Chráňte svoju sieť pomocou hostiteľa Bastion iba v 3 krokoch

Chráňte svoju sieť pomocou hostiteľa Bastion iba v 3 krokoch

Máte vo svojej vnútornej sieti stroje, ku ktorým potrebujete prístup z vonkajšieho sveta? Riešením môže byť použitie hostiteľa bašty ako brány do vašej siete.





Čo je to hostiteľ bašty?

Bastion sa prekladá doslova na miesto, ktoré je opevnené. V počítačovom zmysle je to stroj vo vašej sieti, ktorý môže byť strážcom brány pre prichádzajúce a odchádzajúce pripojenia.



Hostiteľa svojej bašty môžete nastaviť ako jediný stroj, ktorý bude prijímať prichádzajúce pripojenia z internetu. Potom zase nastavte všetky ostatné počítače vo vašej sieti tak, aby prijímali iba prichádzajúce pripojenia z vášho hostiteľa bašty. Aké výhody to má?





Nad všetko ostatné bezpečnosť. Hostiteľ bašty, ako naznačuje názov, môže mať veľmi prísne zabezpečenie. Bude to prvá obranná línia pred akýmikoľvek votrelcami a zaistí ochranu ostatných vašich strojov.

Trochu uľahčuje aj ostatné časti nastavenia siete. Namiesto presmerovania portov na úrovni smerovača stačí presmerovať jeden prichádzajúci port na hostiteľa bašty. Odtiaľ sa môžete rozvetviť na ďalšie počítače, ku ktorým potrebujete prístup vo vašej súkromnej sieti. Nebojte sa, to bude popísané v ďalšej časti.



Diagram

Toto je príklad typického nastavenia siete. Ak potrebujete prístup k svojej domácej sieti zvonku, prišli by ste cez internet. Váš smerovač potom postúpi toto pripojenie vášmu hostiteľovi bašty. Po pripojení k hostiteľovi bašty budete mať prístup k akýmkoľvek iným počítačom vo vašej sieti. Rovnako nebude prístup k iným zariadeniam ako hostiteľovi bašty priamo z internetu.

Dosť prokrastinácie, čas použiť baštu.



1. Dynamický DNS

Bystrí medzi vami sa možno čudujú, ako by sa k vášmu domácemu routeru dostali prostredníctvom internetu. Väčšina poskytovateľov internetových služieb (ISP) vám pridelí dočasnú IP adresu, ktorá sa tak často mení. Poskytovatelia internetových služieb majú tendenciu účtovať dodatočné poplatky, ak chcete statickú adresu IP. Dobrou správou je, že v moderných smerovačoch je spravidla zapracované dynamické DNS.

Dynamický DNS aktualizuje vaše hostiteľské meno o vašu novú IP adresu v stanovených intervaloch, čím zaisťuje, že máte vždy prístup do svojej domácej siete. Existuje mnoho poskytovateľov, ktorí ponúkajú uvedenú službu, jedným z nich je No-IP, ktorý má dokonca bezplatnú vrstvu . Uvedomte si, že bezplatná úroveň bude vyžadovať, aby ste svoje meno hostiteľa potvrdili každých 30 dní. Je to len 10-sekundový proces, ktorý pripomínajú, aby ste ho urobili.



Keď sa zaregistrujete, jednoducho vytvorte názov hostiteľa. Vaše meno hostiteľa bude musieť byť jedinečné, a to je všetko. Ak vlastníte smerovač Netgear, ponúka bezplatný dynamický server DNS, ktorý nevyžaduje mesačné potvrdenie.

ako vytvoriť novú e -mailovú adresu

Teraz sa prihláste do svojho smerovača a vyhľadajte dynamické nastavenie DNS. Bude sa to líšiť v závislosti od smerovača, ale ak ho nenájdete v rozšírených nastaveniach, prečítajte si používateľskú príručku výrobcu. Štyri nastavenia, ktoré zvyčajne musíte zadať, budú tieto:

  1. Poskytovateľ
  2. Názov domény (názov hostiteľa, ktorý ste práve vytvorili)
  3. Prihlasovacie meno (e -mailová adresa použitá na vytvorenie dynamického DNS)
  4. Heslo

Ak váš smerovač nemá dynamické nastavenie DNS, No-IP poskytuje softvér, ktorý môžete nainštalovať na miestny počítač aby ste dosiahli rovnaký výsledok. Tento počítač bude musieť byť online, aby bol dynamický server DNS aktuálny.

2. Presmerovanie alebo presmerovanie portov

Router teraz potrebuje vedieť, kam presmerovať prichádzajúce pripojenie. Robí to na základe čísla portu, ktoré je na prichádzajúcom pripojení. Osvedčeným postupom je nepoužívať predvolený port SSH, ktorý je 22, pre verejne prístupný port.

Dôvod, prečo nepoužívate predvolený port, je ten, že hackeri majú vyhradené sniffery portov. Tieto nástroje neustále kontrolujú známe porty, ktoré môžu byť vo vašej sieti otvorené. Akonáhle zistia, že váš smerovač prijíma pripojenia na predvolenom porte, začnú odosielať žiadosti o pripojenie s bežnými používateľskými menami a heslami.

