Защитите свою сеть с помощью хоста Bastion всего за 3 шага

Защитите свою сеть с помощью хоста Bastion всего за 3 шага

У вас есть машины во внутренней сети, к которым вам нужен доступ из внешнего мира? Решением может быть использование хоста-бастиона в качестве привратника для вашей сети.





Что такое бастионное войско?

Бастион буквально переводится как укрепленное место. С компьютерной точки зрения, это машина в вашей сети, которая может быть привратником для входящих и исходящих соединений.



Вы можете установить свой бастионный хост как единственную машину, принимающую входящие соединения из Интернета. Затем, в свою очередь, настройте все остальные машины в вашей сети так, чтобы они принимали только входящие соединения от вашего хоста-бастиона. Какие преимущества у этого есть?





Помимо всего прочего, безопасность. Хост-бастион, как следует из названия, может иметь очень строгую безопасность. Это будет первая линия защиты от любых злоумышленников и обеспечение защиты остальных ваших машин.

Это также немного упрощает настройку других частей вашей сети. Вместо перенаправления портов на уровне маршрутизатора вам просто нужно перенаправить один входящий порт на ваш хост-бастион. Оттуда вы можете перейти к другим машинам, к которым вам нужен доступ в вашей частной сети. Не бойтесь, об этом мы поговорим в следующем разделе.



Диаграмма

Это пример типичной настройки сети. Если вам нужен доступ к вашей домашней сети извне, вы можете войти через Интернет. Затем ваш маршрутизатор перенаправит это соединение на ваш хост-бастион. После подключения к вашему бастионному хосту вы сможете получить доступ к любым другим машинам в вашей сети. Точно так же не будет доступа к машинам, кроме хоста-бастиона, напрямую из Интернета.

Хватит промедления, пора использовать бастион.



1. Динамический DNS

Проницательные из вас, возможно, задавались вопросом, как получить доступ к вашему домашнему маршрутизатору через Интернет. Большинство интернет-провайдеров (ISP) назначают вам временный IP-адрес, который время от времени меняется. Интернет-провайдеры, как правило, взимают дополнительную плату, если вам нужен статический IP-адрес. Хорошей новостью является то, что современные маршрутизаторы, как правило, имеют динамический DNS, встроенный в их настройки.

Динамический DNS обновляет ваше имя хоста с вашим новым IP-адресом через заданные промежутки времени, гарантируя, что вы всегда можете получить доступ к своей домашней сети. Есть много провайдеров, которые предлагают эту услугу, одним из которых является No-IP, у которого даже есть бесплатный уровень . Имейте в виду, что уровень бесплатного пользования потребует от вас подтверждения имени хоста каждые 30 дней. Это всего лишь 10-секундный процесс, который они все равно напоминают.



После регистрации просто создайте имя хоста. Ваше имя хоста должно быть уникальным, и все. Если у вас есть маршрутизатор Netgear, они предлагают бесплатный динамический DNS, который не требует ежемесячного подтверждения.

ты можешь играть в игры для PS4 на PS3?

Теперь войдите в свой маршрутизатор и найдите настройку динамического DNS. Это будет отличаться от маршрутизатора к маршрутизатору, но если вы не обнаружите, что это скрывается в расширенных настройках, обратитесь к руководству пользователя вашего производителя. Обычно вам нужно ввести четыре параметра:

  1. Провайдер
  2. Доменное имя (имя хоста, которое вы только что создали)
  3. Имя для входа (адрес электронной почты, используемый для создания вашего динамического DNS)
  4. Пароль

Если ваш маршрутизатор не имеет настройки динамического DNS, No-IP предоставляет программное обеспечение, которое вы можете установить на свой локальный компьютер для достижения того же результата. Этот компьютер должен быть в сети, чтобы поддерживать динамический DNS в актуальном состоянии.

2. Перенаправление или перенаправление портов.

Теперь маршрутизатору необходимо знать, куда перенаправить входящее соединение. Это делается на основе номера порта входящего соединения. Хорошая практика здесь - не использовать порт SSH по умолчанию, который равен 22, для общедоступного порта.

Причина того, что порт по умолчанию не используется, заключается в том, что у хакеров есть специальные анализаторы портов. Эти инструменты постоянно проверяют известные порты, которые могут быть открыты в вашей сети. Как только они обнаруживают, что ваш маршрутизатор принимает соединения через порт по умолчанию, они начинают отправлять запросы на соединение с общими именами пользователей и паролями.

Хотя выбор случайного порта не остановит злонамеренных снифферов в целом, он резко сократит количество запросов, поступающих на ваш маршрутизатор. Если ваш маршрутизатор может перенаправлять только один и тот же порт, это не проблема, так как вы должны настроить свой бастионный хост на использование аутентификации по паре ключей SSH, а не на имена пользователей и пароли.

