- Weka kipaumbele kwa sera chaguo-msingi ya kukataa na utumie orodha zilizoidhinishwa za SSH.
- Inachanganya NAT + ACL: inafungua bandari na mipaka na IP ya chanzo.
- Thibitisha kwa nmap/ping na uheshimu kipaumbele cha sheria (Kitambulisho).
- Imarisha kwa masasisho, funguo za SSH na huduma za chini zaidi.
¿Jinsi ya kuzuia ufikiaji wa SSH kwa kipanga njia cha TP-Link kwa IP zinazoaminika? Kudhibiti ni nani anayeweza kufikia mtandao wako kupitia SSH si jambo dogo, ni safu muhimu ya usalama. Ruhusu ufikiaji kutoka kwa anwani za IP zinazoaminika pekee Inapunguza uso wa mashambulizi, hupunguza kasi ya scans otomatiki, na kuzuia majaribio ya mara kwa mara ya kuingilia kutoka kwenye mtandao.
Katika mwongozo huu wa vitendo na wa kina utaona jinsi ya kufanya hivyo katika hali tofauti na vifaa vya TP-Link (SMB na Omada), nini cha kuzingatia na sheria za ACL na orodha zilizoidhinishwa, na jinsi ya kuthibitisha kuwa kila kitu kimefungwa vizuri. Tunaunganisha mbinu za ziada kama vile Vifungashio vya TCP, iptables na mbinu bora zaidi kwa hivyo unaweza kulinda mazingira yako bila kuacha ncha yoyote iliyolegea.
Kwa nini uweke kikomo ufikiaji wa SSH kwenye vipanga njia vya TP-Link
Kufichua SSH kwenye mtandao hufungua mlango wa ufagiaji mkubwa unaofanywa na roboti tayari zenye nia mbaya. Si kawaida kugundua mlango wa 22 unaofikiwa kwenye WAN baada ya kuchanganua, kama ilivyoonekana katika [mifano ya SSH]. kushindwa muhimu katika ruta za TP-Link. Amri rahisi ya nmap inaweza kutumika kuangalia ikiwa anwani yako ya IP ya umma ina bandari 22 wazi.: hutekeleza kitu kama hiki kwenye mashine ya nje nmap -vvv -p 22 TU_IP_PUBLICA na angalia ikiwa "fungua ssh" inaonekana.
Hata kama unatumia funguo za umma, ukiacha mlango wa 22 wazi hualika uchunguzi zaidi, kujaribu milango mingine na kushambulia huduma za usimamizi. Suluhisho liko wazi: kataa kwa chaguo-msingi na uwashe tu kutoka kwa IP au safu zinazoruhusiwa.Ikiwezekana kusasishwa na kudhibitiwa na wewe. Ikiwa hauitaji usimamizi wa mbali, zima kabisa kwenye WAN.
Mbali na kufichua bandari, kuna hali ambapo unaweza kushuku mabadiliko ya sheria au tabia isiyo ya kawaida (kwa mfano, modemu ya kebo ambayo huanza "kuacha" trafiki inayotoka baada ya muda). Ukigundua kuwa ping, traceroute, au kuvinjari havipiti modemu, angalia mipangilio, programu dhibiti na ufikirie kurejesha mipangilio ya kiwandani. na funga kila kitu ambacho hutumii.
Mfano wa akili: zuia kwa chaguo-msingi na uunde orodha iliyoidhinishwa
Falsafa ya kushinda ni rahisi: chaguo-msingi hukataa sera na vighairi waziKwenye vipanga njia vingi vya TP-Link vilivyo na kiolesura cha kina, unaweza kuweka sera ya kuingiza kwa mbali ya aina ya Drop kwenye ngome, na kisha kuruhusu anwani mahususi kwenye orodha iliyoidhinishwa ya huduma za usimamizi.
Kwenye mifumo inayojumuisha "Sera ya Kuingiza Data kwa Mbali" na chaguo za "Orodha ya Uidhinishaji" (kwenye Mtandao - kurasa za Firewall), Dondosha chapa katika sera ya kuingia kwa mbali Na uongeze kwenye orodha iliyoidhinishwa IPs za umma katika umbizo la CIDR XXXX/XX ambazo zinafaa kufikia usanidi au huduma kama vile SSH/Telnet/HTTP(S). Maingizo haya yanaweza kujumuisha maelezo mafupi ili kuepuka kuchanganyikiwa baadaye.
