoitteeseen Edistynyt reititys → Staattinen reititysluettelo, paina "Lisää uusi" ja täytä samat kentät. Aktivoi reitin tila ja tallennaOta yhteyttä palvelusi tukeen selvittääksesi, mitä IP-osoitteita käsitellään, sillä ne voivat muuttua.
Vahvistus: Avaa pääte tai komentokehote ja testaa ping 8.8.8.8 (tai estämäsi kohde-IP-osoite). Jos näet viestin "Aikakatkaisu" tai "Kohdeisäntään ei saada yhteyttä"Esto toimii. Jos ei, käy läpi vaiheet ja käynnistä reititin uudelleen, jotta kaikki taulukot tulevat voimaan.
Todentaminen, testaus ja häiriöiden ratkaisu
Varmistaaksesi, että SSH-valkoinen lista toimii, kokeile valtuutettua IP-osoitetta. ssh usuario@IP_WAN -p 22 (tai käyttämäsi portti) ja vahvista käyttöoikeus. Luvattomasta IP-osoitteesta tulevan portin ei pitäisi tarjota palvelua.. USA nmap -p 22 IP_WAN kuuman kunnon tarkistamiseksi.
Jos jokin ei vastaa odotetulla tavalla, tarkista ACL-prioriteetti. Säännöt käsitellään peräkkäin, ja ne, joilla on pienin ID, voittavat.Jos Estä-arvo on Salli-arvon yläpuolella, valkolista on mitätöity. Tarkista myös, että "Palvelun tyyppi" osoittaa oikeaan porttiin ja että "IP-ryhmät" sisältävät oikeat osoitealueet.
Epäilyttävän toiminnan ilmetessä (yhteyden katkeaminen jonkin ajan kuluttua, itsestään muuttuvat säännöt, lähiverkon liikenteen väheneminen) harkitse päivitä laiteohjelmistoPoista käytöstä palvelut, joita et käytä (etäselain/Telnet/SSH-hallinta), vaihda tunnistetiedot, tarkista MAC-kloonaus tarvittaessa ja lopuksi Palauta tehdasasetukset ja määritä uudelleen mahdollisimman pienillä asetuksilla ja tiukalla sallittujen luettelolla.
Yhteensopivuus-, malli- ja saatavuustiedot
Ominaisuuksien saatavuus (tilalliset käyttöoikeusluettelot, profiilit, valkoiset listat, PVID-muokkaus porteissa jne.) Se voi riippua laitteistomallista ja -versiostaJoissakin laitteissa, kuten TL-R600VPN:ssä, tietyt ominaisuudet ovat käytettävissä vasta versiosta 4 alkaen. Myös käyttöliittymät muuttuvat, mutta perusprosessi on sama: esto oletuksena, määrittele palvelut ja ryhmät, salli tietyistä IP-osoitteista tulevat viestit ja estä loput.
TP-Link-ekosysteemissä on monia laitteita, jotka liittyvät yritysverkkoihin. Dokumentaatiossa mainittuihin malleihin kuuluvat T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-2FTS4,10 T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, TL-SG3216, TL-SG3216, T32TQ00 T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQmuiden muassa. Muista, että Tarjonta vaihtelee alueittain. ja jotkin eivät välttämättä ole saatavilla alueellasi.
Pysyäksesi ajan tasalla, käy tuotteesi tukisivulla, valitse oikea laitteistoversio ja tarkista laiteohjelmistotiedot ja tekniset tiedot uusimpien parannusten kanssa. Joskus päivitykset laajentavat tai tarkentavat palomuurin, käyttöoikeusluettelon tai etähallinnan ominaisuuksia.
Sulje SSH Kaikkien paitsi tiettyjen IP-osoitteiden kohdalla ACL-listojen asianmukainen järjestäminen ja kunkin toiminnon hallintamekanismien ymmärtäminen säästää sinut epämiellyttäviltä yllätyksiltä. Oletusarvoisella estokäytännöllä, tarkoilla valkolistoilla ja säännöllisellä vahvistuksellaTP-Link-reitittimesi ja sen takana olevat palvelut ovat paljon paremmin suojattuja ilman, että sinun tarvitsee luopua hallinnasta tarvittaessa.
Intohimoinen teknologiaan pienestä pitäen. Rakastan olla ajan tasalla alalla ja ennen kaikkea viestiä siitä. Siksi olen omistautunut viestintään teknologia- ja videopelisivustoilla useiden vuosien ajan. Löydät minut kirjoittamasta Androidista, Windowsista, MacOS:sta, iOS:stä, Nintendosta tai mistä tahansa muista mieleen tulevista aiheista.