- Dajte prednost privzeti politiki zavrnitve in uporabite bele sezname za SSH.
- Združuje NAT + ACL: odpre vrata in omeji glede na izvorni IP.
- Preverite z nmap/ping in upoštevajte prioriteto pravila (ID).
- Okrepite s posodobitvami, ključi SSH in minimalnimi storitvami.
¿Kako omejiti dostop SSH do usmerjevalnika TP-Link na zaupanja vredne IP-naslove? Nadzor nad tem, kdo lahko dostopa do vašega omrežja prek SSH, ni muhavost, temveč bistvena plast varnosti. Dovoli dostop samo z zaupanja vrednih naslovov IP Zmanjša površino napada, upočasni samodejne preglede in prepreči nenehne poskuse vdorov z interneta.
V tem praktičnem in celovitem priročniku boste videli, kako to storiti v različnih scenarijih z opremo TP-Link (SMB in Omada), kaj je treba upoštevati pri pravilih ACL in belih seznamih ter kako preveriti, ali je vse pravilno zaprto. Integriramo dodatne metode, kot so TCP Wrappers, iptables in najboljše prakse tako lahko zavarujete svoje okolje, ne da bi pri tem pustili kakršne koli nedokončane zadeve.
Zakaj omejiti dostop SSH na usmerjevalnikih TP-Link
Izpostavljanje SSH internetu odpira vrata množičnim vdorom že tako radovednih botov z zlonamernimi nameni. Ni neobičajno, da se po skeniranju na omrežju WAN odkrijejo vrata 22, kot je bilo opaženo v [primerih SSH]. kritične napake v usmerjevalnikih TP-Link. Preprost ukaz nmap lahko uporabite za preverjanje, ali ima vaš javni IP naslov odprta vrata 22.: izvede nekaj takega na zunanjem računalniku nmap -vvv -p 22 TU_IP_PUBLICA in preverite, ali se prikaže "open ssh".
Tudi če uporabljate javne ključe, če pustite vrata 22 odprta, lahko pride do nadaljnjega raziskovanja, testiranja drugih vrat in napadanja storitev upravljanja. Rešitev je jasna: privzeto zavrni in omogoči samo iz dovoljenih IP-jev ali obsegov.Po možnosti, da ga sami popravite in nadzorujete. Če ne potrebujete oddaljenega upravljanja, ga v omrežju WAN popolnoma onemogočite.
Poleg razkritja vrat obstajajo tudi situacije, v katerih lahko posumite na spremembe pravil ali nenavadno vedenje (na primer kabelski modem, ki po določenem času začne »izpuščati« odhodni promet). Če opazite, da ping, traceroute ali brskanje ne dosežejo modema, preverite nastavitve, vdelano programsko opremo in razmislite o ponastavitvi na tovarniške nastavitve. in zaprite vse, česar ne uporabljate.
Miselni model: privzeto blokiranje in ustvarjanje belega seznama
Zmagovalna filozofija je preprosta: privzeta politika zavrnitve in eksplicitne izjemeNa mnogih usmerjevalnikih TP-Link z naprednim vmesnikom lahko v požarnem zidu nastavite pravilnik oddaljenega dostopa tipa Drop in nato dovolite določene naslove na belem seznamu za storitve upravljanja.
V sistemih, ki vključujejo možnosti »Pravilnik oddaljenega vnosa« in »Pravila bele liste« (na straneh Omrežje – Požarni zid), Izključitev blagovne znamke iz politike oddaljenega vstopa In na beli seznam dodajte javne IP-naslove v formatu CIDR XXXX/XX, ki bi morali imeti dostop do konfiguracije ali storitev, kot so SSH/Telnet/HTTP(S). Ti vnosi lahko vključujejo kratek opis, da se izognete kasnejši zmedi.
Ključnega pomena je razumeti razliko med mehanizmi. Posredovanje vrat (NAT/DNAT) preusmeri vrata na LAN napraveMedtem ko »pravila filtriranja« nadzorujejo promet med omrežjem WAN in LAN ali med omrežji, »pravila belega seznama« požarnega zidu urejajo dostop do sistema za upravljanje usmerjevalnika. Pravila filtriranja ne blokirajo dostopa do same naprave; za to uporabite bele sezname ali posebna pravila glede dohodnega prometa na usmerjevalnik.
Za dostop do notranjih storitev se v NAT-u ustvari preslikava vrat, nato pa se omeji, kdo lahko do te preslikave dostopa od zunaj. Recept je: odprite potrebna vrata in jih nato omejite z nadzorom dostopa. ki dovoljuje prehod le pooblaščenim virom in blokira ostale.
