- Uprednostnite predvolenú politiku odmietania a pre SSH používajte biele zoznamy.
- Kombinuje NAT + ACL: otvára port a obmedzuje podľa zdrojovej IP adresy.
- Overte to pomocou nmap/ping a rešpektujte prioritu pravidla (ID).
- Posilnite aktualizáciami, SSH kľúčmi a minimálnymi službami.
¿Ako obmedziť SSH prístup k routeru TP-Link na dôveryhodné IP adresy? Ovládanie toho, kto má prístup k vašej sieti cez SSH, nie je rozmar, ale základná vrstva zabezpečenia. Povoliť prístup iba z dôveryhodných IP adries Znižuje plochu útoku, spomaľuje automatické skenovanie a zabraňuje neustálym pokusom o prienik z internetu.
V tejto praktickej a komplexnej príručke uvidíte, ako to urobiť v rôznych scenároch so zariadeniami TP-Link (SMB a Omada), čo treba zvážiť pri pravidlách ACL a bielych zoznamoch a ako overiť, či je všetko správne zatvorené. Integrujeme ďalšie metódy, ako napríklad TCP Wrappery, iptables a osvedčené postupy. takže si môžete zabezpečiť svoje prostredie bez toho, aby ste nechali nejaké voľné konce.
Prečo obmedzovať prístup SSH na routeroch TP-Link
Vystavenie SSH internetu otvára dvere masívnym útokom zo strany už aj tak zvedavých botov so zlomyseľným úmyslom. Nie je nezvyčajné zistiť po skenovaní port 22 dostupný na WAN, ako bolo pozorované v [príkladoch SSH]. kritické poruchy routerov TP-Link. Jednoduchý príkaz nmap sa dá použiť na kontrolu, či má vaša verejná IP adresa otvorený port 22.: vykoná niečo podobné na externom počítači nmap -vvv -p 22 TU_IP_PUBLICA a skontrolujte, či sa zobrazí „otvoriť ssh“.
Aj keď používate verejné kľúče, ponechanie portu 22 otvoreného umožňuje ďalšie skúmanie, testovanie iných portov a útoky na služby správy. Riešenie je jasné: štandardne zakázať a povoliť iba z povolených IP adries alebo rozsahov.Najlepšie by malo byť opravené a ovládané vami. Ak nepotrebujete vzdialenú správu, úplne ju vypnite v sieti WAN.
Okrem odhalenia portov existujú situácie, v ktorých môžete mať podozrenie na zmeny pravidiel alebo anomálne správanie (napríklad káblový modem, ktorý po chvíli začne „strácať“ odchádzajúcu prevádzku). Ak si všimnete, že príkazy ping, traceroute alebo prehliadanie sa nedostanú cez modem, skontrolujte nastavenia, firmvér a zvážte obnovenie továrenských nastavení. a zatvorte všetko, čo nepoužívate.
Mentálny model: predvolene blokovať a vytvoriť bielu listinu
Víťazná filozofia je jednoduchá: predvolená politika odmietnutia a explicitné výnimkyNa mnohých routeroch TP-Link s pokročilým rozhraním môžete v bráne firewall nastaviť politiku vzdialeného vstupu typu Drop a potom povoliť konkrétne adresy na bielej listine pre služby správy.
V systémoch, ktoré obsahujú možnosti „Zásady vzdialeného vstupu“ a „Pravidlá bielej listiny“ (na stránkach Sieť – Firewall), Zrušenie značky v pravidlách pre vzdialený vstup A pridajte do bielej listiny verejné IP adresy vo formáte CIDR XXXX/XX, ktoré by mali byť schopné dosiahnuť konfiguráciu alebo služby ako SSH/Telnet/HTTP(S). Tieto položky môžu obsahovať stručný popis, aby sa predišlo neskorším nejasnostiam.
Je dôležité pochopiť rozdiel medzi mechanizmami. Presmerovanie portov (NAT/DNAT) presmeruje porty na LAN počítačeZatiaľ čo „pravidlá filtrovania“ riadia prevádzku medzi sieťami WAN a LAN alebo medzi sieťami, „pravidlá bielej listiny“ brány firewall riadia prístup k systému správy smerovača. Pravidlá filtrovania neblokujú prístup k samotnému zariadeniu; na to sa používajú biele listiny alebo špecifické pravidlá týkajúce sa prichádzajúcej prevádzky do smerovača.
Pre prístup k interným službám sa v NAT vytvorí mapovanie portov a potom sa obmedzí, kto sa k tomuto mapovaniu môže dostať zvonku. Recept je: otvorte potrebný port a potom ho obmedzte pomocou kontroly prístupu. ktorý umožňuje prechod iba autorizovaným zdrojom a blokuje ostatné.