Ni muhimu kuelewa tofauti kati ya mifumo. Usambazaji wa bandari (NAT/DNAT) huelekeza bandari kwenye mashine za LANIngawa "Sheria za kuchuja" hudhibiti WAN-to-LAN au trafiki baina ya mtandao, "Sheria za Orodha zilizoidhinishwa" za ngome hudhibiti ufikiaji wa mfumo wa usimamizi wa kipanga njia. Sheria za kuchuja hazizuii ufikiaji wa kifaa yenyewe; kwa hilo, unatumia orodha zilizoidhinishwa au sheria maalum kuhusu trafiki inayoingia kwenye kipanga njia.
Ili kufikia huduma za ndani, uchoraji wa ramani kwenye bandari huundwa katika NAT na basi ni mdogo anayeweza kufikia ramani hiyo kutoka nje. Kichocheo ni: fungua bandari muhimu na kisha uzuie na udhibiti wa upatikanaji. ambayo inaruhusu vyanzo vilivyoidhinishwa pekee kupita na kuzuia vingine.
SSH kutoka kwa IP zinazoaminika kwenye TP-Link SMB (ER6120/ER8411 na kadhalika)
Katika vipanga njia vya SMB kama vile TL-ER6120 au ER8411, muundo wa kawaida wa kutangaza huduma ya LAN (k.m., SSH kwenye seva ya ndani) na kuiwekea kikomo kwa IP chanzo ni awamu mbili. Kwanza, bandari inafunguliwa na Server Virtual (NAT), na kisha inachujwa na Udhibiti wa Ufikiaji. kulingana na vikundi vya IP na aina za huduma.
Awamu ya 1 - Seva ya kweli: nenda kwa Advanced → NAT → Virtual Server na huunda kiingilio cha kiolesura kinacholingana cha WAN. Sanidi mlango wa nje wa 22 na uelekeze kwa anwani ya IP ya ndani ya seva (kwa mfano, 192.168.0.2:22)Hifadhi sheria ili kuiongeza kwenye orodha. Ikiwa kipochi chako kinatumia mlango tofauti (k.m., umebadilisha SSH hadi 2222), rekebisha thamani ipasavyo.
Awamu ya 2 - Aina ya Huduma: ingiza Mapendeleo → Aina ya Huduma, unda huduma mpya inayoitwa, kwa mfano, SSH, chagua TCP au TCP/UDP na ubainishe lango lengwa la 22 (safa ya lango chanzo inaweza kuwa 0–65535). Safu hii itakuruhusu kurejelea lango kwa usafi katika ACL.
Awamu ya 3 - Kikundi cha IP: nenda kwa Mapendeleo → Kikundi cha IP → Anwani ya IP na uongeze maingizo ya chanzo kinachoruhusiwa (k.m. IP yako ya umma au masafa, yanayoitwa "Access_Client") na rasilimali lengwa (k.m. "SSH_Server" yenye IP ya ndani ya seva). Kisha unganisha kila anwani na Kikundi chake cha IP kinacholingana ndani ya menyu sawa.
Awamu ya 4 - Udhibiti wa ufikiaji: ndani Firewall → Udhibiti wa Ufikiaji Tengeneza sheria mbili. 1) Ruhusu Sheria: Ruhusu sera, huduma mpya iliyofafanuliwa ya "SSH", Chanzo = kikundi cha IP "Access_Client" na marudio = "SSH_Server". Ipe kitambulisho 1. 2) Sheria ya Kuzuia: Zuia sera na chanzo = IPGROUP_ANY na marudio = "SSH_Server" (au inavyotumika) yenye Kitambulisho cha 2. Kwa njia hii, IP au masafa inayoaminika pekee ndiyo yatapitia NAT hadi SSH yako; mengine yatazuiwa.
Utaratibu wa tathmini ni muhimu. Vitambulisho vya chini vinapewa kipaumbeleKwa hivyo, sheria ya Ruhusu lazima itangulie (kitambulisho cha chini) sheria ya Kuzuia. Baada ya kutumia mabadiliko, utaweza kuunganisha kwenye anwani ya IP ya WAN ya router kwenye bandari iliyofafanuliwa kutoka kwa anwani ya IP inayoruhusiwa, lakini viunganisho kutoka kwa vyanzo vingine vitazuiwa.
