Chraňte svou síť pomocí hostitele Bastion během pouhých 3 kroků

Chraňte svou síť pomocí hostitele Bastion během pouhých 3 kroků

Máte ve své vnitřní síti stroje, ke kterým potřebujete přístup z vnějšího světa? Řešením může být použití hostitele bašty jako správce brány do vaší sítě.





Co je hostitel Bastionu?

Bastion se překládá doslova do místa, které je opevněné. Z počítačového hlediska je to stroj ve vaší síti, který může být strážcem brány pro příchozí a odchozí připojení.



Hostitele své bašty můžete nastavit jako jediný stroj, který bude přijímat příchozí připojení z internetu. Potom zase nastavte všechny ostatní počítače ve vaší síti, aby přijímaly pouze příchozí připojení od vašeho hostitele bašty. Jaké to má výhody?





Nad všechno ostatní bezpečnost. Hostitel bašty, jak název napovídá, může mít velmi přísné zabezpečení. Bude to první obranná linie proti jakýmkoli vetřelcům a zajistí ochranu ostatních vašich strojů.

Trochu usnadňuje také nastavení ostatních částí vaší sítě. Místo přesměrování portů na úrovni routeru stačí přeposlat jeden příchozí port hostiteli bastionu. Odtud se můžete rozdělit na další počítače, ke kterým potřebujete přístup ve vaší soukromé síti. Nebojte se, o tom bude řeč v další části.



Diagram

Toto je příklad typického nastavení sítě. Pokud potřebujete přístup ke své domácí síti zvenčí, vstoupíte přes internet. Váš router pak předá toto připojení vašemu hostiteli bašty. Po připojení k hostiteli vaší bašty budete mít přístup k jakýmkoli dalším počítačům ve vaší síti. Stejně tak nebude přístup k jiným strojům než hostiteli bašty přímo z internetu.

Dost otálení, čas použít baštu.



1. Dynamický DNS

Bystří mezi vámi možná přemýšleli, jak by se dostali k vašemu domácímu routeru přes internet. Většina poskytovatelů internetových služeb (ISP) vám přidělí dočasnou IP adresu, která se tak často mění. ISP mají tendenci účtovat poplatky navíc, pokud chcete statickou IP adresu. Dobrou zprávou je, že moderní směrovače mívají v nastavení zapracováno dynamické DNS.

Dynamický DNS aktualizuje název hostitele vaší novou IP adresou v nastavených intervalech a zajišťuje tak, že máte vždy přístup k domácí síti. Existuje mnoho poskytovatelů, kteří nabízejí uvedenou službu, z nichž jeden je No-IP, který má dokonce bezplatnou vrstvu . Uvědomte si, že bezplatná úroveň bude vyžadovat, abyste jednou za 30 dní potvrdili své jméno hostitele. Je to jen 10sekundový proces, který stejně připomínají.



Jakmile se zaregistrujete, jednoduše vytvořte název hostitele. Název vašeho hostitele bude muset být jedinečný, a to je vše. Pokud vlastníte router Netgear, nabízí bezplatné dynamické DNS, které nevyžaduje měsíční potvrzení.

přeposílat e -maily z aplikace Outlook do Gmailu

Nyní se přihlaste ke svému routeru a vyhledejte dynamické nastavení DNS. To se bude lišit router od routeru, ale pokud se vám to nezdá skrz pokročilá nastavení, podívejte se do uživatelské příručky výrobce. Čtyři nastavení, která obvykle potřebujete zadat, budou:

  1. Poskytovatel
  2. Název domény (název hostitele, který jste právě vytvořili)
  3. Přihlašovací jméno (e -mailová adresa použitá k vytvoření dynamického DNS)
  4. Heslo

Pokud váš router nemá dynamické nastavení DNS, No-IP poskytuje software, který můžete nainstalujte na místní počítač dosáhnout stejného výsledku. Aby byl dynamický DNS aktuální, musí být tento počítač online.

2. Přesměrování portů nebo přesměrování

Router nyní potřebuje vědět, kam přesměrovat příchozí připojení. Dělá to na základě čísla portu, které je na příchozím připojení. Zde je dobrým zvykem nepoužívat výchozí port SSH, který je 22, pro veřejný port.

Důvod nepoužívání výchozího portu je ten, že hackeři mají vyhrazené sniffery portů. Tyto nástroje neustále kontrolují známé porty, které mohou být ve vaší síti otevřené. Jakmile zjistí, že váš router přijímá připojení na výchozím portu, začnou odesílat žádosti o připojení s běžnými uživatelskými jmény a hesly.

Výběr náhodného portu nezastaví maligní sniffery úplně, ale drasticky sníží počet požadavků přicházejících na váš router. Pokud váš směrovač může přeposílat pouze stejný port, není to problém, protože byste měli hostitele vaší bašty nastavit tak, aby používal ověřování pomocí párů klíčů SSH, nikoli uživatelská jména a hesla.

