- Forgangsraða sjálfgefnum höfnunarstefnum og nota hvítlista fyrir SSH.
- Sameinar NAT + ACL: opnar tengið og takmarkar það eftir uppruna-IP-tölu.
- Staðfestið með nmap/ping og virðið forgang reglunnar (ID).
- Styrktu með uppfærslum, SSH lyklum og lágmarksþjónustu.
¿Hvernig á að takmarka SSH aðgang að TP-Link leið við traustar IP tölur? Að stjórna hverjir hafa aðgang að netkerfinu þínu í gegnum SSH er ekki skyndiákvörðun, það er nauðsynlegt öryggislag. Leyfa aðeins aðgang frá traustum IP-tölum Það minnkar árásarflötinn, hægir á sjálfvirkum skönnunum og kemur í veg fyrir stöðugar tilraunir til innbrots frá internetinu.
Í þessari hagnýtu og ítarlegu handbók munt þú sjá hvernig á að gera þetta í mismunandi aðstæðum með TP-Link búnaði (SMB og Omada), hvað þarf að hafa í huga varðandi ACL reglur og hvítlista og hvernig á að staðfesta að allt sé rétt lokað. Við samþættum viðbótaraðferðir eins og TCP Wrappers, iptables og bestu starfsvenjur. svo þú getir tryggt umhverfi þitt án þess að skilja eftir neina lausa enda.
Af hverju að takmarka SSH aðgang á TP-Link leiðum
Að SSH sé afhjúpað á internetinu opnar dyrnar fyrir stórfelldum leitum af hálfu forvitinna vélmenna með illar áætlanir. Það er ekki óalgengt að greina tengi 22 sem er aðgengilegt á WAN eftir skönnun, eins og hefur sést í [dæmum um SSH]. Alvarlegar bilanir í TP-Link leiðum. Einföld nmap skipun er hægt að nota til að athuga hvort port 22 sé opið á opinberu IP-tölu þinni.keyrir eitthvað þessu líkt á utanaðkomandi vél nmap -vvv -p 22 TU_IP_PUBLICA og athugaðu hvort „opna ssh“ birtist.
Jafnvel þótt þú notir opinbera lykla, þá býður það upp á frekari könnun, prófanir á öðrum höfnum og árásir á stjórnunarþjónustur að skilja port 22 eftir opið. Lausnin er skýr: hafna sjálfgefið og virkja aðeins frá leyfðum IP-tölum eða sviðum.Helst að það sé lagað og stjórnað af þér. Ef þú þarft ekki fjarstýringu skaltu slökkva á henni alveg á WAN-netinu.
Auk þess að afhjúpa tengi eru aðstæður þar sem þú gætir grunað breytingar á reglum eða óeðlilega hegðun (til dæmis kapalmótald sem byrjar að „sleppa“ útsenda umferð eftir smá tíma). Ef þú tekur eftir því að ping, traceroute eða vafravirkni festist í mótaldinu skaltu athuga stillingarnar, vélbúnaðinn og íhuga að endurheimta verksmiðjustillingar. og lokaðu öllu sem þú notar ekki.
Hugrænt líkan: loka sjálfkrafa og búa til hvítlista
Sigurheimspekin er einföld: sjálfgefin höfnunarstefna og skýrar undantekningarÁ mörgum TP-Link leiðum með háþróuðu viðmóti er hægt að stilla Drop-type fjarstýringarstefnu í eldveggnum og leyfa síðan ákveðin netföng á hvítlista fyrir stjórnunarþjónustur.
Í kerfum sem innihalda valkostina „Stefna um fjarinntak“ og „Reglur um hvítlista“ (á síðum um net - eldvegg), Slepptu vörumerki í stefnu um fjarlæga aðgang Og bætið við hvítlistann opinberum IP-tölum í CIDR-sniði XXXX/XX sem ættu að geta náð til stillinga eða þjónustu eins og SSH/Telnet/HTTP(S). Þessar færslur geta innihaldið stutta lýsingu til að forðast rugling síðar.