Настройки роутера должны выглядеть примерно так:

  1. Имя службы, которое может быть SSH
  2. Протокол (должен быть TCP)
  3. Общественный порт (должен быть высокий порт, отличный от 22, используйте 52739)
  4. Частный IP (IP вашего хоста-бастиона)
  5. Частный порт (порт SSH по умолчанию, 22)

Бастион

Единственное, что понадобится вашему бастиону, - это SSH. Если это не было выбрано во время установки, просто введите:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

После установки SSH убедитесь, что ваш SSH-сервер настроен на аутентификацию с использованием ключей, а не паролей. Убедитесь, что IP-адрес вашего хоста-бастиона такой же, как и в правиле переадресации портов выше.

Мы можем провести быстрый тест, чтобы убедиться, что все работает. Чтобы имитировать нахождение за пределами домашней сети, вы можете используйте свое смарт-устройство в качестве точки доступа пока он на мобильных данных. Откройте терминал и введите, заменив его именем пользователя учетной записи на вашем хосте-бастионе и настройкой адреса на шаге A выше:

ssh -p 52739 @

Если все было настроено правильно, теперь вы должны увидеть окно терминала вашего хоста-бастиона.

3. Туннелирование

Вы можете туннелировать что угодно через SSH (в разумных пределах). Например, если вы хотите получить доступ к общему ресурсу SMB в вашей домашней сети из Интернета, подключитесь к хосту-бастиону и откройте туннель к общему ресурсу SMB. Выполните это колдовство, просто выполнив эту команду:

ssh -L 15445::445 -p 52739 @

Фактическая команда будет выглядеть примерно так:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Разбить эту команду несложно. Это подключается к учетной записи на вашем сервере через внешний SSH-порт 52739 вашего маршрутизатора. Любой локальный трафик, отправляемый на порт 15445 (произвольный порт), будет отправлен через туннель, а затем перенаправлен на машину с IP-адресом 10.1.2.250 и SMB. порт 445.

Если вы хотите стать действительно умным, мы можем создать псевдоним всей команды, набрав:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Теперь все, что вам нужно ввести в терминал sss , и Боб твой дядя.

Как только соединение будет установлено, вы сможете получить доступ к общему ресурсу SMB по адресу:

smb://localhost:15445

Это означает, что вы сможете просматривать этот локальный общий ресурс из Интернета, как если бы вы были в локальной сети. Как уже упоминалось, с помощью SSH вы можете в значительной степени туннелировать во что угодно. Даже к компьютерам Windows, на которых включен удаленный рабочий стол, можно получить доступ через туннель SSH.

Резюме

Эта статья охватывает гораздо больше, чем просто хост-бастион, и вы хорошо поработали, чтобы зайти так далеко. Наличие хоста-бастиона будет означать, что другие устройства, на которых есть открытые службы, будут защищены. Это также гарантирует, что вы можете получить доступ к этим ресурсам из любой точки мира. Обязательно отпразднуйте это кофе, шоколадом или и тем, и другим. Мы рассмотрели следующие основные шаги:

  • Настроить динамический DNS
  • Перенаправить внешний порт на внутренний порт
  • Создайте туннель для доступа к локальному ресурсу

Вам нужен доступ к локальным ресурсам из Интернета? Используете ли вы в настоящее время для этого VPN? Вы раньше использовали туннели SSH?

Кредит изображения: TopVectors / Depositphotos

Делиться Делиться Твитнуть Эл. адрес 3 способа проверить, является ли электронное письмо настоящим или поддельным

Если вы получили письмо, которое выглядит немного сомнительным, всегда лучше проверить его подлинность. Вот три способа узнать, настоящее ли электронное письмо.

Читать далее Похожие темы
  • Linux
  • Безопасность
  • Интернет-безопасность
  • Linux
Об авторе Юсуф Лималия(Опубликовано 49 статей)

Юсуф хочет жить в мире, наполненном инновационными предприятиями, смартфонами, которые идут в комплекте с кофе темной обжарки, и компьютерами с гидрофобными силовыми полями, которые дополнительно отталкивают пыль. Будучи бизнес-аналитиком и выпускником Технологического университета Дурбана, с более чем 10-летним опытом работы в быстрорастущей технологической индустрии, он любит быть посредником между техническими и нетехническими людьми и помогать всем осваивать новейшие технологии.

Ещё от Yusuf Limalia

Подписывайтесь на нашу новостную рассылку

Подпишитесь на нашу рассылку технических советов, обзоров, бесплатных электронных книг и эксклюзивных предложений!

Нажмите здесь, чтобы подписаться
Категория Linux