Protejați-vă rețeaua cu o gazdă a bazei în doar 3 pași
Aveți mașini pe rețeaua dvs. internă pe care trebuie să le accesați din lumea exterioară? Utilizarea unei gazde de bastion ca gatekeeper în rețeaua dvs. poate fi soluția.
Ce este o gazdă Bastion?
Bastionul se traduce literal într-un loc fortificat. În termeni de calculator, este o mașină din rețeaua dvs. care poate fi gatekeeper pentru conexiunile de intrare și ieșire.
Puteți seta gazda dvs. de bastion ca singura mașină pentru a accepta conexiunile de intrare de pe internet. Apoi, la rândul său, setați toate celelalte aparate din rețeaua dvs., pentru a primi numai conexiuni primite de la gazda dvs. de bastion. Ce beneficii are acest lucru?
Peste tot, siguranța. Gazda de bastion, așa cum sugerează și numele, poate avea o securitate foarte strânsă. Aceasta va fi prima linie de apărare împotriva oricăror intruși și va asigura că restul mașinilor dvs. sunt protejate.
De asemenea, facilitează ușor alte componente ale configurației rețelei. În loc să transmiteți porturi la nivelul routerului, trebuie doar să transmiteți un port de intrare la gazda dvs. de bastion. De acolo, aveți posibilitatea să ramificați la alte mașini în care aveți nevoie să accesați în rețeaua dvs. privată. Nu vă temeți, acest lucru va fi acoperit în secțiunea următoare.
Diagrama
Acesta este un exemplu de configurare tipică a rețelei. Dacă aveți nevoie de acces la rețeaua de domiciliu din afară, v-ați conecta prin internet. Router-ul va transmite apoi conexiunea la gazda dvs. de bastion. După conectarea la gazda dvs. de bastion, veți putea accesa orice alte mașini din rețeaua dvs. În mod similar, nu va fi accesat alte mașini decât gazda bastionului direct de pe internet.
Destul amânare, timp pentru a folosi bastionul.
1. DNS dinamic
Cei mai deștepți dintre dvs. s-ar fi putut întreba cum ar avea acces la router-ul de acasă prin internet. Majoritatea furnizorilor de servicii de internet (ISP) vă atribuie o adresă IP temporară, care se schimbă de fiecare dată. ISP-urile tind să perceapă taxe suplimentare dacă doriți o adresă IP statică. Vestea bună este că rutele moderne au tendința de a avea DNS dinamice coapte în setările lor.
Dynamic DNS actualizează numele de gazdă cu noua adresă IP la intervale stabilite, asigurându-vă că puteți să accesați întotdeauna rețeaua de domiciliu. Există mulți furnizori care oferă acest serviciu, dintre care unul este No-IP care are chiar și un nivel gratuit. Rețineți că nivelul gratuit va cere să confirmați numele de gazdă o dată la fiecare 30 de zile. Este doar un proces de 10 secunde, pe care totuși le aminteau să o facă.
După ce v-ați înscris, creați un nume de gazdă. Numele dvs. de gazdă va trebui să fie unic, și asta este. Dacă dețineți un router Netgear, acestea oferă un DNS dinamic gratuit, care nu va necesita o confirmare lunară.
Acum, conectați-vă la router și căutați setarea DNS dinamică. Acest lucru va diferi de la router la router, dar dacă nu îl găsiți ascunse în setările avansate, verificați manualul de utilizare al producătorului. Cele patru setări pe care trebuie să le introduceți în mod obișnuit vor fi:
- Furnizorul
- Numele de domeniu (numele gazdei pe care tocmai l-ați creat)
- Numele de conectare (adresa de e-mail utilizată pentru a vă crea DNS dinamic)
- Parola
Dacă routerul nu are o setare DNS dinamică, No-IP oferă software pe care îl puteți instala pe mașina dvs. locală pentru a obține același rezultat. Această mașină va trebui să fie online, pentru a menține DNS dinamic actualizat.
2. Redirecționarea sau redirecționarea porturilor
Routerul trebuie acum să știe unde să trimită conexiunea primită. Se face acest lucru pe baza numărului de port care se află pe conexiunea de intrare. O bună practică aici este să nu folosiți portul SSH implicit, care este de 22, pentru portul cu care se confruntă publicul.
Motivul pentru care nu se utilizează portul implicit este faptul că hackerii au dedicat sniffers port. Aceste instrumente verifică în permanență pentru porturi cunoscute care pot fi deschise în rețeaua dvs. Odată ce au descoperit că routerul acceptă conexiuni pe un port implicit, încep să trimită cereri de conectare cu nume de utilizator și parole comune.
