Zaštitite svoju mrežu s Bastion hostom u samo 3 koraka

Zaštitite svoju mrežu s Bastion hostom u samo 3 koraka

Imate li unutarnje mreže strojeve kojima trebate pristupiti iz vanjskog svijeta? Korištenje bastion hosta kao čuvara vrata vaše mreže može biti rješenje.





Što je Bastion domaćin?

Bastion se doslovno prevodi u utvrđeno mjesto. U računalnom smislu, to je stroj na vašoj mreži koji može biti čuvar ulaznih i odlaznih veza.



Vaš bastion host možete postaviti kao jedini stroj koji prihvaća dolazne veze s interneta. Zatim, zauzvrat, postavite sve ostale strojeve na vašoj mreži da primaju samo dolazne veze od vašeg bastion hosta. Kakve koristi ovo ima?





Iznad svega, sigurnost. Bastion host, kako naziv implicira, može imati vrlo strogu sigurnost. To će biti prva linija obrane od bilo kakvih uljeza i osigurati da su ostali strojevi zaštićeni.

Također olakšava i druge dijelove vaše mreže. Umjesto da prosljeđujete portove na razini usmjerivača, trebate samo proslijediti jedan dolazni port na vaš bastion host. Odatle se možete podružiti na druge strojeve kojima trebate pristup na svojoj privatnoj mreži. Ne bojte se, ovo će biti obrađeno u sljedećem odjeljku.



Dijagram

Ovo je primjer tipičnog postavljanja mreže. Ako vam je potreban pristup vašoj kućnoj mreži izvana, ušli biste putem interneta. Vaš usmjerivač će zatim proslijediti tu vezu vašem hostu bastiona. Nakon što se povežete sa svojim bastion hostom, moći ćete pristupiti svim drugim strojevima na vašoj mreži. Jednako tako, neće biti pristupa drugim strojevima osim host bastiona izravno s interneta.

Dosta odugovlačenja, vrijeme je za korištenje bastiona.



1. Dinamički DNS

Pronicljivi među vama možda su se pitali kako bi dobili pristup vašem kućnom usmjerivaču putem interneta. Većina davatelja internetskih usluga (ISP) dodjeljuje vam privremenu IP adresu, koja se s vremena na vrijeme mijenja. ISP -ovi imaju tendenciju dodatno naplaćivati ​​ako želite statičku IP adresu. Dobra vijest je da suvremeni usmjerivači imaju tendenciju da imaju dinamički DNS u svojim postavkama.

Dinamički DNS ažurira naziv vašeg računala s novom IP adresom u postavljenim intervalima, osiguravajući da uvijek možete pristupiti svojoj kućnoj mreži. Mnogi pružatelji usluga nude tu uslugu, a jedan je od njih Nema IP-a koji čak ima i besplatni sloj . Imajte na umu da će besplatni nivo zahtijevati da potvrdite svoje ime domaćina svakih 30 dana. To je samo proces od 10 sekundi, na koji ih ionako podsjećaju.



Nakon što se prijavite, jednostavno stvorite naziv hosta. Naziv vašeg hosta morat će biti jedinstven, i to je to. Ako posjedujete Netgear usmjerivač, oni nude besplatni dinamički DNS koji neće zahtijevati mjesečnu potvrdu.

stvari za instaliranje na novom računaru

Sada se prijavite na svoj usmjerivač i potražite postavke dinamičkog DNS -a. To će se razlikovati od usmjerivača do usmjerivača, ali ako ne vidite da se skriva u naprednim postavkama, provjerite korisnički priručnik proizvođača. Četiri postavke koje obično trebate unijeti bit će:

  1. Pružatelj usluga
  2. Naziv domene (naziv hosta koji ste upravo stvorili)
  3. Ime za prijavu (adresa e -pošte koja se koristi za kreiranje vašeg dinamičkog DNS -a)
  4. Lozinka

Ako vaš usmjerivač nema dinamičku postavku DNS-a, No-IP nudi softver koji možete instalirajte na svoj lokalni stroj kako bi se postigao isti rezultat. Ovaj će stroj morati biti na mreži kako bi dinamički DNS bio ažuriran.

2. Prosljeđivanje ili preusmjeravanje portova

Ruter sada mora znati kamo proslijediti dolaznu vezu. To radi na temelju broja porta koji se nalazi na dolaznoj vezi. Ovdje je dobra praksa da ne koristite zadani SSH port, koji je 22, za port s javnošću.

Razlog zašto se ne koristi zadani port je taj što hakeri imaju namjenske tražilice portova. Ovi alati stalno provjeravaju postoje li dobro poznati portovi koji mogu biti otvoreni na vašoj mreži. Nakon što otkriju da vaš usmjerivač prihvaća veze na zadanom priključku, počinju slati zahtjeve za povezivanje s uobičajenim korisničkim imenima i lozinkama.