Vidokezo vya muundo/programu: Kiolesura kinaweza kutofautiana kati ya maunzi na matoleo. TL-R600VPN inahitaji maunzi v4 ili kushughulikia utendaji fulaniNa kwenye mifumo tofauti, menyu inaweza kuhamishwa. Hata hivyo, mtiririko ni sawa: aina ya huduma → vikundi vya IP → ACL na Ruhusu na Zuia. Usisahau kuokoa na kuomba ili kanuni zianze kutumika.
Uthibitishaji unaopendekezwa: Kutoka kwa anwani ya IP iliyoidhinishwa, jaribu ssh usuario@IP_WAN na uthibitishe ufikiaji. Kutoka kwa anwani nyingine ya IP, bandari inapaswa kuwa isiyoweza kufikiwa. (muunganisho ambao haufiki au kukataliwa, kwa hakika bila bendera ili kuzuia kutoa vidokezo).
ACL yenye Kidhibiti cha Omada: Orodha, Majimbo, na Matukio ya Mfano
Ikiwa unadhibiti lango la TP-Link ukitumia Kidhibiti cha Omada, mantiki ni sawa lakini ina chaguo zaidi za kuona. Unda vikundi (IP au bandari), fafanua ACL za lango, na upange sheria kuruhusu kiwango cha chini wazi na kukataa kila kitu kingine.
Orodha na vikundi: in Mipangilio → Wasifu → Vikundi Unaweza kuunda vikundi vya IP (subnets au seva pangishi, kama vile 192.168.0.32/27 au 192.168.30.100/32) na pia vikundi vya bandari (kwa mfano, HTTP 80 na DNS 53). Vikundi hivi hurahisisha sheria ngumu kwa kutumia tena vitu.
Gateway ACL: imewashwa Usanidi → Usalama wa Mtandao → ACL Ongeza sheria zenye mwelekeo wa LAN→WAN, LAN→LAN au WAN→LAN kulingana na unachotaka kulinda. Sera ya kila sheria inaweza kuwa Ruhusu au Kataa. na agizo huamua matokeo halisi. Angalia "Wezesha" ili kuziamilisha. Matoleo mengine hukuruhusu kuacha sheria zilizotayarishwa na kuzimwa.
Kesi muhimu (zinazoweza kubadilika kwa SSH): ruhusu huduma mahususi pekee na uzuie zingine (k.m., Ruhusu DNS na HTTP na kisha Kataa Zote). Kwa orodha zilizoidhinishwa za usimamizi, unda Ruhusu kutoka kwa IP zinazoaminika hadi "Ukurasa wa Utawala wa Gateway" na kisha kukana kwa jumla kutoka kwa mitandao mingine. Ikiwa firmware yako ina chaguo hilo. Wa pande mbiliUnaweza kutengeneza kiotomatiki sheria ya kinyume.
Hali ya muunganisho: ACL zinaweza kuwa za hali ya juu. Aina za kawaida ni Mpya, Imeanzishwa, Zinazohusiana, na Batili"Mpya" hushughulikia pakiti ya kwanza (k.m., SYN katika TCP), "Imeimarishwa" hushughulikia trafiki ya mwelekeo mbili iliyokumbana hapo awali, "Inayohusiana" hushughulikia miunganisho tegemezi (kama vile chaneli za data za FTP), na "Batili" hushughulikia trafiki isiyo ya kawaida. Kwa ujumla ni bora kuweka mipangilio chaguo-msingi isipokuwa kama unahitaji uzito wa ziada.
VLAN na sehemu: Msaada wa vipanga njia vya Omada na SMB matukio ya unidirectional na ya pande mbili kati ya VLANUnaweza kuzuia Marketing→R&D lakini ruhusu R&D→Marketing, au kuzuia maelekezo yote mawili na bado uidhinishe msimamizi mahususi. Mwelekeo wa LAN→LAN katika ACL hutumiwa kudhibiti trafiki kati ya nyati ndogo za ndani.
Mbinu za ziada na uimarishaji: Wrappers za TCP, iptables, MikroTik na firewall ya kawaida.
Mbali na ACL za kipanga njia, kuna tabaka zingine ambazo zinapaswa kutumika, haswa ikiwa marudio ya SSH ni seva ya Linux nyuma ya kipanga njia. TCP Wrappers huruhusu kuchuja kwa IP na hosts.allow na hosts.deny kwenye huduma zinazolingana (pamoja na OpenSSH katika usanidi mwingi wa kitamaduni).