SSH iz zaupanja vrednih IP-jev na TP-Link SMB (ER6120/ER8411 in podobni)
V usmerjevalnikih za mala in srednje velika podjetja, kot sta TL-ER6120 ali ER8411, je običajni vzorec za oglaševanje storitve LAN (npr. SSH na notranjem strežniku) in njeno omejevanje glede na izvorni IP dvofazni. Najprej se vrata odprejo z virtualnim strežnikom (NAT), nato pa se filtrirajo z nadzorom dostopa. na podlagi skupin IP in vrst storitev.
1. faza – Virtualni strežnik: pojdite na Napredno → NAT → Virtualni strežnik in ustvari vnos za ustrezni WAN vmesnik. Konfigurirajte zunanja vrata 22 in jih usmerite na notranji IP-naslov strežnika (na primer 192.168.0.2:22)Shranite pravilo, da ga dodate na seznam. Če vaš primer uporablja druga vrata (npr. ste spremenili SSH na 2222), ustrezno prilagodite vrednost.
2. faza – Vrsta storitve: vnesite Nastavitve → Vrsta storitve, ustvarite novo storitev, imenovano na primer SSH, izberite TCP ali TCP/UDP in določite ciljna vrata 22 (obseg izvornih vrat je lahko od 0 do 65535). Ta plast vam bo omogočila, da se v ACL-ju jasno sklicujete na vrata..
3. faza – Skupina IP: pojdite na Nastavitve → Skupina IP → Naslov IP in dodajte vnose za dovoljeni vir (npr. vaš javni IP ali obseg z imenom »Access_Client«) in ciljni vir (npr. »SSH_Server« z notranjim IP-jem strežnika). Nato vsak naslov povežite z ustrezno skupino IP znotraj istega menija.
Faza 4 – Nadzor dostopa: v Požarni zid → Nadzor dostopa Ustvarite dve pravili. 1) Dovoli pravilo: Dovoli pravilnik, novo definirana storitev »SSH«, Vir = skupina IP »Access_Client« in cilj = »SSH_Server«. Dodelite mu ID 1. 2) Pravilo blokiranja: Pravilnik blokiranja z vir = IPGROUP_ANY in cilj = »SSH_Server« (ali kot je ustrezno) z ID-jem 2. Na ta način bo prek NAT-a do vašega SSH-ja prešel samo zaupanja vreden IP-naslov ali obseg; ostali bodo blokirani.
Vrstni red ocenjevanja je bistvenega pomena. Nižji ID-ji imajo prednostZato mora pravilo »Dovoli« predhoditi pravilu »Blokiraj« (ima nižji ID). Po uporabi sprememb se boste lahko povezali z naslovom IP WAN usmerjevalnika na določenih vratih z dovoljenega naslova IP, vendar bodo povezave iz drugih virov blokirane.
Opombe glede modela/vdelane programske opreme: Vmesnik se lahko razlikuje glede na strojno opremo in različico. TL-R600VPN za nekatere funkcije zahteva strojno opremo v4In na različnih sistemih se lahko meniji premaknejo. Kljub temu je postopek enak: vrsta storitve → skupine IP → ACL z možnostma »Dovoli« in »Blokiraj«. Ne pozabite shrani in uporabi da bi pravila začela veljati.
Priporočeno preverjanje: Z avtoriziranega IP-naslova poskusite ssh usuario@IP_WAN in preverite dostop. Z drugega IP-naslova bi morala vrata postati nedostopna. (povezava, ki ne prispe ali je zavrnjena, idealno brez pasice, da se izognemo dajanju namigov).
ACL z Omada Controllerjem: Seznami, stanja in primeri scenarijev
Če upravljate prehode TP-Link z Omada Controllerjem, je logika podobna, vendar z več vizualnimi možnostmi. Ustvarite skupine (IP ali vrata), definirajte ACL-je prehoda in organizirajte pravila dovoliti najnujnejše in zanikati vse ostalo.
Seznami in skupine: v Nastavitve → Profili → Skupine Ustvarite lahko skupine IP (podomrežja ali gostitelje, kot sta 192.168.0.32/27 ali 192.168.30.100/32) in tudi skupine vrat (na primer HTTP 80 in DNS 53). Te skupine poenostavljajo zapletena pravila s ponovno uporabo predmetov.
ACL prehoda: vklopljen Konfiguracija → Omrežna varnost → ACL Dodajte pravila s smerjo LAN→WAN, LAN→LAN ali WAN→LAN, odvisno od tega, kaj želite zaščititi. Pravilnik za vsako pravilo je lahko Dovoli ali Zavrni. in vrstni red določa dejanski rezultat. Označite »Omogoči«, da jih aktivirate. Nekatere različice vam omogočajo, da pustite pravila pripravljena in onemogočena.