Það er mikilvægt að skilja muninn á milli aðferða. Portforsending (NAT/DNAT) vísar portum áfram á LAN-vélarÞó að „síureglur“ stjórni umferð milli WAN og LAN eða netkerfa, þá stjórna „hvítlistareglur“ eldveggsins aðgangi að stjórnunarkerfi leiðarinnar. Síureglur loka ekki fyrir aðgang að tækinu sjálfu; til þess notarðu hvítlista eða sérstakar reglur varðandi umferð sem berst á leiðina.
Til að fá aðgang að innri þjónustu er portakortlagning búin til í NAT og þá er takmarkað hverjir geta nálgast þá kortlagningu að utan. Uppskriftin er: opnaðu nauðsynlega tengið og takmarkaðu það síðan með aðgangsstýringu. sem leyfir aðeins viðurkenndum aðilum að fara í gegn og lokar fyrir restina.
SSH frá traustum IP-tölum á TP-Link SMB (ER6120/ER8411 og svipað)
Í SMB leiðum eins og TL-ER6120 eða ER8411 er venjulegt mynstur fyrir að auglýsa LAN þjónustu (t.d. SSH á innri netþjóni) og takmarka hana með uppruna IP-tölu tvíþætt. Fyrst er portið opnað með sýndarþjóni (NAT) og síðan er það síað með aðgangsstýringu. byggt á IP-hópum og þjónustutegundum.
1. áfangi – Sýndarþjónn: farðu á Ítarlegt → NAT → Sýndarþjónn og býr til færslu fyrir samsvarandi WAN-viðmót. Stilltu ytri tengi 22 og vísaðu því á innri IP-tölu netþjónsins (til dæmis 192.168.0.2:22)Vistaðu regluna til að bæta henni við listann. Ef þú notar aðra tengigátt í þínu tilfelli (t.d. ef þú hefur breytt SSH í 2222), þá skaltu aðlaga gildið í samræmi við það.
2. áfangi – Þjónustutegund: slá inn Stillingar → Þjónustutegund, búðu til nýja þjónustu sem kallast til dæmis SSH, veldu TCP eða TCP/UDP og skilgreina áfangastaðsgátt 22 (bil upprunagáttarins getur verið 0–65535). Þetta lag gerir þér kleift að vísa hreint í tengið í aðgangsstýringarkerfinu (ACL)..
3. áfangi – Hugverkaréttarhópur: fara á Stillingar → IP-hópur → IP-tala og bættu við færslum fyrir bæði leyfilegan uppruna (t.d. opinbera IP-tölu þína eða svið sem heitir „Access_Client“) og áfangastaðinn (t.d. „SSH_Server“ með innri IP-tölu netþjónsins). Tengdu síðan hvert netfang við samsvarandi IP-hóp innan sama valmyndar.
4. áfangi – Aðgangsstýring: inn Eldveggur → Aðgangsstýring Búðu til tvær reglur. 1) Leyfa reglu: Leyfa stefnu, nýskilgreinda "SSH" þjónustu, Heimild = IP-hópurinn „Aðgangsviðskiptavinur“ og áfangastaður = „SSH_Server“. Gefðu því auðkenni 1. 2) Bannreglu: Bannreglu með uppruni = IPGROUP_ANY og áfangastaður = "SSH_Server" (eða eftir því sem við á) með auðkenni 2. Þannig mun aðeins traust IP-tala eða svið fara í gegnum NAT-tenginguna til SSH-kerfisins þíns; restin verður lokuð.
Röðin við matið er mikilvæg. Lægri auðkenni hafa forgangÞess vegna verður Leyfa-reglan að koma á undan (lægri auðkenni) Blokkunarreglunni. Eftir að breytingarnar hafa verið settar inn verður hægt að tengjast WAN IP-tölu leiðarinnar á skilgreindri tengi frá leyfilegu IP-tölunni, en tengingar frá öðrum aðilum verða lokaðar.
