Protejați-vă rețeaua cu o gazdă Bastion în doar 3 pași

Protejați-vă rețeaua cu o gazdă Bastion în doar 3 pași

Aveți mașini în rețeaua dvs. internă pe care trebuie să le accesați din lumea exterioară? Utilizarea unui host bastion ca gatekeeper la rețeaua dvs. poate fi soluția.





Ce este o gazdă de bastion?

Bastion se traduce literalmente într-un loc fortificat. În termeni de computer, este o mașină din rețeaua dvs. care poate fi gatekeeper pentru conexiunile de intrare și de ieșire.



Puteți seta gazda dvs. bastion ca singura mașină care acceptă conexiunile primite de pe internet. Apoi, la rândul său, setați toate celelalte mașini din rețeaua dvs., pentru a primi conexiuni primite numai de la gazda dvs. bastion. Ce beneficii are acest lucru?





Dincolo de orice altceva, securitatea. Gazda bastionului, după cum sugerează și numele, poate avea o securitate foarte strânsă. Va fi prima linie de apărare împotriva oricăror intruși și va asigura că restul mașinilor dvs. sunt protejate.

De asemenea, ușurează ușor alte părți ale configurării rețelei. În loc să redirecționați porturi la nivel de router, trebuie doar să redirecționați un port de intrare către gazda dvs. bastion. De acolo, vă puteți conecta la alte mașini la care aveți nevoie de acces în rețeaua dvs. privată. Nu vă temeți, acest lucru va fi abordat în secțiunea următoare.



Diagrama

Acesta este un exemplu de configurare tipică a rețelei. Dacă aveți nevoie de acces la rețeaua dvs. de acasă din exterior, veți intra pe internet. Ruterul dvs. va redirecționa apoi acea conexiune către gazda dvs. bastion. Odată conectat la gazda dvs. bastion, veți putea accesa orice alte mașini din rețeaua dvs. În mod egal, nu va exista acces la alte mașini decât gazda bastion direct de pe internet.

Destul de amânare, timp pentru a folosi bastionul.



1. DNS dinamic

Cei mai înțelepți dintre voi s-ar fi putut întreba cum ar putea avea acces la routerul dvs. de acasă prin internet. Majoritatea furnizorilor de servicii de internet (ISP) vă atribuie o adresă IP temporară, care se schimbă din când în când. ISP-urile tind să taxeze suplimentar dacă doriți o adresă IP statică. Vestea bună este că routerele moderne au tendința de a include DNS dinamice în setările lor.

DNS dinamic vă actualizează numele de gazdă cu noua dvs. adresă IP la intervale stabilite, asigurându-vă că puteți accesa oricând rețeaua de acasă. Există mulți furnizori care oferă acest serviciu, dintre care unul este Fără IP care are chiar și un nivel gratuit . Rețineți că nivelul gratuit vă va cere să vă confirmați numele gazdei o dată la 30 de zile. Este doar un proces de 10 secunde, pe care le reamintesc oricum.



După ce v-ați înscris, creați pur și simplu un nume de gazdă. Numele dvs. de gazdă va trebui să fie unic și atât. Dacă dețineți un router Netgear, acesta oferă un DNS dinamic gratuit care nu va necesita o confirmare lunară.

citiți hard disk-ul Mac pe Windows

Acum conectați-vă la router și căutați setarea DNS dinamică. Acest lucru va diferi de la router la router, dar dacă nu îl găsiți ascuns sub setări avansate, verificați manualul de utilizare al producătorului. Cele patru setări pe care trebuie să le introduceți în mod obișnuit vor fi:

  1. Furnizorul
  2. Nume domeniu (numele gazdei pe care tocmai l-ați creat)
  3. Numele de autentificare (adresa de e-mail utilizată pentru a crea DNS-ul dinamic)
  4. Parola

Dacă routerul dvs. nu are o setare DNS dinamică, No-IP oferă software pe care îl puteți instalați pe mașina dvs. locală pentru a obține același rezultat. Această mașină va trebui să fie online, pentru a menține DNS-ul dinamic actualizat.

2. Redirecționare sau redirecționare port

Ruterul trebuie acum să știe de unde să redirecționeze conexiunea primită. Face acest lucru pe baza numărului de port care se află pe conexiunea de intrare. O bună practică aici este să nu utilizați portul SSH implicit, care este 22, pentru portul public.

Motivul pentru care nu se folosește portul implicit este că hackerii au sniffers de port dedicate. Aceste instrumente verifică în mod constant dacă există porturi bine cunoscute care ar putea fi deschise în rețeaua dvs. După ce află că routerul acceptă conexiuni pe un port implicit, încep să trimită cereri de conectare cu nume de utilizator și parole comune.

În timp ce alegerea unui port aleatoriu nu va opri cu totul mirosurile maligne, va reduce drastic numărul de solicitări care vin la router. Dacă routerul dvs. poate redirecționa doar același port, nu este o problemă, deoarece ar trebui să vă setați gazda bastion pentru a utiliza autentificarea SSH pe perechi de chei și nu numele de utilizator și parolele.