Uporabni primeri (prilagodljivi za SSH): dovolite samo določene storitve in blokirajte ostale (npr. Dovoli DNS in HTTP in nato Zavrni vse). Za bele sezname za upravljanje ustvarite možnost »Dovoli iz zaupanja vrednih IP-jev« na »Strani za upravljanje prehoda«. in nato splošna zavrnitev iz drugih omrežij. Če ima vaša vdelana programska oprema to možnost. DvosmerniInverzno pravilo lahko ustvarite samodejno.
Stanje povezave: ACL-ji so lahko stacionarni. Pogoste vrste so novo, uveljavljeno, povezano in neveljavno»Novo« obravnava prvi paket (npr. SYN v TCP), »Vzpostavljeno« obravnava prej srečal se dvosmerni promet, »Sorodno« obravnava odvisne povezave (kot so podatkovni kanali FTP), »Neveljavno« pa obravnava anomalni promet. Na splošno je najbolje ohraniti privzete nastavitve, razen če potrebujete dodatno podrobnost.
VLAN in segmentacija: podpora za usmerjevalnike Omada in SMB enosmerni in dvosmerni scenariji med VLAN-iLahko blokirate Trženje→R&R, vendar dovolite R&R→Trženje ali pa blokirate obe smeri in še vedno pooblastite določenega skrbnika. Smer LAN→LAN v ACL se uporablja za nadzor prometa med notranjimi podomrežji.
Dodatne metode in ojačitve: TCP Wrappers, iptables, MikroTik in klasični požarni zid
Poleg ACL-jev usmerjevalnika je treba uporabiti tudi druge plasti, zlasti če je cilj SSH strežnik Linux za usmerjevalnikom. TCP Wrappers omogoča filtriranje po IP-ju z hosts.allow in hosts.deny na združljivih storitvah (vključno z OpenSSH v mnogih tradicionalnih konfiguracijah).
Nadzorne datoteke: če ne obstajajo, jih ustvarite z sudo touch /etc/hosts.{allow,deny}. Najboljša praksa: zavrni vse v hosts.deny in to izrecno dovoljuje v hosts.allow. Na primer: v /etc/hosts.deny pon sshd: ALL in /etc/hosts.allow dodaj sshd: 203.0.113.10, 198.51.100.0/24Tako bodo le ti IP-ji lahko dosegli SSH daemon strežnika.
Prilagojene iptables: Če vaš usmerjevalnik ali strežnik to dovoljuje, dodajte pravila, ki sprejemajo SSH samo iz določenih virov. Tipično pravilo bi bilo: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT sledi privzeta politika DROP ali pravilo, ki blokira preostale. Na usmerjevalnikih z zavihkom Pravila po meri Te vrstice lahko vbrizgate in jih uporabite s pomočjo »Shrani in uporabi«.
Najboljše prakse v MikroTiku (uporabno kot splošni vodnik): spremenite privzeta vrata, če je izvedljivo, deaktiviraj Telnet (uporabljajte samo SSH), uporabljajte močna gesla ali, še bolje, preverjanje pristnosti ključaOmejite dostop glede na IP-naslov z uporabo požarnega zidu, omogočite 2FA, če ga naprava podpira, in posodabljajte vdelano programsko opremo/RouterOS. Onemogočite dostop do WAN, če ga ne potrebujeteSpremlja neuspešne poskuse in po potrebi uporabi omejitve hitrosti povezave za omejitev napadov z grobo silo.
Klasični vmesnik TP-Link (starejša vdelana programska oprema): Prijavite se v nadzorno ploščo z naslovom IP LAN (privzeto 192.168.1.1) in skrbniškimi/admin poverilnicami, nato pa pojdite na Varnost → Požarni zidOmogočite filter IP in izberite, da se za nedoločene pakete uporabi želeni pravilnik. Nato v Filtriranje IP-naslovov, pritisnite »Dodaj novo« in definirajte kateri IP-ji lahko uporabljajo servisna vrata ali ne na omrežju WAN (za SSH, 22/tcp). Shranite vsak korak. To vam omogoča, da uporabite splošno zavrnitev in ustvarite izjeme, ki dovolijo samo zaupanja vredne IP-je.
Blokiraj določene IP-je s statičnimi potmi
V nekaterih primerih je koristno blokirati odhodne povezave na določene IP-naslove, da se izboljša stabilnost določenih storitev (na primer pretakanje). Eden od načinov za to na več napravah TP-Link je statično usmerjanje., ustvarjanje poti /32, ki se izognejo doseganju teh ciljev ali pa jih usmerijo tako, da jih privzeta pot ne porabi (podpora se razlikuje glede na vdelano programsko opremo).
Nedavni modeli: pojdite na zavihek Napredno → Omrežje → Napredno usmerjanje → Statično usmerjanje in pritisnite »+ Dodaj«. Vnesite »Omrežni cilj« z IP-naslovom, ki ga želite blokirati, »Masko podomrežja« 255.255.255.255, »Privzeti prehod« prehod LAN (običajno 192.168.0.1) in »Vmesnik« LAN. Izberite »Dovoli ta vnos« in shranitePonovite za vsak ciljni IP-naslov, odvisno od storitve, ki jo želite nadzorovati.