Athugasemdir um gerð/vélbúnað: Viðmótið getur verið mismunandi eftir vélbúnaði og útgáfum. TL-R600VPN krefst vélbúnaðar útgáfu 4 til að ná til ákveðinna aðgerða.Og á mismunandi kerfum gætu valmyndirnar verið færðar til. Engu að síður er ferlið það sama: þjónustutegund → IP-hópar → Aðgangskóði með Leyfa og Blokkera. Ekki gleyma. vista og sækja um til þess að reglurnar taki gildi.
Ráðlögð staðfesting: Prófaðu að nota viðurkennda IP-tölu ssh usuario@IP_WAN og staðfesta aðgang. Frá annarri IP-tölu ætti portið að verða óaðgengilegt. (tenging sem berst ekki eða er hafnað, helst án borða til að forðast vísbendingar).
ACL með Omada stjórnanda: Listar, stöður og dæmi um atburðarásir
Ef þú stjórnar TP-Link hliðum með Omada Controller, þá er rökfræðin svipuð en með fleiri sjónrænum valkostum. Búðu til hópa (IP eða tengi), skilgreindu aðgangsstýringaraðganga (ACL) fyrir gátt og skipuleggðu reglurnar. að leyfa algjört lágmark og neita öllu öðru.
Listar og hópar: í Stillingar → Prófílar → Hópar Þú getur búið til IP-hópa (undirnet eða vélar, eins og 192.168.0.32/27 eða 192.168.30.100/32) og einnig porthópa (til dæmis HTTP 80 og DNS 53). Þessir hópar einfalda flóknar reglur með því að endurnýta hluti.
Aðgangskóði hliðs: virkur Stillingar → Netöryggi → Aðgangskóði (ACL) Bættu við reglum með LAN→WAN, LAN→LAN eða WAN→LAN átt eftir því hvað þú vilt vernda. Stefnan fyrir hverja reglu getur verið Leyfa eða Hafna. og röðin ákvarðar raunverulega niðurstöðu. Hakaðu við „Virkja“ til að virkja þær. Sumar útgáfur leyfa þér að hafa reglur tilbúnar og óvirkar.
Gagnleg tilvik (aðlögunarhæft að SSH): leyfa aðeins ákveðnar þjónustur og loka fyrir restina (t.d. leyfa DNS og HTTP og síðan hafna öllum). Fyrir hvítlista stjórnenda, búðu til Leyfa frá traustum IP-tölum á „Stjórnunarsíðu hliðsins“. og svo almenn höfnun frá hinum netkerfunum. Ef vélbúnaðarforritið þitt býður upp á þann möguleika. TvíhliðaÞú getur sjálfkrafa búið til öfuga reglu.
Tengingarstaða: Aðgangsstýringar (ACL) geta verið stöðubundnar. Algengustu gerðirnar eru nýjar, rótgrónar, tengdar og ógildar.„Nýtt“ sér um fyrsta pakkann (t.d. SYN í TCP), „Stofnað“ sér um tvíátta umferð sem áður hefur komið upp, „Tengd“ sér um háðar tengingar (eins og FTP gagnarásir) og „Ógilt“ sér um óeðlilega umferð. Það er almennt best að halda sjálfgefnum stillingum nema þú þurfir meiri nákvæmni.
VLAN og skiptingu: Stuðningur við Omada og SMB beinar einátta og tvíátta aðstæður milli VLANÞú getur lokað á Markaðssetningu→R&D en leyft R&D→Markaðssetningu, eða lokað á báðar áttir og samt heimilað tilteknum stjórnanda. LAN→LAN áttin í ACL er notuð til að stjórna umferð milli innri undirneta.
Viðbótaraðferðir og styrkingar: TCP Wrappers, iptables, MikroTik og klassískur eldveggur
Auk aðgangsstýringar (ACL) leiðarans eru önnur lög sem ætti að beita, sérstaklega ef SSH áfangastaðurinn er Linux-þjónn á bak við leiðarann. TCP Wrappers leyfir síun eftir IP með hosts.allow og hosts.deny á samhæfðum þjónustum (þar á meðal OpenSSH í mörgum hefðbundnum stillingum).