Faili za kudhibiti: ikiwa hazipo, ziunde nazo sudo touch /etc/hosts.{allow,deny}. Mbinu bora: kataa kila kitu katika hosts.kataa na inaruhusu kwa uwazi katika wapangishi.ruhusu. Kwa mfano: katika /etc/hosts.deny Pon sshd: ALL na /etc/hosts.allow ongeza sshd: 203.0.113.10, 198.51.100.0/24Kwa hivyo, IPs hizo pekee ndizo zitaweza kufikia daemon ya SSH ya seva.
iptables maalum: Ikiwa kipanga njia chako au seva inairuhusu, ongeza sheria ambazo zinakubali SSH kutoka vyanzo mahususi pekee. Sheria ya kawaida itakuwa: -I INPUT -s 203.0.113.10 -p tcp --dport 22 -j ACCEPT ikifuatiwa na sera chaguo-msingi ya DROP au sheria inayozuia zingine. Kwenye ruta zilizo na kichupo cha Sheria maalum Unaweza kuingiza mistari hii na kuitumia kwa "Hifadhi na Utumie".
Mbinu bora katika MikroTik (inatumika kama mwongozo wa jumla): badilisha bandari chaguo-msingi ikiwezekana, zima Telnet (tumia SSH pekee), tumia nywila kali au, bora zaidi, uthibitishaji muhimuWeka kikomo cha ufikiaji kwa anwani ya IP kwa kutumia ngome, washa 2FA ikiwa kifaa kinaitumia, na usasishe firmware/RouterOS. Zima ufikiaji wa WAN ikiwa hauitajiInafuatilia majaribio ambayo hayakufaulu na, ikiwa ni lazima, hutumia viwango vya uunganisho ili kuzuia mashambulizi ya nguvu ya kikatili.
TP-Link Classic Interface (Firmware ya Zamani): Ingia kwenye paneli ukitumia anwani ya IP ya LAN (chaguo-msingi 192.168.1.1) na kitambulisho cha msimamizi/msimamizi, kisha uende kwenye Usalama → FirewallWasha kichujio cha IP na uchague kuwa na pakiti ambazo hazijabainishwa kufuata sera inayotaka. Kisha, ndani Kuchuja Anwani ya IP, bonyeza "Ongeza mpya" na ufafanue ambayo IPs zinaweza au haziwezi kutumia bandari ya huduma kwenye WAN (kwa SSH, 22/tcp). Hifadhi kila hatua. Hii inakuruhusu kutumia kukataliwa kwa jumla na kuunda vighairi ili kuruhusu IP zinazoaminika pekee.
Zuia IP maalum kwa kutumia njia tuli
Katika baadhi ya matukio ni muhimu kuzuia IP zinazotoka kwa maalum ili kuboresha uthabiti na huduma fulani (kama vile utiririshaji). Njia moja ya kufanya hivyo kwenye vifaa vingi vya TP-Link ni kupitia uelekezaji tuli., kuunda /32 njia ambazo huepuka kufikia maeneo hayo au kuzielekeza kwa njia ambayo hazitumiwi na njia chaguo-msingi (msaada hutofautiana na programu dhibiti).
Mifano ya hivi karibuni: nenda kwenye kichupo Kina → Mtandao → Uelekezaji wa Hali ya Juu → Uelekezaji Tuli na bonyeza "+ Ongeza". Ingiza "Lengo la Mtandao" na anwani ya IP ili kuzuia, "Subnet Mask" 255.255.255.255, "Lango Chaguomsingi" lango la LAN (kawaida 192.168.0.1) na "Kiolesura" LAN. Chagua "Ruhusu kiingilio hiki" na uhifadhiRudia kwa kila anwani ya IP inayolengwa kulingana na huduma unayotaka kudhibiti.
Firmware za zamani: nenda kwa Uelekezaji wa hali ya juu → Orodha ya uelekezaji tuli, bonyeza "Ongeza mpya" na ujaze sehemu sawa. Washa hali ya njia na uhifadhiWasiliana na usaidizi wa huduma yako ili kujua ni IP zipi za kutibu, kwani zinaweza kubadilika.
Uthibitishaji: Fungua terminal au kidokezo cha amri na ujaribu na ping 8.8.8.8 (au IP lengwa ambalo umezuia). Ukiona "Muda wa Muda" au "Mpangishi Lengwa haupatikani"Kuzuia kunafanya kazi. Ikiwa sio hivyo, kagua hatua na uanze tena kipanga njia ili meza zote zifanye kazi.