Starejša vdelana programska oprema: pojdite na Napredno usmerjanje → Statični seznam usmerjanja, pritisnite »Dodaj novo« in izpolnite ista polja. Aktivirajte stanje poti in shraniteZa informacije o tem, katere IP-naslove je treba obravnavati, se obrnite na podporo za vašo storitev, saj se ti lahko spremenijo.
Preverjanje: Odprite terminal ali ukazni poziv in preizkusite z ping 8.8.8.8 (ali ciljni IP-naslov, ki ste ga blokirali). Če se prikaže sporočilo »Časovna omejitev je prekinjena« ali »Ciljni gostitelj ni dosegljiv«Blokiranje deluje. Če ne, preglejte korake in znova zaženite usmerjevalnik, da bodo vse tabele začele veljati.
Preverjanje, testiranje in reševanje incidentov
Če želite preveriti, ali vaš seznam dovoljenih dostopov SSH deluje, poskusite uporabiti pooblaščen naslov IP. ssh usuario@IP_WAN -p 22 (ali vrata, ki jih uporabljate) in potrdite dostop. Z nepooblaščenega IP-naslova vrata ne bi smela ponujati storitve.. ZDA nmap -p 22 IP_WAN za preverjanje vročega stanja.
Če se nekaj ne odziva, kot bi moralo, preverite prioriteto ACL. Pravila se obdelujejo zaporedno, zmagajo pa tista z najnižjim ID-jem.Možnost »Zavrni« nad možnostjo »Dovoli« razveljavi belo listo. Preverite tudi, ali »Vrsta storitve« kaže na pravilna vrata in ali vaše »Skupine IP« vsebujejo ustrezne obsege.
V primeru sumljivega vedenja (izguba povezave po določenem času, pravila, ki se sama spremenijo, padec prometa v lokalnem omrežju) razmislite posodobite strojno programsko opremoOnemogočite storitve, ki jih ne uporabljate (oddaljeno upravljanje spleta/Telneta/SSH), spremenite poverilnice, po potrebi preverite kloniranje MAC naslovov in končno, Obnovite tovarniške nastavitve in ponovno konfigurirajte z minimalnimi nastavitvami in strogim seznamom dovoljenih nastavitev.
Združljivost, modeli in opombe o razpoložljivosti
Razpoložljivost funkcij (ACL-ji z nadzorom stanja, profili, beli seznami, urejanje PVID-jev na vratih itd.) Morda je odvisno od modela in različice strojne opremeV nekaterih napravah, kot je TL-R600VPN, so nekatere zmogljivosti na voljo šele od različice 4 naprej. Spremenijo se tudi uporabniški vmesniki, vendar je osnovni postopek enak: privzeto blokiranje, definirajte storitve in skupine, dovoli z določenih IP-jev in blokiraj ostale.
Znotraj ekosistema TP-Link je v poslovnih omrežjih vključenih veliko naprav. Modeli, navedeni v dokumentaciji, vključujejo T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-10TS, TL-SG5412F, T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T3700G-52TQ, TL-SG2008, T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL2428, T1600G-52TS, T3700G-28TQ, T1500G-8T, T1700X-28TQmed drugim. Upoštevajte, da Ponudba se razlikuje glede na regijo. in nekateri morda niso na voljo na vašem območju.
Če želite ostati na tekočem, obiščite stran za podporo za svoj izdelek, izberite pravilno različico strojne opreme in preverite opombe in tehnične specifikacije vdelane programske opreme z najnovejšimi izboljšavami. Včasih posodobitve razširijo ali izboljšajo funkcije požarnega zidu, ACL ali oddaljenega upravljanja.
Zapri okno SSH Za vse IP-naslove, razen določenih, vas pravilna organizacija ACL-jev in razumevanje, kateri mehanizem nadzoruje vsako stvar, reši pred neprijetnimi presenečenji. S privzeto politiko zavrnitve, natančnimi belimi seznami in rednim preverjanjemVaš usmerjevalnik TP-Link in storitve, ki stojijo za njim, bodo veliko bolje zaščiteni, ne da bi se morali odpovedati upravljanju, ko ga boste potrebovali.
Navdušen nad tehnologijo že od malih nog. Všeč mi je, da sem na tekočem v sektorju in predvsem to komuniciram. Zato se že vrsto let posvečam komunikaciji na spletnih mestih o tehnologiji in video igrah. Najdete me, da pišem o sistemih Android, Windows, MacOS, iOS, Nintendo ali kateri koli drugi sorodni temi, ki vam pride na misel.