Защитете мрежата си с домакин на бастион само в 3 стъпки

реклама

Имате ли машини във вашата вътрешна мрежа, до които трябва да имате достъп от външния свят? Използването на бастионен хост като вратар към вашата мрежа може да бъде решение.

Какво е домакин на бастион?

Бастионът се превежда буквално на място, което е укрепено. В компютърно отношение това е машина в мрежата ви, която може да бъде вратарят за входящи и изходящи връзки.

Можете да зададете своя бастион хост като единствената машина, която приема входящи връзки от интернет. След това от своя страна задайте всички други машини във вашата мрежа да получават само входящи връзки от вашия бастионен хост. Какви ползи има това?

Над всичко останало, сигурност. Хостът на бастиона, както подсказва името, може да има много строга сигурност. Това ще бъде първата линия на защита срещу всички натрапници и ще гарантира, че останалите ваши машини са защитени.

Освен това прави други части от вашата мрежова настройка малко по-лесни. Вместо да препращате портове на ниво рутер, просто трябва да препратите един входящ порт към вашия хост на бастиона. Оттам можете да се разклоните на други машини, до които се нуждаете от достъп във вашата частна мрежа. Не се страхувайте, това ще бъде разгледано в следващия раздел.

Диаграмата

Това е пример за типична настройка на мрежата. Ако имате нужда от достъп до домашната си мрежа отвън, ще влезете през интернет. След това вашият маршрутизатор ще препрати тази връзка към вашия бастион хост. След като се свържете с вашия бастионен хост, ще имате достъп до всички други машини във вашата мрежа. Също така няма да има достъп до машини, различни от хостиона на бастиона, директно от интернет.

Достатъчно отлагане, време за използване на бастион.

1. Динамичен DNS

Проницателният сред вас може би се е питал как би получил достъп до вашия домашен рутер през интернет. Повечето доставчици на интернет услуги (ISP) ви задават временен IP адрес, който се променя всеки толкова често. Интернет доставчиците обикновено се таксуват допълнително, ако искате статичен IP адрес. Добрата новина е, че маршрутизаторите в съвременния ден имат тенденция да имат динамичен DNS в настройките си.

Dynamic DNS актуализира вашето име на хост с вашия нов IP адрес на зададени интервали, като гарантира, че винаги можете да получите достъп до вашата домашна мрежа. Има много доставчици, които предлагат споменатата услуга, една от които е Без IP, който дори има безплатен слой. Имайте предвид, че безплатният слой ще изисква да потвърждавате името на хоста си веднъж на 30 дни. Това е просто 10-секунден процес, който те напомнят да направят така или иначе.

След като се регистрирате, просто създайте име на хост. Името на хоста ви ще трябва да бъде уникално и това е всичко. Ако притежавате маршрутизатор на Netgear, те предлагат безплатен динамичен DNS, който няма да изисква месечно потвърждение.

Сега влезте в своя рутер и потърсете динамичната настройка на DNS. Това ще се различава от рутер до рутер, но ако не откриете, че се дебне при разширени настройки, проверете ръководството за употреба на производителя. Четирите настройки, които обикновено трябва да въведете, ще бъдат:

1. Доставчикът
2. Име на домейн (току-що създадено име на хост)
3. Име за вход (имейл адреса, използван за създаване на динамичния ви DNS)
4. парола

Ако вашият рутер няма динамична настройка на DNS, No-IP предоставя софтуер, който можете инсталирайте на вашата локална машина за постигане на същия резултат. Тази машина ще трябва да е онлайн, за да поддържа динамичния DNS актуален.

2. Пренасочване или пренасочване към порт

Сега маршрутизаторът трябва да знае къде да препрати входящата връзка. Това прави въз основа на номера на порта, който е на входящата връзка. Добра практика тук е да не се използва стандартният SSH порт, който е 22, за пристанището, което е изправено пред обществото.

Причината да не се използва портът по подразбиране е, защото хакерите имат специални портове. Тези инструменти постоянно проверяват за добре познати портове, които може да са отворени във вашата мрежа. След като установят, че вашият маршрутизатор приема връзки на порт по подразбиране, те започват да изпращат заявки за връзка с общи потребителски имена и пароли.