Stjórnunarskrár: ef þær eru ekki til, búðu þær til með sudo touch /etc/hosts.{allow,deny}. Besta starfshættir: hafna öllu í hosts.deny og leyfir það sérstaklega í hosts.allow. Til dæmis: í /etc/hosts.deny pon sshd: ALL og /etc/hosts.allow bæta við sshd: 203.0.113.10, 198.51.100.0/24Þannig munu aðeins þessar IP-tölur geta náð til SSH-þjónsins á netþjóninum.
Sérsniðnar iptables: Ef leiðin eða netþjónninn þinn leyfir það skaltu bæta við reglum sem aðeins samþykkja SSH frá tilteknum aðilum. Algeng regla væri: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT fylgt eftir af sjálfgefinni DROP-stefnu eða reglu sem lokar fyrir restina. Á leiðum með flipa af Sérsniðnar reglur Þú getur sprautað þessum línum inn og beitt þeim með „Vista og beita“.
Bestu starfsvenjur í MikroTik (gilda sem almennar leiðbeiningar): breyta sjálfgefnum tengjum ef mögulegt er, slökkva á Telnet (notið aðeins SSH), notið sterk lykilorð eða, enn betra, lykilstaðfestingTakmarkaðu aðgang eftir IP-tölu með eldveggnum, virkjaðu 2FA ef tækið styður það og haltu vélbúnaðarstillingum/RouterOS uppfærðum. Slökktu á WAN aðgangi ef þú þarft ekki á því að haldaÞað fylgist með misheppnuðum tilraunum og, ef nauðsyn krefur, beitir tengingarhraðatakmörkunum til að stemma stigu við árásum af gerðinni brute force.
TP-Link Classic Interface (eldri vélbúnaðarútgáfa): Skráðu þig inn í spjaldið með LAN IP tölunni (sjálfgefið 192.168.1.1) og aðgangsupplýsingum fyrir stjórnanda/stjórnanda, farðu síðan á Öryggi → EldveggurVirkjaðu IP-síuna og veldu að ótilgreindir pakkar fylgi æskilegri stefnu. Síðan, í Síun á IP-tölu, ýttu á „Bæta við nýju“ og skilgreindu hvaða IP-tölur geta eða geta ekki notað þjónustugáttina á WAN (fyrir SSH, 22/tcp). Vistaðu hvert skref. Þetta gerir þér kleift að beita almennri höfnun og búa til undantekningar til að leyfa aðeins traustar IP-tölur.
Lokaðu á ákveðnar IP-tölur með kyrrstæðri leið
Í sumum tilfellum er gagnlegt að loka fyrir útsendingar til ákveðinna IP-talna til að bæta stöðugleika með ákveðnum þjónustum (eins og streymi). Ein leið til að gera þetta á mörgum TP-Link tækjum er með kyrrstæðri leiðsögn., að búa til /32 leiðir sem forðast að ná til þessara áfangastaða eða beina þeim þannig að sjálfgefna leiðin neytir þeirra ekki (stuðningur er mismunandi eftir vélbúnaðarforritum).
Nýlegar gerðir: farðu í flipann Ítarlegt → Net → Ítarleg leiðsögn → Stöðug leiðsögn og ýttu á „+ Bæta við“. Sláðu inn „Netfangastaður“ með IP-tölunni sem á að loka fyrir, „Subnet Mask“ 255.255.255.255, „Sjálfgefin gátt“ LAN-gáttin (venjulega 192.168.0.1) og „Viðmót“ LAN. Veldu „Leyfa þessa færslu“ og vistaðuEndurtakið fyrir hvert mark-IP-tölu eftir því hvaða þjónustu á að stjórna.
Eldri vélbúnaðarútgáfur: farðu á Ítarleg leiðsögn → Stöðug leiðalisti, ýttu á „Bæta við nýju“ og fylltu út sömu reiti. Virkja leiðarstöðu og vistaHafðu samband við þjónustuver þjónustunnar til að fá upplýsingar um hvaða IP-tölur á að meðhöndla, þar sem þær geta breyst.
