Beskytt nettverket ditt med en Bastion -vert på bare 3 trinn

Beskytt nettverket ditt med en Bastion -vert på bare 3 trinn

Har du maskiner på ditt interne nettverk som du trenger tilgang til fra omverdenen? Å bruke en bastion -vert som portvakt til nettverket ditt kan være løsningen.





Hva er en Bastion -vert?

Bastion oversetter bokstavelig talt til et sted som er befestet. Når det gjelder datamaskiner, er det en maskin på nettverket ditt som kan være portvakt for innkommende og utgående tilkoblinger.



Du kan angi bastion -verten som den eneste maskinen som godtar innkommende tilkoblinger fra internett. Sett deretter alle andre maskiner på nettverket ditt til å bare motta innkommende tilkoblinger fra bastionsverten din. Hvilke fordeler har dette?





Utover alt annet, sikkerhet. Bastionsverten, som navnet tilsier, kan ha svært stram sikkerhet. Det vil være den første forsvarslinjen mot inntrengere og sikre at resten av maskinene dine er beskyttet.

Det gjør også andre deler av nettverksoppsettet litt enklere. I stedet for å videresende porter på ruternivå, trenger du bare å videresende en innkommende port til din bastion -vert. Derfra kan du forgrene deg til andre maskiner du trenger tilgang til på ditt private nettverk. Frykt ikke, dette vil bli dekket i neste avsnitt.



Diagrammet

Dette er et eksempel på et typisk nettverksoppsett. Hvis du trenger tilgang til hjemmenettverket ditt utenfra, vil du komme inn via internett. Ruteren din vil deretter videresende tilkoblingen til bastion -verten din. Når du er koblet til bastion -verten, får du tilgang til andre maskiner på nettverket ditt. På samme måte vil det ikke være tilgang til andre maskiner enn bastionsverten direkte fra internett.

Nok utsettelse, tid til å bruke bastion.



1. Dynamisk DNS

De flinke blant dere har kanskje lurt på hvordan man får tilgang til hjemmeruteren via internett. De fleste internettleverandører (ISP) tildeler deg en midlertidig IP -adresse, som endres så ofte. Internettleverandører pleier å belaste ekstra hvis du ønsker en statisk IP -adresse. Den gode nyheten er at dagens rutere har en tendens til å ha dynamisk DNS bakt inn i innstillingene.

Dynamisk DNS oppdaterer vertsnavnet ditt med din nye IP -adresse med bestemte intervaller, og sikrer at du alltid kan få tilgang til hjemmenettverket. Det er mange leverandører som tilbyr tjenesten, hvorav den ene er No-IP som til og med har en gratis tier . Vær oppmerksom på at gratisnivået krever at du bekrefter vertsnavnet ditt hver 30. dag. Det er bare en 10-sekunders prosess, som de minner om å gjøre uansett.



Etter at du har registrert deg, oppretter du bare et vertsnavn. Vertsnavnet ditt må være unikt, og det er det. Hvis du eier en Netgear -ruter, tilbyr de en gratis dynamisk DNS som ikke krever en månedlig bekreftelse.

hva er den beste gratis filmappen

Logg deg nå på ruteren din, og se etter den dynamiske DNS -innstillingen. Dette vil variere fra ruter til ruter, men hvis du ikke finner det på lur under avanserte innstillinger, sjekk produsentens brukermanual. De fire innstillingene du vanligvis trenger å angi vil være:

  1. Leverandøren
  2. Domenenavn (vertsnavnet du nettopp opprettet)
  3. Påloggingsnavn (e -postadressen som ble brukt til å lage din dynamiske DNS)
  4. Passord

Hvis ruteren din ikke har en dynamisk DNS-innstilling, tilbyr No-IP programvare som du kan installere på din lokale maskin for å oppnå samme resultat. Denne maskinen må være online for å holde den dynamiske DNS oppdatert.

2. Portvideresending eller omdirigering

Ruteren trenger nå å vite hvor den innkommende tilkoblingen skal videresendes. Det gjør dette basert på portnummeret som er på den innkommende tilkoblingen. En god praksis her er å ikke bruke standard SSH -port, som er 22, for den offentlige porten.

Grunnen til at du ikke bruker standardporten er fordi hackere har dedikerte portsniffere. Disse verktøyene søker kontinuerlig etter kjente porter som kan være åpne på nettverket ditt. Når de finner ut at ruteren din godtar tilkoblinger på en standardport, begynner de å sende tilkoblingsforespørsler med vanlige brukernavn og passord.