Výber náhodného portu síce nezastaví malígne sniffery úplne, ale drasticky zníži počet požiadaviek prichádzajúcich na váš router. Ak váš smerovač môže presmerovať iba ten istý port, nie je to problém, pretože by ste mali hostiteľovi bašty nastaviť tak, aby používal autentifikáciu pomocou páru kľúčov SSH, a nie používateľské mená a heslá.

Nastavenia smerovača by mali vyzerať nasledovne:

  1. Názov služby, ktorý môže byť SSH
  2. Protokol (mal by byť nastavený na TCP)
  3. Verejný port (mal by byť vysoký port, ktorý nemá 22, použite 52739)
  4. Súkromná IP (IP hostiteľa vašej bašty)
  5. Súkromný port (predvolený port SSH, ktorý je 22)

Bašta

Jediná vec, ktorú bude vaša bašta potrebovať, je SSH. Ak to nebolo vybraté v čase inštalácie, jednoducho zadajte:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

Po inštalácii SSH nezabudnite nastaviť server SSH na autentifikáciu pomocou kľúčov namiesto hesiel. Zaistite, aby IP hostiteľa vašej bašty bola rovnaká ako adresa nastavená vo vyššie uvedenom pravidle presmerovania portov.

Môžeme spustiť rýchly test, aby sme sa presvedčili, že všetko funguje. Ak chcete simulovať pobyt mimo domácej siete, môžete používajte svoje inteligentné zariadenie ako hotspot kým je na mobilných dátach. Otvorte terminál a zadajte, pričom ho nahraďte používateľským menom účtu na svojom hostiteľovi bašty a nastavením adresy v kroku A vyššie:

ssh -p 52739 @

Ak bolo všetko správne nastavené, teraz by ste mali vidieť okno terminálu hostiteľa bašty.

3. Tunelovanie

Prostredníctvom SSH môžete tunelovať takmer čokoľvek (z rozumného dôvodu). Ak by ste napríklad chceli získať prístup k zdieľaniu SMB vo vašej domácej sieti z internetu, pripojte sa k hostiteľovi bašty a otvorte tunel k zdieľaniu SMB. Vykonajte toto čarodejníctvo jednoducho spustením tohto príkazu:

ssh -L 15445::445 -p 52739 @

Skutočný príkaz by vyzeral takto:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Zrušenie tohto príkazu je jednoduché. Pripojí sa k účtu na vašom serveri prostredníctvom externého portu SSH 52739. Váš miestny prenos odoslaný na port 15445 (ľubovoľný port) bude odoslaný cez tunel a potom presmerovaný do zariadenia s IP 10.1.2.250 a SMB. port 445.

Ak chcete byť skutočne šikovní, môžeme celý príkaz alias zadať takto:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Teraz stačí zadať terminál sss , a bob je tvoj strýko.

Po nadviazaní spojenia budete mať prístup k svojmu zdieľaniu SMB s adresou:

smb://localhost:15445

To znamená, že budete môcť prehľadávať lokálne zdieľané položky z internetu, ako keby ste boli v miestnej sieti. Ako už bolo spomenuté, pomocou SSH môžete do značnej miery tunelovať do čohokoľvek. K počítačom so systémom Windows, ktoré majú povolenú vzdialenú plochu, je možné pristupovať pomocou tunela SSH.

Rekapitulácia

Tento článok sa zaoberal oveľa viac ako len hostiteľom bašty a urobili ste dobre, že ste sa dostali až sem. Mať hostiteľa bašty bude znamenať, že ostatné zariadenia, ktoré majú služby, ktoré sú zverejnené, budú chránené. Zaisťuje tiež, že k týmto zdrojom máte prístup odkiaľkoľvek na svete. Oslávte určite kávu, čokoládu alebo oboje. Základné kroky, ktorými sme sa zaoberali, boli:

  • Nastavte dynamické DNS
  • Presmerujte externý port na interný port
  • Vytvorte tunel na prístup k miestnemu zdroju

Potrebujete prístup k miestnym zdrojom z internetu? Používate na to v súčasnosti sieť VPN? Použili ste predtým tunely SSH?

Obrazový kredit: TopVectors/ Depositphotos

zdieľam zdieľam Tweet E -mail 3 spôsoby, ako skontrolovať, či je e -mail skutočný alebo falošný

Ak ste dostali e -mail, ktorý vyzerá trochu pochybne, je vždy najlepšie skontrolovať jeho pravosť. Toto sú tri spôsoby, ako zistiť, či je e -mail skutočný.

Čítajte ďalej Súvisiace témy
  • Linux
  • Zabezpečenie
  • Zabezpečenie online
  • Linux
O autorovi Yusuf Limalia(49 publikovaných článkov)

Yusuf chce žiť vo svete plnom inovatívnych spoločností, smartfónov dodávaných s tmavou praženou kávou a počítačov s hydrofóbnymi silovými poľami, ktoré navyše odpudzujú prach. Ako obchodný analytik a absolvent Technickej univerzity v Durbane s viac ako 10 -ročnými skúsenosťami v rýchlo sa rozvíjajúcom technologickom priemysle ho baví byť prostredníkom medzi technickými a netechnickými ľuďmi a pomáhať každému dostať sa s technológiou na špičkovej úrovni.

Viac od Yusufa Limalia

prihlásiť sa ku odberu noviniek

Pripojte sa k nášmu bulletinu a získajte technické tipy, recenzie, bezplatné elektronické knihy a exkluzívne ponuky!

Kliknutím sem sa prihlásite na odber