În timp ce alegeți un port aleatoriu, nu veți opri în întregime snifferii maligni, va reduce drastic numărul de cereri care vin în router. Dacă router-ul dvs. poate transmite același port, aceasta nu este o problemă, deoarece ar trebui să setați gazda dvs. de bastion pentru a utiliza autentificarea parolei SSH și nu numele de utilizator și parolele.
Setările unui router ar trebui să pară asemănătoare cu aceasta:
- Numele serviciului care poate fi SSH
- Protocol (trebuie setat la TCP)
- Portul public (ar trebui să fie un port mare care nu este 22, utilizați 52739)
- IP privat (IP-ul gazdei dvs. de bastion)
- Portul privat (portul SSH implicit, care este de 22)
Bastionul
Singurul lucru pe care va trebui un bastion este SSH. Dacă acest lucru nu a fost selectat în momentul instalării, introduceți pur și simplu:
sudo apt instala OpenSSH-client sudo apt instala OpenSSH-server
Odată ce SSH este instalat, asigurați-vă că setați serverul SSH să se autentifice cu chei în loc de parole Cum se autentifică SSH prin intermediul tastelor În loc de parole Cum se autentifică SSH cu ajutorul tastelor în loc de parole SSH este o modalitate excelentă de a obține acces de la distanță la calculator. Când deschideți porturile de pe router (portul 22 pentru a fi exact) nu puteți accesa numai serverul SSH din interiorul ... Citește mai mult. Asigurați-vă că IP-ul gazdei bastionului este același cu cel stabilit în regula de orientare înainte de port.
Putem face un test rapid pentru a ne asigura că totul funcționează. Pentru a simula faptul că sunteți în afara rețelei dvs. de domiciliu, puteți utiliza dispozitivul dvs. inteligent ca un hotspot. Hotspot Control: Utilizați Android ca un router wireless Controlul Hotspot: Utilizați Android ca un router fără fir Utilizarea dispozitivului dvs. Android ca punct hotspot este o modalitate foarte bună de a vă distribui datele mobile cu celelalte dispozitive, cum ar fi un laptop sau o tabletă - și este foarte ușor! Citește mai mult în timp ce se află pe date mobile. Deschideți un terminal și tip, înlocuind
ssh -p 52739 @
Dacă totul a fost configurat corect, ar trebui să vedeți acum fereastra terminalului gazdei dvs. de bastion.
3. Tunelul
Puteți să tunelați aproape orice prin SSH (în rațiune). De exemplu, dacă doriți să obțineți accesul la o partajare SMB în rețeaua dvs. de domiciliu de pe Internet, conectați-vă la gazda dvs. de bastion și deschideți un tunel pentru partajarea SMB. Realizați această vrăjitorie executați pur și simplu această comandă:
ssh -L 15445:: 445-p 52739 @
O comandă reală ar arăta cam ca:
ssh - L 15445: 10.1.2.250: 445 - p 52739 [email protected]
Împușcarea acestei comenzi este ușoară. Aceasta se conectează la contul de pe server prin portul SSH extern al routerului 52739. Orice trafic local trimis la portul 15445 (un port arbitrar) va fi trimis prin tunel, apoi trimis către mașină cu IP-ul de 10.1.2.250 și SMB portul 445.
Dacă doriți să deveniți foarte inteligenți, putem alias întreaga comandă prin tastarea:
alias sss = "ssh - L 15445: 10.1.2.250: 445 - p 52739 [email protected]"
Acum tot ce trebuie să introduceți în terminal SSS, și Bob este unchiul tău.
Odată ce conexiunea este realizată, puteți accesa partajarea SMB cu adresa:
smb: // localhost: 15445
Aceasta înseamnă că veți putea naviga pe acea locație locală de pe Internet ca și cum ați fi în rețeaua locală. Așa cum am menționat, puteți tunel destul de mult în orice cu SSH. Chiar și mașinile Windows care au activat la distanță de la distanță pot fi accesate printr-un tunel SSH Cum să Tunnel Web Trafic cu SSH Secure Shell Cum să Tunnel Web Trafic cu SSH Secure Shell Citește mai mult .
Recapitulare
Acest articol a acoperit mult mai mult decât o gazdă a bastionului și ați făcut bine să faceți acest lucru până acum. Având o gazdă bastion va însemna că celelalte dispozitive care au servicii expuse vor fi protejate. De asemenea, vă asigură că puteți accesa aceste resurse de oriunde din lume. Asigurați-vă că sărbătoriți cu cafea, ciocolată sau ambele. Pașii de bază pe care l-am abordat au fost:
- Configurați DNS dinamic
- Redirecționați un port extern la un port intern
- Creați un tunel pentru a accesa o resursă locală
Trebuie să accesați resursele locale de pe internet? Utilizați în prezent o rețea VPN pentru a realiza acest lucru? Ai folosit mai înainte tuneluri SSH?
Credit de imagine: TopVectors / Depositphotos
Explorați mai multe despre: Linux, Online Security.