Beskytt nettverket ditt med en Bastion Host på bare 3 trinn
Har du maskiner på ditt interne nettverk som du trenger for å få tilgang fra omverdenen? Å bruke en bastionvert som gatekeeper til nettverket ditt, kan være løsningen.
Hva er en Bastion Host?
Bastion oversetter bokstavelig talt til et sted som er forsterket. På datamaskinen er det en maskin på nettverket som kan være portvakt for innkommende og utgående tilkoblinger.
Du kan sette bastion-verten som den eneste maskinen for å godta innkommende tilkoblinger fra internett. Sett deretter alle andre maskiner på nettverket, for å motta innkommende tilkoblinger fra bastion-verten din. Hvilke fordeler har dette?
I tillegg til alt annet, sikkerhet. Bastion-verten, som navnet antyder, kan ha veldig stram sikkerhet. Det vil være den første forsvarslinjen mot inntrengere og sørge for at resten av maskinene dine er beskyttet.
Det gjør også andre deler av nettverksoppsettet enklere. I stedet for å videresende porter på ruternivå, trenger du bare å videresende en innkommende port til bastion-verten. Derfra kan du forgrene seg til andre maskiner du trenger tilgang til på ditt private nettverk. Frykt ikke, dette vil bli dekket i neste avsnitt.
Diagrammet
Dette er et eksempel på et typisk nettverksoppsett. Hvis du trenger tilgang til hjemmenettverket fra utsiden, vil du komme inn via internett. Ruteren vil da videresende forbindelsen til bastion-verten din. Når du er koblet til din bastion-vert, vil du kunne få tilgang til alle andre maskiner på nettverket ditt. Tilsvarende vil det ikke være tilgang til andre maskiner enn bastionverten direkte fra internett.
Nok utsatt tid, tid til å bruke bastion.
1. Dynamisk DNS
Den stakkars blant dere har kanskje lurt på hvordan det ville få tilgang til hjemmestyreren din via internett. De fleste internettleverandører (ISP) tilordner deg en midlertidig IP-adresse, som endres så ofte. Internett-leverandører har en tendens til å lade ekstra hvis du vil ha en statisk IP-adresse. Den gode nyheten er at moderne rutere har en tendens til å ha dynamisk DNS bakt inn i sine innstillinger.
Dynamisk DNS oppdaterer vertsnavnet ditt med den nye IP-adressen din med bestemte intervaller, slik at du alltid kan få tilgang til hjemmenettverket. Det er mange leverandører som tilbyr nevnte tjeneste, hvorav den ene er No-IP, som selv har en gratis tier. Vær oppmerksom på at gratis nivået krever at du bekrefter vertsnavnet en gang hver 30. dag. Det er bare en 10-sekunders prosess, som de påminner om å gjøre uansett.
Etter at du har registrert deg, opprett bare et vertsnavn. Ditt vertsnavn må være unikt, og det er det. Hvis du eier en Netgear-router, tilbyr de en gratis, dynamisk DNS som ikke krever en månedlig bekreftelse.
Nå logg inn på ruteren din, og se etter den dynamiske DNS-innstillingen. Dette vil avvike fra ruteren til ruteren, men hvis du ikke finner det lurer under avanserte innstillinger, sjekk produsentens brukerhåndbok. De fire innstillingene du vanligvis må skrive inn, vil være:
- Leverandøren
- Domenenavn (vertsnavnet du nettopp opprettet)
- Innloggingsnavn (e-postadressen som ble brukt til å lage din dynamiske DNS)
- Passord
Hvis ruteren din ikke har en dynamisk DNS-innstilling, gir No-IP programvare som du kan installere på din lokale maskin for å oppnå det samme resultatet. Denne maskinen må være online, for å holde den dynamiske DNS oppdatert.
2. Porter videresending eller omadressering
Ruteren trenger nå å vite hvor du skal videresende innkommende tilkobling. Det gjør dette basert på portnummeret som er på innkommende tilkobling. En god praksis her er ikke å bruke standard SSH-porten, som er 22, for den offentlige porten.
Grunnen til at du ikke bruker standardporten, er fordi hackere har dedikerte portsniffere. Disse verktøyene kontrollerer hele tiden for kjente porter som kan være åpne på nettverket ditt. Når de oppdager at ruteren din godtar tilkoblinger på en standardport, begynner de å sende tilkoblingsforespørsler med vanlige brukernavn og passord.