Uthibitishaji, majaribio na utatuzi wa matukio
Ili kuthibitisha kuwa orodha yako ya walioidhinishwa ya SSH inafanya kazi, jaribu kutumia anwani ya IP iliyoidhinishwa. ssh usuario@IP_WAN -p 22 (au bandari unayotumia) na uthibitishe ufikiaji. Kutoka kwa anwani ya IP isiyoidhinishwa, bandari haipaswi kutoa huduma.. Marekani nmap -p 22 IP_WAN kuangalia hali ya joto.
Ikiwa kitu hakijibu inavyopaswa, angalia kipaumbele cha ACL. Sheria huchakatwa kwa kufuatana, na zile zilizo na kitambulisho cha chini kabisa hushinda.Kukataa juu ya Ruhusu yako kunabatilisha orodha iliyoidhinishwa. Pia, hakikisha kuwa "Aina ya Huduma" inaelekeza kwenye mlango sahihi na kwamba "Vikundi vyako vya IP" vina safu zinazofaa.
Katika tukio la tabia ya tuhuma (kupoteza muunganisho baada ya muda, sheria zinazobadilika zenyewe, trafiki ya LAN inayopungua), zingatia sasisha firmwareZima huduma ambazo hutumii (usimamizi wa wavuti/Telnet/SSH wa mbali), badilisha kitambulisho, angalia uundaji wa MAC ikiwa inatumika, na hatimaye, Rejesha kwenye mipangilio ya kiwandani na upange upya ukitumia mipangilio ndogo na orodha kali iliyoidhinishwa.
Utangamano, miundo, na vidokezo vya upatikanaji
Upatikanaji wa vipengele (ACL za hali ya juu, wasifu, orodha zilizoidhinishwa, uhariri wa PVID kwenye bandari, n.k.) Inaweza kutegemea mfano wa vifaa na toleoKatika baadhi ya vifaa, kama vile TL-R600VPN, uwezo fulani unapatikana tu kuanzia toleo la 4 na kuendelea. Miingiliano ya watumiaji pia inabadilika, lakini mchakato wa kimsingi ni sawa: kuzuia kwa chaguo-msingi, kufafanua huduma na vikundi, ruhusu kutoka kwa IP maalum na uzuie wengine.
Ndani ya mfumo ikolojia wa TP-Link, kuna vifaa vingi vinavyohusika katika mitandao ya biashara. Mifano zilizotajwa katika nyaraka ni pamoja na T1600G-18TS, T1500G-10PS, TL-SG2216, T2600G-52TS, T2600G-28TS, TL-SG2210P, T2500-28TC, T2700G-28TQ, T2500G-104TS, 2500G-15TS, 15TS T2600G-28MPS, T1500G-10MPS, SG2210P, S4500-8G, T1500-28TC, T1700X-16TS, T1600G-28TS, TL-SL3452, TL-SG3216, T57T0SG, T37200G T1700G-28TQ, T1500-28PCT, T2600G-18TS, T1600G-28PS, T2500G-10MPS, Festa FS310GP, T1600G-52MPS, T1600G-52PS, TL-SL260TS, TL-SL260208 T3700G-28TQ, T1500G-8T, T1700X-28TQmiongoni mwa wengine. Kumbuka hilo Ofa hutofautiana kulingana na eneo. na zingine zinaweza zisipatikane katika eneo lako.
Ili kusasisha, tembelea ukurasa wa usaidizi wa bidhaa yako, chagua toleo sahihi la maunzi na uangalie maelezo ya firmware na vipimo vya kiufundi na maboresho ya hivi karibuni. Wakati mwingine masasisho hupanua au kuboresha ngome, ACL, au vipengele vya udhibiti wa mbali.
Funga SSH Kwa IP zote isipokuwa mahususi, kupanga vizuri ACL na kuelewa ni utaratibu gani unaodhibiti kila jambo hukuepusha na mshangao usiopendeza. Kwa sera chaguomsingi ya kukataa, orodha sahihi zilizoidhinishwa na uthibitishaji wa mara kwa maraKipanga njia chako cha TP-Link na huduma zilizo nyuma yake vitalindwa vyema zaidi bila kuacha usimamizi unapokihitaji.
Alipenda sana teknolojia tangu akiwa mdogo. Ninapenda kusasishwa katika sekta hii na, zaidi ya yote, kuwasiliana nayo. Ndiyo maana nimejitolea kwa mawasiliano kwenye tovuti za teknolojia na michezo ya video kwa miaka mingi. Unaweza kunipata nikiandika kuhusu Android, Windows, MacOS, iOS, Nintendo au mada nyingine yoyote inayokuja akilini.