Selv om valg av en tilfeldig port ikke vil stoppe de ondartede snifferne helt, vil det drastisk redusere antall forespørsler som kommer til ruteren din. Hvis ruteren din bare kan videresende den samme porten, er det ikke noe problem, ettersom du burde konfigurere bastionsverten din til å bruke SSH -tastaturautentisering og ikke brukernavn og passord.

En ruters innstillinger skal se slik ut:

  1. Tjenestenavnet som kan være SSH
  2. Protokoll (bør settes til TCP)
  3. Offentlig port (bør være en høy port som ikke er 22, bruk 52739)
  4. Privat IP (IP -adressen til din bastion -vert)
  5. Privat port (standard SSH -port, som er 22)

Bastionen

Det eneste bastionen din trenger er SSH. Hvis dette ikke ble valgt på installasjonstidspunktet, skriver du ganske enkelt:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

Når SSH er installert, må du sette SSH -serveren til å autentisere med nøkler i stedet for passord. Sørg for at bastionsvertsens IP er den samme som den som er angitt i port forward -regelen ovenfor.

Vi kan kjøre en rask test for å sikre at alt fungerer. For å simulere å være utenfor hjemmenettverket ditt, kan du bruk smartenheten din som et hotspot mens det er på mobildata. Åpne en terminal og skriv inn, erstatt med brukernavnet til en konto på bastion -verten din og med adresseoppsettet i trinn A ovenfor:

ssh -p 52739 @

Hvis alt var riktig konfigurert, skulle du nå se terminalvinduet til din bastion -vert.

3. Tunnel

Du kan tunnelere omtrent alt gjennom SSH (innen rimelighet). For eksempel, hvis du ønsket å få tilgang til en SMB -deling på hjemmenettverket ditt fra internett, kan du koble til bastionvert og åpne en tunnel til SMB -aksjen. Fullfør denne trolldommen bare ved å kjøre denne kommandoen:

ssh -L 15445::445 -p 52739 @

En faktisk kommando vil se slik ut:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Å bryte ned denne kommandoen er enkelt. Dette kobles til kontoen på serveren din via ruterens eksterne SSH -port 52739. All lokal trafikk som sendes til port 15445 (en vilkårlig port) sendes gjennom tunnelen og deretter videresendes til maskinen med IP -adressen 10.1.2.250 og SMB port 445.

Hvis du vil bli veldig smart, kan vi kalle hele kommandoen ved å skrive:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Alt du trenger å skrive inn terminal i sss , og bob er onkelen din.

Når tilkoblingen er opprettet, kan du få tilgang til SMB -aksjen din med adressen:

smb://localhost:15445

Dette betyr at du vil kunne bla gjennom den lokale andelen fra internett som om du var på det lokale nettverket. Som nevnt kan du stort sett tunnelere inn i alt med SSH. Til og med Windows -maskiner som har eksternt skrivebord aktivert, kan nås via en SSH -tunnel.

oppsummering

Denne artikkelen dekket mye mer enn bare en bastionvert, og du har gjort det bra for å komme så langt. Å ha en bastion -vert vil bety at de andre enhetene som har tjenester som blir avslørt vil bli beskyttet. Det sikrer også at du får tilgang til disse ressursene fra hvor som helst i verden. Husk å feire med kaffe, sjokolade eller begge deler. De grunnleggende trinnene vi har dekket var:

  • Sett opp dynamisk DNS
  • Videresend en ekstern port til en intern port
  • Lag en tunnel for å få tilgang til en lokal ressurs

Trenger du tilgang til lokale ressurser fra internett? Bruker du for øyeblikket et VPN for å oppnå dette? Har du brukt SSH -tunneler før?

Bildekreditt: TopVectors/ Depositphotos

Dele Dele kvitring E -post 3 måter å sjekke om en e -post er ekte eller falsk

Hvis du har mottatt en e -post som ser litt tvilsom ut, er det alltid best å sjekke ektheten. Her er tre måter å fortelle om en e -post er ekte.

Les neste Relaterte temaer
  • Linux
  • Sikkerhet
  • Online sikkerhet
  • Linux
Om forfatteren Yusuf Limalia(49 artikler publisert)

Yusuf ønsker å leve i en verden fylt med innovative virksomheter, smarttelefoner som følger med mørk stekt kaffe og datamaskiner som har hydrofobe kraftfelt som i tillegg avviser støv. Som forretningsanalytiker og utdannet ved Durban University of Technology, med over 10 års erfaring i en raskt voksende teknologiindustri, liker han å være mellommannen mellom tekniske og ikke -tekniske mennesker og hjelpe alle med å komme i fart med blødende teknologi.

Mer fra Yusuf Limalia

Abonner på vårt nyhetsbrev

Bli med i vårt nyhetsbrev for tekniske tips, anmeldelser, gratis ebøker og eksklusive tilbud!

Klikk her for å abonnere