Mens du velger en tilfeldig port, vil ikke stoppe de ondskapsfulle snifferene, det vil drastisk redusere antall forespørsler som kommer til ruteren din. Hvis ruteren din bare kan videresende samme port, er det ikke noe problem, da du bør sette inn bastion-verten for å bruke SSH-keypair-godkjenning og ikke brukernavn og passord.
En ruters innstillinger bør se ut som dette:
- Tjenestenavnet som kan være SSH
- Protokoll (bør settes til TCP)
- Offentlig port (bør være en høy port som ikke er 22, bruk 52739)
- Privat IP (IP av din bastion-vert)
- Privat port (standard SSH-port, som er 22)
Bastion
Det eneste bastionen trenger, er SSH. Hvis dette ikke ble valgt på installasjonstidspunktet, skriv du bare:
sudo apt installer OpenSSH-klient sudo apt installer OpenSSH-server
Når SSH er installert, må du sørge for å angi SSH-serveren din til å autentisere med nøkler i stedet for passord. Slik godkjenner du over SSH med nøkler i stedet for passord. Slik godkjenner du over SSH med nøkler i stedet for passord. SSH er en fin måte å få fjerntilgang til datamaskin. Når du åpner portene på ruteren din (port 22 for å være nøyaktig), kan du ikke bare få tilgang til SSH-serveren din fra ... Les mer. Kontroller at din bastionverts IP er den samme som den som er angitt i port forward-regelen ovenfor.
Vi kan kjøre en rask test for å sikre at alt fungerer. For å simulere å være utenfor hjemmenettverket kan du bruke smarttelefonen som et hotspot Hotspot Control: Bruk Android som en trådløs ruter Hotspot Control: Bruk Android som en trådløs ruter Bruk din Android-enhet som et hotspot, er en fin måte å dele mobildataene dine med de andre enhetene som en bærbar PC eller nettbrett - og det er super enkelt! Les mer mens det er på mobildata. Åpne en terminal og skriv, erstatte
ssh-p 52739 @
Hvis alt var riktig satt opp, bør du nå se terminalvinduet til bastion-verten.
3. Tunneling
Du kan tunnelere omtrent alt via SSH (innenfor grunn). Hvis du for eksempel vil ha tilgang til en SMB-andel på hjemmenettverket ditt fra Internett, må du koble til bastion-verten og åpne en tunnel til SMB-aksjen. Oppnå denne trollmannen ved å kjøre denne kommandoen:
ssh-L 15445:: 445-p 52739 @
En faktisk kommando vil se ut som:
ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected]
Å bryte ned denne kommandoen er lett. Dette kobles til kontoen på serveren via ruteren sin eksterne SSH-port 52739. Eventuell lokal trafikk sendt til port 15445 (en vilkårlig port) sendes gjennom tunnelen, deretter videresendt til maskinen med IP 10.1.2.250 og SMB port 445.
Hvis du vil bli veldig smart, kan vi alias hele kommandoen ved å skrive:
alias sss = "ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected]"
Nå må du bare skrive inn terminal i sss, og bob er onkelen din.
Når tilkoblingen er gjort, kan du få tilgang til SMB-delen din med adressen:
smb: // localhost: 15445
Dette betyr at du vil kunne bla gjennom den lokale delen fra internett som om du var på det lokale nettverket. Som nevnt, kan du ganske mye tunnel inn i alt med SSH. Selv Windows-maskiner som har eksternt skrivebord aktivert, kan nås via en SSH-tunnel. Hvordan tunnle webtrafikk med SSH Secure Shell. Hvordan tunnle webtrafikk med SSH Secure Shell Les mer .
oppsummering
Denne artikkelen dekket mye mer enn bare en bastion-vert, og du har gjort det bra for å gjøre det så langt. Å ha en bastion vert vil bety at de andre enhetene som har tjenester som blir utsatt, vil bli beskyttet. Det sikrer også at du får tilgang til disse ressursene fra hvor som helst i verden. Husk å feire med kaffe, sjokolade eller begge deler. De grunnleggende trinnene vi har dekket var:
- Konfigurer dynamisk DNS
- Videresend en ekstern port til en intern port
- Opprett en tunnel for å få tilgang til en lokal ressurs
Trenger du tilgang til lokale ressurser fra internett? Bruker du for øyeblikket en VPN for å oppnå dette? Har du brukt SSH-tunneler før?
Bildekreditt: TopVectors / Depositphotos
Utforsk mer om: Linux, Online Security.