Setările unui router ar trebui să arate similar cu acesta:

  1. Numele serviciului care poate fi SSH
  2. Protocol (trebuie setat la TCP)
  3. Port public (ar trebui să fie un port înalt care nu are 22, utilizați 52739)
  4. IP privat (IP-ul gazdei dvs. bastion)
  5. Port privat (portul SSH implicit, care este 22)

Bastionul

Singurul lucru de care va avea nevoie bastionul dvs. este SSH. Dacă acest lucru nu a fost selectat în momentul instalării, pur și simplu tastați:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

Odată ce SSH este instalat, asigurați-vă că setați serverul SSH să se autentifice cu chei în loc de parole. Asigurați-vă că adresa IP a gazdei bastion este aceeași cu cea setată în regula de redirecționare a portului de mai sus.

Putem efectua un test rapid pentru a ne asigura că totul funcționează. Pentru a simula că sunteți în afara rețelei de domiciliu, puteți utilizați dispozitivul dvs. inteligent ca hotspot în timp ce este pe date mobile. Deschideți un terminal și tastați, înlocuind cu numele de utilizator al unui cont de pe gazda dvs. bastion și cu configurarea adresei din pasul A de mai sus:

ssh -p 52739 @

Dacă totul a fost configurat corect, ar trebui să vedeți acum fereastra terminalului gazdei dvs. bastion.

3. Tunelare

Puteți tunela aproape orice prin SSH (în limita rațiunii). De exemplu, dacă doriți să obțineți acces la o partajare SMB din rețeaua dvs. de acasă de pe internet, conectați-vă la gazda bastion și deschideți un tunel la partajarea SMB. Realizați această vrăjitorie pur și simplu executând această comandă:

ssh -L 15445::445 -p 52739 @

O comandă reală ar arăta ceva de genul:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Descompunerea acestei comenzi este ușoară. Aceasta se conectează la contul de pe serverul dvs. prin portul SSH extern al routerului 52739. Orice trafic local trimis la portul 15445 (un port arbitrar) va fi trimis prin tunel, apoi redirecționat către aparat cu IP-ul 10.1.2.250 și SMB portul 445.

Dacă vrei să devii cu adevărat inteligent, putem alias întreaga comandă tastând:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Acum trebuie să tastați terminalul sss și Bob este unchiul tău.

Odată ce conexiunea este realizată, puteți accesa partajarea SMB cu adresa:

smb://localhost:15445

Acest lucru înseamnă că veți putea naviga pe acea parte locală de pe internet ca și cum ați fi fost în rețeaua locală. Așa cum am menționat, puteți să faceți aproape orice cu SSH. Chiar și mașinile Windows care au desktop-ul activat pot fi accesate printr-un tunel SSH.

Recapitulare

Acest articol a acoperit mult mai mult decât o simplă gazdă bastion și ați făcut bine să ajungeți până acum. A avea o gazdă bastion va însemna că celelalte dispozitive care au servicii expuse vor fi protejate. De asemenea, vă asigură că puteți accesa aceste resurse de oriunde din lume. Asigurați-vă că sărbătoriți cu cafea, ciocolată sau ambele. Pașii de bază pe care i-am parcurs au fost:

  • Configurați DNS dinamic
  • Redirecționați un port extern către un port intern
  • Creați un tunel pentru a accesa o resursă locală

Trebuie să accesați resurse locale de pe internet? Folosiți în prezent un VPN pentru a realiza acest lucru? Ați mai folosit tuneluri SSH?

Credit de imagine: TopVectors / Depositphotos

Acțiune Acțiune Tweet E-mail 3 moduri de a verifica dacă un e-mail este real sau fals

Dacă ați primit un e-mail care arată puțin dubios, cel mai bine este întotdeauna să verificați autenticitatea acestuia. Iată trei moduri de a afla dacă un e-mail este real.

Citiți în continuare Subiecte asemănătoare
  • Linux
  • Securitate
  • Securitate online
  • Linux
Despre autor Yusuf Limalia(49 articole publicate)

Yusuf dorește să trăiască într-o lume plină de afaceri inovatoare, smartphone-uri livrate la pachet cu cafea prăjită întunecată și computere care au câmpuri de forță hidrofobe care resping suplimentar praful. În calitate de analist de afaceri și absolvent al Universității de Tehnologie din Durban, cu o experiență de peste 10 ani într-o industrie tehnologică în creștere rapidă, îi place să fie omul de mijloc între oamenii tehnici și non-tehnici și să ajute pe toată lumea să se pună la curent cu tehnologia de sânge.

Mai multe de la Yusuf Limalia

Aboneaza-te la newsletter-ul nostru

Alăturați-vă newsletter-ului pentru sfaturi tehnice, recenzii, cărți electronice gratuite și oferte exclusive!

Faceți clic aici pentru a vă abona