Въпреки че изборът на случаен порт няма да спре напълно злокачествените смъркащи, драстично ще намали броя на заявките, идващи към вашия рутер. Ако вашият маршрутизатор може да препраща един и същ порт, това не е проблем, тъй като трябва да настроите хостинга си на бастион да използва SSH проверка на ключове, а не потребителски имена и пароли.

Настройките на рутера трябва да изглеждат подобно на това:

1. Името на услугата, което може да бъде SSH
2. Протокол (трябва да бъде зададен на TCP)
3. Публичен порт (трябва да е висок порт, който не е 22, използвайте 52739)
4. Частен IP (IP на вашия бастион хост)
5. Частен порт (по подразбиране SSH порт, който е 22)

Бастионът

Единственото нещо, което ще ви трябва бастион, е SSH. Ако това не е избрано по време на инсталирането, просто въведете:

sudo apt инсталирате OpenSSH-клиент. sudo apt инсталирате OpenSSH-сървър

След като SSH е инсталиран, не забравяйте да настроите вашия SSH сървър удостоверявайте с ключове вместо пароли Как да удостоверявате през SSH с ключове вместо паролиSSH е чудесен начин да получите дистанционен достъп до вашия компютър. Когато отворите портовете на вашия рутер (порт 22, за да бъдем точни), не можете да получите достъп само до вашия SSH сървър отвътре ... Прочетете още . Уверете се, че IP на вашия хост на бастиона е същият като този, зададен по-горе в правилото за пристанище.

Можем да проведем бърз тест, за да се уверим, че всичко работи. За да симулирате да сте извън домашната си мрежа, можете използвайте вашето умно устройство като гореща точка Контрол на горещата точка: Използвайте своя Android като безжичен рутерИзползването на устройството ви с Android като гореща точка е чудесен начин да споделяте мобилните си данни с другите си устройства като лаптоп или таблет - и е супер лесно! Прочетете още докато е на мобилни данни. Отворете терминал и въведете, замествайки с потребителското име на акаунт на вашия бастион хост и с настройката на адреса в стъпка А по-горе:

ssh -p 52739 @

Ако всичко беше настроено правилно, сега трябва да видите прозореца на терминала на вашия бастион хост.

3. Тунели

Можете да тунелирате почти всичко чрез SSH (в рамките на разума). Например, ако искате да получите достъп до SMB дял в домашната си мрежа от интернет, свържете се с вашия бастион хост и отворете тунел към дяла на SMB. Изпълнете тази магия просто като изпълните тази команда:

ssh -L 15445:: 445 -p 52739 @

Една действителна команда би изглеждала като:

ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected] 

Разбиването на тази команда е лесно. Това се свързва с акаунта на вашия сървър чрез външния SSH порт на вашия рутер 52739. Всеки локален трафик, изпратен до порт 15445 (произволен порт), ще бъде изпратен през тунела, след което се препраща към машината с IP от 10.1.2.250 и SMB порта 445.

Ако искате да получите наистина умен, можем да псевдоним цялата команда, като напишете:

псевдоним sss = 'ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected]'

Сега всичко, което трябва да напишете в терминала SSS, и bob е чичо ти.

След като се осъществи връзката, можете да получите достъп до вашия SMB дял с адреса:

smb: // localhost: 15445. 

Това означава, че ще можете да преглеждате местния дял от интернет, сякаш сте в локалната мрежа. Както споменахме, можете да влезете почти в тунел във всичко с SSH. Дори Windows машини, които имат активиран отдалечен работен плот можете да получите достъп през SSH тунел Как да тунелирам уеб трафик с SSH Secure Shell Прочетете още .

рекапитулация

Тази статия обхваща много повече от просто бастион хост и вие сте се справили добре, за да го направите досега. Наличието на хост на бастиона ще означава, че другите устройства, които имат изложени услуги, ще бъдат защитени. Той също така гарантира, че можете да получите достъп до тези ресурси от всяка точка на света. Не забравяйте да празнувате с кафе, шоколад или и двете. Основните стъпки, които покрихме, бяха:

• Настройте динамичен DNS
• Препращане на външен порт към вътрешен порт
• Създайте тунел за достъп до локален ресурс

Имате ли нужда от достъп до местните ресурси от интернет? В момента използвате ли VPN, за да постигнете това? Използвали ли сте SSH тунели преди?

Кредитна снимка: TopVectors /Depositphotos