Iako odabir slučajnog priključka neće potpuno zaustaviti zloćudne njuškale, drastično će smanjiti broj zahtjeva koji dolaze na vaš usmjerivač. Ako vaš usmjerivač može proslijediti samo isti port, to nije problem jer biste trebali postaviti svoj bastion host da koristi provjeru autentičnosti SSH ključeva, a ne korisnička imena i lozinke.

Postavke usmjerivača trebale bi izgledati ovako:

  1. Naziv usluge koji može biti SSH
  2. Protokol (treba biti postavljeno na TCP)
  3. Javni port (trebao bi biti visoki port koji nije 22, upotrijebite 52739)
  4. Privatni IP (IP vašeg bastion hosta)
  5. Privatni port (zadani SSH port, koji je 22)

Bastion

Jedino što će vašem bastionu trebati je SSH. Ako to nije odabrano u vrijeme instalacije, jednostavno upišite:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

Nakon što je SSH instaliran, obavezno postavite svoj SSH poslužitelj za provjeru autentičnosti ključevima umjesto lozinkama. Uvjerite se da je IP adresa vašeg bastion hosta ista kao ona postavljena u gore navedenom pravcu preusmjeravanja portova.

Možemo pokrenuti brzi test kako bismo bili sigurni da sve radi. Možete simulirati boravak izvan svoje kućne mreže koristite svoj pametni uređaj kao žarišnu točku dok je na mobilnim podacima. Otvorite terminal i upišite zamjenjujući ga korisničkim imenom računa na svom bastion hostu i postavljanjem adrese u gore navedenom koraku A:

ssh -p 52739 @

Ako je sve ispravno postavljeno, sada biste trebali vidjeti terminalni prozor vašeg bastion hosta.

3. Tuneliranje

Možete tunelirati gotovo sve putem SSH -a (unutar razumnog razloga). Na primjer, ako želite s Interneta pristupiti udjelu SMB -a na vašoj kućnoj mreži, povežite se s host -om bastiona i otvorite tunel za udio SMB -a. Ostvarite ovo čarobnjaštvo jednostavno pokretanjem ove naredbe:

ssh -L 15445::445 -p 52739 @

Stvarna naredba izgledala bi otprilike ovako:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Razbijanje ove naredbe je jednostavno. Ovo se povezuje s računom na vašem poslužitelju putem vanjskog SSH priključka vašeg usmjerivača 52739. Sav lokalni promet poslan na port 15445 (proizvoljni port) bit će poslan kroz tunel, a zatim proslijeđen na stroj s IP -om 10.1.2.250 i SMB -om luka 445.

Ako želite postati stvarno pametni, možemo zamjeniti cijelu naredbu upisivanjem:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Sada sve što trebate unijeti u terminal sss , a bob ti je ujak.

Nakon povezivanja možete pristupiti svom SMB udjelu s adresom:

smb://localhost:15445

To znači da ćete s Interneta moći pregledavati taj lokalni udio kao da ste na lokalnoj mreži. Kao što je spomenuto, možete prilično tunelirati u bilo što sa SSH -om. Čak se i Windows strojevima s omogućenom udaljenom radnom površinom može pristupiti kroz SSH tunel.

Rekapitulacija

Ovaj je članak obuhvatio mnogo više od običnog bastion domaćina, a učinili ste i dobro što ste ovo dogurali. Ako imate bastion host, to će značiti da će drugi uređaji koji imaju izložene usluge biti zaštićeni. Također osigurava pristup ovim resursima s bilo kojeg mjesta u svijetu. Proslavite svakako uz kavu, čokoladu ili oboje. Osnovni koraci koje smo pokrili bili su:

  • Postavite dinamički DNS
  • Proslijedi vanjski port na unutarnji port
  • Napravite tunel za pristup lokalnom resursu

Trebate li pristupiti lokalnim resursima s interneta? Koristite li trenutno VPN za to? Jeste li već koristili SSH tunele?

Kredit za sliku: TopVectors/ Depositphotos

Udio Udio Cvrkut E -pošta 3 načina da provjerite je li e -pošta prava ili lažna

Ako ste primili e -poruku koja izgleda pomalo sumnjivo, uvijek je najbolje provjeriti njenu autentičnost. Evo tri načina da provjerite je li e -poruka prava.

Pročitajte Dalje Povezane teme
  • Linux
  • Sigurnost
  • Mrežna sigurnost
  • Linux
O autoru Yusuf Limalia(49 objavljenih članaka)

Yusuf želi živjeti u svijetu ispunjenom inovativnim poslovima, pametnim telefonima koji dolaze u kompletu s tamnom prženom kavom i računalima koja imaju hidrofobna polja sile koja dodatno odbijaju prašinu. Kao poslovni analitičar i diplomac Tehnološkog sveučilišta Durban, s više od 10 godina iskustva u brzorastućoj tehnološkoj industriji, uživa u tome da bude posrednik između tehničkih i netehničkih ljudi i pomaže svima da napreduju s najnovijom tehnologijom.

Više od Yusufa Limalije

Pretplatite se na naše obavijesti

Pridružite se našem biltenu za tehničke savjete, recenzije, besplatne e -knjige i ekskluzivne ponude!

Kliknite ovdje za pretplatu