Nastavení routeru by mělo vypadat přibližně takto:

  1. Název služby, který může být SSH
  2. Protokol (měl by být nastaven na TCP)
  3. Veřejný port (měl by být vysoký port, který není 22, použijte 52739)
  4. Privátní IP (IP hostitele vaší bašty)
  5. Soukromý port (výchozí port SSH, který je 22)

Bašta

Jediná věc, kterou bude vaše bašta potřebovat, je SSH. Pokud toto nebylo vybráno v době instalace, jednoduše zadejte:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

Jakmile je SSH nainstalován, nezapomeňte nastavit server SSH na ověřování pomocí klíčů místo hesel. Zajistěte, aby IP hostitele vaší bašty byla stejná jako ta, která byla nastavena ve výše uvedeném pravidle předávání portů.

Můžeme spustit rychlý test, abychom se ujistili, že vše funguje. Chcete -li simulovat pobyt mimo vaši domácí síť, můžete použijte své chytré zařízení jako hotspot když je na mobilních datech. Otevřete terminál a zadejte, nahraďte uživatelským jménem účtu na vašem hostiteli bašty a nastavením adresy v kroku A výše:

ssh -p 52739 @

Pokud bylo vše správně nastaveno, měli byste nyní vidět okno terminálu hostitele vaší bašty.

3. Tunelování

Prostřednictvím SSH můžete tunelovat téměř cokoli (v rozumných mezích). Pokud jste například chtěli získat přístup ke sdílené položce SMB ve vaší domácí síti z internetu, připojte se k hostiteli vaší bašty a otevřete tunel ke sdílené položce SMB. Dosáhněte tohoto kouzla jednoduše spuštěním tohoto příkazu:

ssh -L 15445::445 -p 52739 @

Skutečný příkaz by vypadal nějak takto:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Rozbití tohoto příkazu je snadné. To se připojí k účtu na vašem serveru prostřednictvím externího portu SSH vašeho směrovače 52739. Jakýkoli místní provoz odeslaný na port 15445 (libovolný port) bude odeslán přes tunel a poté předán do počítače s IP 10.1.2.250 a SMB port 445.

Pokud chcete být opravdu chytří, můžeme alias celého příkazu pojmenovat zadáním:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Nyní stačí zadat terminál sss , a bob je tvůj strýc.

Jakmile je připojení vytvořeno, můžete ke svému sdílení SMB přistupovat pomocí adresy:

smb://localhost:15445

To znamená, že budete moci procházet místní sdílení z internetu, jako byste byli v místní síti. Jak již bylo zmíněno, pomocí SSH můžete téměř tunelovat do čehokoli. K počítačům se systémem Windows, které mají povolenou vzdálenou plochu, lze přistupovat prostřednictvím tunelu SSH.

Shrnout

Tento článek pojednal mnohem víc než jen hostitele bašty a udělali jste dobře, že jste se dostali až sem. Mít hostitele bašty bude znamenat, že ostatní zařízení, která mají služby, které jsou vystaveny, budou chráněny. Rovněž zajišťuje, že k těmto zdrojům máte přístup odkudkoli na světě. Určitě oslavte kávou, čokoládou nebo obojím. Základní kroky, které jsme probrali, byly:

  • Nastavte dynamické DNS
  • Přeposlat externí port na interní port
  • Vytvořte tunel pro přístup k místnímu prostředku

Potřebujete přístup k místním zdrojům z internetu? Používáte k tomu v současné době síť VPN? Už jste někdy používali SSH tunely?

Uznání: TopVectors/ Depositphotos

Podíl Podíl tweet E-mailem 3 způsoby, jak zkontrolovat, zda je e -mail skutečný nebo falešný

Pokud jste obdrželi e -mail, který vypadá trochu pochybně, je vždy nejlepší zkontrolovat jeho pravost. Zde jsou tři způsoby, jak zjistit, zda je e -mail skutečný.

Číst dále Související témata
  • Linux
  • Bezpečnostní
  • Zabezpečení online
  • Linux
O autorovi Yusuf Limalia(49 článků zveřejněno)

Yusuf chce žít ve světě plném inovativních podniků, chytrých telefonů dodávaných s tmavou praženou kávou a počítačů s hydrofobními silovými poli, která navíc odpuzují prach. Jako obchodní analytik a absolvent Durbanské technologické univerzity s více než 10letou zkušeností v rychle rostoucím technologickém průmyslu si užívá toho, že je prostředníkem mezi technickými a netechnickými lidmi a pomáhá všem dostat se s technologií na špičkové úrovni.

Více od Yusuf Limalia

Přihlaste se k odběru našeho zpravodaje

Připojte se k našemu zpravodaji a získejte technické tipy, recenze, bezplatné elektronické knihy a exkluzivní nabídky!

Kliknutím sem se přihlásíte k odběru