Защитете мрежата си с Bastion Host само в 3 стъпки

Защитете мрежата си с Bastion Host само в 3 стъпки

Имате ли машини във вашата вътрешна мрежа, до които имате нужда от достъп от външния свят? Използването на бастионен хост като вратар към вашата мрежа може да бъде решението.





Какво е Bastion Host?

Bastion се превежда буквално като укрепено място. В компютърно отношение това е машина във вашата мрежа, която може да бъде вратар за входящи и изходящи връзки.



Можете да зададете вашия бастионен хост като единствената машина, която да приема входящи връзки от интернет. След това на свой ред настройте всички други машини във вашата мрежа да получават само входящи връзки от вашия бастионен хост. Какви ползи има това?





Освен всичко друго, сигурността. Бастионният хост, както подсказва името, може да има много строга сигурност. Това ще бъде първата линия на защита срещу натрапници и ще гарантира, че останалите ви машини са защитени.

Това също улеснява други части от настройката на вашата мрежа. Вместо да препращате портове на ниво рутер, просто трябва да препратите един входящ порт към вашия хост на бастиона. Оттам можете да се разклоните към други машини, до които имате нужда от достъп във вашата частна мрежа. Не се страхувайте, това ще бъде разгледано в следващия раздел.



Диаграмата

Това е пример за типична мрежова настройка. Ако имате нужда от достъп до домашната си мрежа отвън, ще влезете през интернет. След това вашият рутер ще препрати тази връзка към вашия хост на бастиона. След като се свържете с вашия хост на бастиона, ще имате достъп до всички други машини във вашата мрежа. Също така няма да има достъп до машини, различни от бастионния хост директно от интернет.

Достатъчно отлагане, време за използване на бастион.



1. Динамичен DNS

Проницателният сред вас може би се е чудил как би получил достъп до вашия домашен рутер чрез интернет. Повечето доставчици на интернет услуги (ISP) ви присвояват временен IP адрес, който се променя от време на време. Интернет доставчиците са склонни да таксуват допълнително, ако искате статичен IP адрес. Добрата новина е, че съвременните рутери имат тенденция да имат динамичен DNS, записан в техните настройки.

Динамичният DNS актуализира вашето име на хост с новия ви IP адрес на определени интервали, като гарантира, че винаги имате достъп до домашната си мрежа. Има много доставчици, които предлагат тази услуга, един от които е Без IP, който дори има безплатно ниво . Имайте предвид, че безплатното ниво ще изисква от вас да потвърждавате името на хоста си веднъж на всеки 30 дни. Това е само 10-секунден процес, който те напомнят да направят така или иначе.



След като се регистрирате, просто създайте име на хост. Името на вашия хост ще трябва да бъде уникално и това е всичко. Ако притежавате рутер Netgear, те предлагат безплатен динамичен DNS, който няма да изисква месечно потвърждение.

най -доброто място да си вземете кученце

Сега влезте в маршрутизатора си и потърсете настройката за динамичен DNS. Това ще се различава от рутера до рутера, но ако не го скриете под разширените настройки, проверете ръководството за потребителя на производителя. Четирите настройки, които обикновено трябва да въведете, ще бъдат:

  1. Доставчикът
  2. Име на домейн (току -що създаденото име)
  3. Име за вход (имейл адресът, използван за създаване на вашия динамичен DNS)
  4. Парола

Ако вашият рутер няма динамична DNS настройка, No-IP предоставя софтуер, който можете инсталирайте на локалната си машина за постигане на същия резултат. Тази машина ще трябва да бъде онлайн, за да поддържа актуалния динамичния DNS.

2. Пренасочване или пренасочване на портове

Сега рутерът трябва да знае къде да препрати входящата връзка. Това се прави въз основа на номера на порта, който е на входящата връзка. Добра практика тук е да не използвате SSH порта по подразбиране, който е 22, за публичния порт.

Причината да не използвате порт по подразбиране е, че хакерите имат специални пристанищни нюхачи. Тези инструменти постоянно проверяват за добре познати портове, които може да са отворени във вашата мрежа. След като установят, че вашият рутер приема връзки на порт по подразбиране, те започват да изпращат заявки за връзка с общи потребителски имена и пароли.

Докато изборът на случаен порт няма да спре напълно злонамерените лица, той драстично ще намали броя на заявките, идващи към вашия рутер. Ако вашият маршрутизатор може да препраща само един и същ порт, това не е проблем, тъй като трябва да настроите хоста на бастиона си да използва удостоверяване на SSH ключ, а не потребителски имена и пароли.