SSH z dôveryhodných IP adries na TP-Link SMB (ER6120/ER8411 a podobné)
V SMB routeroch, ako sú TL-ER6120 alebo ER8411, je obvyklý vzorec pre inzerovanie LAN služby (napr. SSH na internom serveri) a jej obmedzenie podľa zdrojovej IP adresy dvojfázový. Najprv sa port otvorí pomocou virtuálneho servera (NAT) a potom sa filtruje pomocou kontroly prístupu. na základe skupín IP a typov služieb.
Fáza 1 – Virtuálny server: prejdite na Rozšírené → NAT → Virtuálny server a vytvorí položku pre príslušné rozhranie WAN. Nakonfigurujte externý port 22 a nasmerujte ho na internú IP adresu servera (napríklad 192.168.0.2:22)Uložte pravidlo, aby ste ho pridali do zoznamu. Ak váš prípad používa iný port (napr. ste zmenili SSH na 2222), upravte hodnotu podľa toho.
Fáza 2 – Typ služby: zadajte Nastavenia → Typ služby, vytvorte novú službu s názvom napríklad SSH, vyberte TCP alebo TCP/UDP a definujte cieľový port 22 (rozsah zdrojového portu môže byť 0–65535). Táto vrstva vám umožní jasne odkazovať na port v ACL..
Fáza 3 – Skupina IP: prejdite na Nastavenia → Skupina IP → IP adresa a pridajte položky pre povolený zdroj (napr. vašu verejnú IP adresu alebo rozsah s názvom „Access_Client“) aj pre cieľový zdroj (napr. „SSH_Server“ s internou IP adresou servera). Potom priraďte každú adresu k jej zodpovedajúcej skupine IP v rámci toho istého menu.
Fáza 4 – Riadenie prístupu: v Firewall → Riadenie prístupu Vytvorte dve pravidlá. 1) Povoliť pravidlo: Povoliť politiku, novo definovanú službu „SSH“, Zdroj = IP skupina „Access_Client“ a cieľ = „SSH_Server“Priraďte mu ID 1. 2) Pravidlo blokovania: Pravidlo blokovania pomocou zdroj = IPGROUP_ANY a cieľ = „SSH_Server“ (alebo podľa potreby) s ID 2. Týmto spôsobom bude cez NAT do vášho SSH prechádzať iba dôveryhodná IP adresa alebo rozsah; zvyšok bude blokovaný.
Poradie hodnotenia je nevyhnutné. Nižšie ID majú prednosťPreto musí pravidlo Povoliť (s nižším ID) predchádzať pravidlu Blokovať. Po použití zmien sa budete môcť pripojiť k WAN IP adrese routera na definovanom porte z povolenej IP adresy, ale pripojenia z iných zdrojov budú blokované.
Poznámky k modelu/firmvéru: Rozhranie sa môže líšiť v závislosti od hardvéru a verzie. TL-R600VPN vyžaduje hardvér v4 na pokrytie určitých funkciíA na rôznych systémoch sa môžu ponuky premiestniť. Postup je však rovnaký: typ služby → skupiny IP → ACL s možnosťami Povoliť a Blokovať. Nezabudnite uložiť a použiť aby pravidlá nadobudli účinnosť.
Odporúčané overenie: Z autorizovanej IP adresy skúste ssh usuario@IP_WAN a overiť prístup. Z inej IP adresy by sa port mal stať neprístupným. (spojenie, ktoré neprichádza alebo je odmietnuté, ideálne bez bannera, aby sa predišlo poskytovaniu indícií).
ACL s ovládačom Omada: Zoznamy, stavy a príklady scenárov
Ak spravujete brány TP-Link pomocou ovládača Omada, logika je podobná, ale s viacerými vizuálnymi možnosťami. Vytvorte skupiny (IP alebo porty), definujte zoznamy ACL brány a usporiadajte pravidlá povoliť len to najnutnejšie minimum a všetko ostatné poprieť.
Zoznamy a skupiny: v Nastavenia → Profily → Skupiny Môžete vytvoriť skupiny IP adries (podsiete alebo hostitelia, napríklad 192.168.0.32/27 alebo 192.168.30.100/32) a tiež skupiny portov (napríklad HTTP 80 a DNS 53). Tieto skupiny zjednodušujú zložité pravidlá opätovným použitím objektov.
ACL brány: zapnuté Konfigurácia → Zabezpečenie siete → ACL Pridajte pravidlá so smerom LAN→WAN, LAN→LAN alebo WAN→LAN v závislosti od toho, čo chcete chrániť. Politika pre každé pravidlo môže byť Povoliť alebo Zakázať. a poradie určuje skutočný výsledok. Začiarknite políčko „Povoliť“, ak ich chcete aktivovať. Niektoré verzie umožňujú ponechať pravidlá pripravené a vypnuté.