Staðfesting: Opnaðu flugstöð eða skipanalínu og prófaðu með ping 8.8.8.8 (eða áfangastaðs-IP-ið sem þú hefur lokað á). Ef þú sérð „Tímalokun“ eða „Ónákvæmt að ná í áfangastað“Blokkunin virkar. Ef ekki, farðu yfir skrefin og endurræstu leiðina til að allar töflurnar taki gildi.
Staðfesting, prófanir og úrlausn atvika
Til að staðfesta að SSH hvítlistinn þinn virki skaltu prófa að nota heimilaða IP-tölu. ssh usuario@IP_WAN -p 22 (eða tengið sem þú notar) og staðfestu aðgang. Frá óheimilri IP-tölu ætti portið ekki að bjóða upp á þjónustu.. Bandaríkin nmap -p 22 IP_WAN til að athuga hvort heitt ástandið sé.
Ef eitthvað svarar ekki eins og það á að gera, athugaðu þá forgangsröðun ACL. Reglurnar eru unnar í röð og þær sem hafa lægsta auðkennið vinna.Höfnun fyrir ofan Leyfa ógildir hvítlistann. Gakktu einnig úr skugga um að „Þjónustutegund“ vísi á rétta tengið og að „IP-hóparnir“ innihaldi viðeigandi svið.
Ef grunsamleg hegðun kemur upp (tengingarleysi eftir smá tíma, reglur sem breytast sjálfkrafa, LAN-umferð sem minnkar), skaltu íhuga uppfæra vélbúnaðinnSlökkvið á þjónustum sem þið notið ekki (fjarstýringu á vefnum/Telnet/SSH), breytið innskráningarupplýsingum, athugið MAC-klónun ef við á og að lokum, Endurstilla í verksmiðjustillingar og endurstilla með lágmarksstillingum og ströngum hvítlista.
Athugasemdir um samhæfni, gerðir og framboð
Aðgengi að eiginleikum (stöðubundin aðgangsstýringarkerfi, prófílar, hvítlistar, PVID-breytingar á tengi o.s.frv.) Það gæti farið eftir vélbúnaðargerð og útgáfuÍ sumum tækjum, eins og TL-R600VPN, eru ákveðnir eiginleikar aðeins tiltækir frá útgáfu 4 og áfram. Notendaviðmótin breytast einnig, en grunnferlið er það sama: sjálfgefin lokun, skilgreina þjónustu og hópa, leyfa frá ákveðnum IP-tölum og loka fyrir restina.
Innan vistkerfis TP-Link eru mörg tæki sem tengjast fyrirtækjanetum. Líkanirnar sem vitnað er í í skjölunum eru meðal annars T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, SG412F T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T37000G0, T37000G0 T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQmeðal annars. Hafðu í huga að Tilboðið er mismunandi eftir svæðum. og sum eru hugsanlega ekki í boði á þínu svæði.
Til að fylgjast með nýjustu upplýsingum skaltu fara á stuðningssíðu vörunnar, velja rétta vélbúnaðarútgáfu og athuga Athugasemdir um vélbúnað og tæknilegar upplýsingar með nýjustu úrbótum. Stundum víkka eða betrumbæta uppfærslur eldvegg, aðgangsstýringar (ACL) eða eiginleika fjarstýringar.
Lokaðu SSH Fyrir allar nema ákveðnar IP-tölur, þá kemur í veg fyrir óþægilegar óvart með því að skipuleggja aðgangsstýringar (ACL) rétt og skilja hvaða aðferð stýrir hverju og einu. Með sjálfgefinni höfnunarstefnu, nákvæmum hvítlistum og reglulegri staðfestinguTP-Link leiðin þín og þjónustan á bak við hana verður mun betur varin án þess að þú þurfir að gefa upp stjórnunina þegar þú þarft á henni að halda.
Hefur brennandi áhuga á tækni frá því hann var lítill. Ég elska að vera uppfærður í geiranum og umfram allt að miðla honum. Þess vegna hef ég lagt mig fram við samskipti á tækni- og tölvuleikjavefsíðum í mörg ár. Þú getur fundið mig að skrifa um Android, Windows, MacOS, iOS, Nintendo eða annað tengt efni sem mér dettur í hug.