Настройките на рутера трябва да изглеждат по следния начин:

  1. Името на услугата, което може да бъде SSH
  2. Протокол (трябва да бъде настроен на TCP)
  3. Публичен порт (трябва да е висок порт, който не е 22, използвайте 52739)
  4. Частен IP (IP на вашия бастионен хост)
  5. Частен порт (SSH портът по подразбиране, който е 22)

Бастионът

Единственото нещо, от което вашият бастион ще се нуждае, е SSH. Ако това не е избрано по време на инсталацията, просто напишете:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

След като SSH е инсталиран, не забравяйте да настроите вашия SSH сървър да се удостоверява с ключове вместо с пароли. Уверете се, че IP на вашия хост на бастиона е същият като този, зададен в правилото за пренасочване на портове по -горе.

Можем да проведем бърз тест, за да се уверим, че всичко работи. За да симулирате това, че сте извън домашната си мрежа, можете използвайте вашето интелигентно устройство като гореща точка докато е на мобилни данни. Отворете терминал и въведете, като го замените с потребителското име на акаунт на вашия бастионен хост и с настройката на адреса в стъпка А по -горе:

ssh -p 52739 @

Ако всичко е настроено правилно, сега трябва да видите прозореца на терминала на вашия хост на бастиона.

3. Тунелиране

Можете да тунелирате почти всичко през SSH (в рамките на разумното). Например, ако искате да получите достъп до SMB дял във вашата домашна мрежа от интернет, свържете се с вашия бастионен хост и отворете тунел към SMB споделянето. Изпълнете това магьосничество, просто като изпълните тази команда:

ssh -L 15445::445 -p 52739 @

Действителната команда ще изглежда така:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Разбиването на тази команда е лесно. Това се свързва с акаунта на вашия сървър през външния SSH порт на вашия рутер 52739. Всеки локален трафик, изпратен до порт 15445 (произволен порт), ще бъде изпратен през тунела, след което ще бъде препратен към машината с IP 10.1.2.250 и SMB порт 445.

Ако искате да станете наистина умни, можем да алиасираме цялата команда, като напишем:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Сега всичко, което трябва да въведете в терминала sss , а Боб е чичо ти.

След като връзката се осъществи, можете да получите достъп до вашия SMB дял с адреса:

smb://localhost:15445

Това означава, че ще можете да разглеждате този локален дял от интернет, сякаш сте в локалната мрежа. Както бе споменато, можете да тунелирате във всичко със SSH. Дори Windows машини, които имат активиран отдалечен работен плот, могат да бъдат достъпни през SSH тунел.

Обобщение

Тази статия обхваща много повече от обикновен бастион и вие се справихте добре, за да стигнете дотук. Наличието на бастионен хост ще означава, че другите устройства, които имат изложени услуги, ще бъдат защитени. Той също така гарантира, че имате достъп до тези ресурси от всяка точка на света. Не забравяйте да празнувате с кафе, шоколад или и двете. Основните стъпки, които разгледахме, бяха:

  • Настройте динамичен DNS
  • Препратете външен порт към вътрешен порт
  • Създайте тунел за достъп до локален ресурс

Имате ли нужда от достъп до местни ресурси от интернет? Използвате ли в момента VPN, за да постигнете това? Използвали ли сте SSH тунели преди?

Кредит на изображението: TopVectors/ Depositphotos

Дял Дял Туит електронна поща 3 начина да проверите дали имейл е реален или фалшив

Ако сте получили имейл, който изглежда малко съмнителен, винаги е най -добре да проверите неговата автентичност. Ето три начина да разберете дали имейл е реален.

Прочетете Напред Свързани теми
  • Linux
  • Сигурност
  • Онлайн сигурност
  • Linux
За автора Юсуф Лималия(49 статии са публикувани)

Юсуф иска да живее в свят, изпълнен с иновативни бизнеси, смартфони, които идват в комплект с тъмно печено кафе и компютри, които имат хидрофобни силови полета, които допълнително отблъскват праха. Като бизнес анализатор и възпитаник на Технологичния университет в Дърбан, с над 10 години опит в бързо развиваща се технологична индустрия, той се радва да бъде посредник между технически и нетехнически хора и да помага на всички да постигнат скорост с най -новите технологии.

Още от Юсуф Лималия

Абонирайте се за нашия бюлетин

Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и изключителни оферти!

Щракнете тук, за да се абонирате
Категория Linux