Užitočné prípady (prispôsobiteľné SSH): povoliť iba konkrétne služby a zablokovať ostatné (napr. Povoliť DNS a HTTP a potom Zakázať všetko). Pre biele zoznamy pre správu vytvorte na stránke „Správa brány“ možnosť Povoliť z dôveryhodných IP adries. a potom všeobecné odmietnutie z ostatných sietí. Ak váš firmvér túto možnosť má. ObojsmernýInverzné pravidlo môžete vygenerovať automaticky.
Stav pripojenia: ACL môžu byť stavové. Bežné typy sú Nové, Zavedené, Súvisiace a Neplatné„Nový“ spracováva prvý paket (napr. SYN v TCP), „Uvedený“ spracováva predtým zaznamenanú obojsmernú prevádzku, „Súvisiaci“ spracováva závislé pripojenia (napríklad dátové kanály FTP) a „Neplatný“ spracováva anomálnu prevádzku. Vo všeobecnosti je najlepšie ponechať predvolené nastavenia, pokiaľ nepotrebujete väčšiu granularitu.
VLAN a segmentácia: Podpora routerov Omada a SMB jednosmerné a obojsmerné scenáre medzi VLANMôžete blokovať Marketing→Výskum a vývoj, ale povoliť Výskum a vývoj→Marketing, alebo blokovať oba smery a stále autorizovať konkrétneho správcu. Smer LAN→LAN v ACL sa používa na riadenie prevádzky medzi internými podsieťami.
Ďalšie metódy a posilnenia: TCP Wrappers, iptables, MikroTik a klasický firewall
Okrem ACL smerovača by sa mali použiť aj ďalšie vrstvy, najmä ak je cieľom SSH server Linux za smerovačom. TCP Wrappers umožňuje filtrovanie podľa IP adresy pomocou hosts.allow a hosts.deny na kompatibilných službách (vrátane OpenSSH v mnohých tradičných konfiguráciách).
Riadiace súbory: ak neexistujú, vytvorte ich pomocou sudo touch /etc/hosts.{allow,deny}. Osvedčený postup: zakázať všetko v hosts.deny a explicitne to povoľuje v súbore hosts.allow. Napríklad: v /etc/hosts.deny Pon sshd: ALL a /etc/hosts.allow dodáva sshd: 203.0.113.10, 198.51.100.0/24Iba tieto IP adresy sa teda budú môcť pripojiť k SSH démonovi servera.
Vlastné iptables: Ak to váš smerovač alebo server umožňuje, pridajte pravidlá, ktoré akceptujú SSH iba z konkrétnych zdrojov. Typické pravidlo by bolo: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT nasledovaná predvolenou politikou DROP alebo pravidlom, ktoré blokuje zvyšok. Na smerovačoch s kartou Vlastné pravidlá Tieto riadky môžete vložiť a použiť pomocou funkcie „Uložiť a použiť“.
Najlepšie postupy v MikroTiku (platné ako všeobecný návod): ak je to možné, zmeňte predvolené porty, deaktivovať Telnet (používajte iba SSH), používajte silné heslá alebo ešte lepšie, autentifikácia kľúčaObmedzte prístup podľa IP adresy pomocou firewallu, povoľte 2FA, ak ho zariadenie podporuje, a udržiavajte firmvér/RouterOS aktuálny. Zakážte prístup k WAN, ak ho nepotrebujeteMonitoruje neúspešné pokusy a v prípade potreby aplikuje limity rýchlosti pripojenia na obmedzenie útokov hrubou silou.
Klasické rozhranie TP-Link (starší firmvér): Prihláste sa do panela pomocou IP adresy siete LAN (predvolená 192.168.1.1) a prihlasovacích údajov správcu/admin a potom prejdite na Zabezpečenie → FirewallPovoľte filter IP a vyberte, či sa pre nešpecifikované pakety bude uplatňovať požadovaná politika. Potom v Filtrovanie IP adries, stlačte „Pridať nový“ a definujte ktoré IP adresy môžu alebo nemôžu používať servisný port na WAN (pre SSH, 22/tcp). Uložte si každý krok. To vám umožní použiť všeobecné zamietnutie a vytvoriť výnimky, ktoré povoľujú iba dôveryhodné IP adresy.
Blokovať konkrétne IP adresy pomocou statických trás
V niektorých prípadoch je užitočné blokovať odchádzajúce správy na konkrétne IP adresy, aby sa zlepšila stabilita určitých služieb (napríklad streamovania). Jedným zo spôsobov, ako to dosiahnuť na viacerých zariadeniach TP-Link, je statické smerovanie., čím sa vytvoria trasy /32, ktoré sa vyhnú dosiahnutiu týchto cieľov alebo ich smerujú tak, aby neboli spotrebované predvolenou trasou (podpora sa líši v závislosti od firmvéru).
Najnovšie modely: prejdite na kartu Rozšírené → Sieť → Rozšírené smerovanie → Statické smerovanie a stlačte „+ Pridať“. Zadajte „Cieľ siete“ s IP adresou, ktorú chcete blokovať, „Masku podsiete“ 255.255.255.255, „Predvolenú bránu“ pre bránu siete LAN (zvyčajne 192.168.0.1) a „Rozhranie“ pre sieť LAN. Vyberte možnosť „Povoliť tento záznam“ a uložte voľbu.Opakujte pre každú cieľovú IP adresu v závislosti od služby, ktorú chcete ovládať.
Staršie firmvéry: prejdite na Pokročilé smerovanie → Statický zoznam smerovania, stlačte tlačidlo „Pridať nový“ a vyplňte rovnaké polia. Aktivovať stav trasy a uložiťAk chcete zistiť, ktoré IP adresy máte spracovať, obráťte sa na podporu vašej služby, pretože sa môžu zmeniť.
Overenie: Otvorte terminál alebo príkazový riadok a otestujte ho pomocou ping 8.8.8.8 (alebo cieľovú IP adresu, ktorú ste zablokovali). Ak sa zobrazuje hlásenie „Časový limit“ alebo „Cieľový hostiteľ je nedostupný“Blokovanie funguje. Ak nie, skontrolujte kroky a reštartujte smerovač, aby sa všetky tabuľky prejavili.
Overovanie, testovanie a riešenie incidentov
Ak chcete overiť, či váš zoznam povolených položiek SSH funguje, skúste použiť autorizovanú IP adresu. ssh usuario@IP_WAN -p 22 (alebo port, ktorý používate) a potvrďte prístup. Z neoprávnenej IP adresy by port nemal ponúkať službu.. USA nmap -p 22 IP_WAN skontrolovať horúci stav.
Ak niečo nereaguje tak, ako by malo, skontrolujte prioritu ACL. Pravidlá sa spracovávajú postupne a tie s najnižším ID vyhrávajú.Možnosť Zamietnuť nad možnosťou Povoliť zneplatní bielu listinu. Skontrolujte tiež, či „Typ služby“ ukazuje na správny port a či vaše „Skupiny IP“ obsahujú správne rozsahy.
V prípade podozrivého správania (strata pripojenia po určitom čase, pravidlá, ktoré sa samy menia, výpadok prevádzky siete LAN) zvážte aktualizujte firmvérVypnite služby, ktoré nepoužívate (vzdialená správa cez web/Telnet/SSH), zmeňte prihlasovacie údaje, v prípade potreby skontrolujte klonovanie MAC adries a nakoniec, Obnoviť továrenské nastavenia a znova nakonfigurovať s minimálnymi nastaveniami a prísnym zoznamom povolených položiek.
Poznámky ku kompatibilite, modelom a dostupnosti
Dostupnosť funkcií (stavové ACL, profily, biele listiny, úprava PVID na portoch atď.) Môže to závisieť od modelu a verzie hardvéruV niektorých zariadeniach, ako napríklad TL-R600VPN, sú určité funkcie dostupné až od verzie 4. Používateľské rozhrania sa tiež menia, ale základný postup je rovnaký: blokovanie v predvolenom nastavení, definovať služby a skupiny, povoliť z konkrétnych IP adries a zablokovať ostatné.
V ekosystéme TP-Link je v podnikových sieťach zapojených mnoho zariadení. Medzi modely uvedené v dokumentácii patria T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-154TS, TL T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216-T58,T3200GTL T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQokrem iného. Majte na pamäti, že Ponuka sa líši podľa regiónu. a niektoré nemusia byť dostupné vo vašej oblasti.
Ak chcete zostať v obraze, navštívte stránku podpory vášho produktu, vyberte správnu verziu hardvéru a skontrolujte poznámky k firmvéru a technické špecifikácie s najnovšími vylepšeniami. Aktualizácie niekedy rozširujú alebo spresňujú funkcie brány firewall, zoznamu ACL alebo vzdialenej správy.
Zatvorte SSH Pre všetky IP adresy okrem špecifických, správne usporiadanie ACL a pochopenie mechanizmov, ktoré riadia každú vec, vás ušetrí od nepríjemných prekvapení. S predvolenou politikou odmietania, presnými bielymi zoznamami a pravidelným overovanímVáš router TP-Link a služby, ktoré za ním stoja, budú oveľa lepšie chránené bez toho, aby ste sa museli vzdať správy, keď ju budete potrebovať.
Technológiou sa venuje už od malička. Milujem byť aktuálny v tomto sektore a predovšetkým o ňom komunikovať. Preto sa dlhé roky venujem komunikácii na technologických a videoherných weboch. Môžete ma nájsť písať o Androide, Windows, MacOS, iOS, Nintendo alebo o akejkoľvek inej súvisiacej téme, ktorá vás napadne.