Forside Linux Beskyt dit netværk med en Bastion-vært i blot 3 trin

Beskyt dit netværk med en Bastion-vært i blot 3 trin

  • Harry James
  • 0
  • 2170
  • 459
Reklame

Har du maskiner på dit interne netværk, som du har brug for adgang fra omverdenen? Det kan være løsningen at bruge en bastion-vært som portvagt til dit netværk.

Hvad er en Bastion-vært?

Bastion oversætter bogstaveligt talt til et sted, der er befæstet. I computermæssig henseende er det en maskine på dit netværk, der kan være portvagten til indgående og udgående forbindelser.

Du kan indstille din bastion-vært som den eneste maskine, der kan acceptere indgående forbindelser fra internettet. Derefter skal du indstille alle andre maskiner på dit netværk til kun at modtage indgående forbindelser fra din bastion vært. Hvilke fordele har dette?

Ud over alt andet, sikkerhed. Bastionvært kan, som navnet antyder, have meget stram sikkerhed. Det vil være den første forsvarslinje mod enhver indtrængende og sikre, at resten af ​​dine maskiner er beskyttet.

Det gør også andre dele af dit netværksopsætning lettere. I stedet for at videresende porte på routerniveau, skal du blot videresende en indgående port til din bastion vært. Derfra kan du forgrene dig til andre maskiner, du har brug for adgang til på dit private netværk. Frygt ikke for, dette vil blive dækket i det næste afsnit.

Diagrammet

Dette er et eksempel på en typisk netværksopsætning. Hvis du har brug for adgang til dit hjemmenetværk udefra, kommer du ind via internettet. Din router videresender derefter forbindelsen til din bastion-vært. Når du er tilsluttet din bastion vært, vil du kunne få adgang til andre maskiner på dit netværk. Ligeledes vil der ikke være adgang til andre maskiner end bastionsværten direkte fra internettet.

Nok udsættelse, tid til at bruge bastion.

1. Dynamisk DNS

Den skrøbelige blandt jer har måske spekuleret på, hvordan det ville få adgang til din router via internettet via internettet. De fleste internetudbydere (ISP) tildeler dig en midlertidig IP-adresse, der skifter så ofte. Internetudbydere har en tendens til at opkræve ekstra, hvis du ønsker en statisk IP-adresse. Den gode nyhed er, at moderne routere har tendens til at have dynamisk DNS bagt i deres indstillinger.

Dynamisk DNS opdaterer dit værtsnavn med din nye IP-adresse med bestemte intervaller, hvilket sikrer, at du altid kan få adgang til dit hjemmenetværk. Der er mange udbydere, der tilbyder nævnte service, hvoraf den ene er No-IP, der endda har et gratis niveau. Vær opmærksom på, at det frie lag kræver, at du bekræfter dit værtsnavn en gang hver 30. dag. Det er bare en 10-sekunders proces, som de alligevel minder om at gøre.

Når du har tilmeldt dig, skal du blot oprette et værtsnavn. Dit værtsnavn skal være unikt, og det er det. Hvis du ejer en Netgear-router, tilbyder de en gratis dynamisk DNS, som ikke kræver en månedlig bekræftelse.

Log nu på din router, og kig efter den dynamiske DNS-indstilling. Dette vil afvige fra router til router, men hvis du ikke finder det lurer under avancerede indstillinger, skal du kontrollere producentens brugermanual. De fire indstillinger, du typisk skal indtaste, vil være:

  1. Udbyderen
  2. Domænenavn (det værtsnavn, du lige har oprettet)
  3. Login navn (den e-mail-adresse, der blev brugt til at oprette din dynamiske DNS)
  4. Adgangskode

Hvis din router ikke har en dynamisk DNS-indstilling, indeholder No-IP software, som du kan installere på din lokale maskine for at opnå det samme resultat. Denne maskine skal være online for at holde den dynamiske DNS opdateret.

2. Videresendelse af port eller omdirigering

Routeren skal nu vide, hvor den indgående forbindelse skal videresendes. Det gør dette baseret på det portnummer, der er på den indgående forbindelse. En god praksis her er at ikke bruge standard SSH-porten, som er 22, til den offentligt stillede havn.

Årsagen til ikke at bruge standardporten er fordi hackere har dedikerede portniffere. Disse værktøjer tjekker konstant for kendte porte, der muligvis er åbne på dit netværk. Når de først har fundet ud af, at din router accepterer forbindelser på en standardport, begynder de at sende forbindelsesanmodninger med almindelige brugernavne og adgangskoder.

Selvom valg af en tilfældig port ikke stopper de ondartede sniffere helt, vil det drastisk reducere antallet af anmodninger, der kommer til din router. Hvis din router kun kan videresende den samme port, er det ikke et problem, da du skulle indstille din bastion-vært til at bruge SSH-nøglepar-godkendelse og ikke brugernavne og adgangskoder.

En routers indstillinger skal se lignende ud:

  1. Servicenavnet, der kan være SSH
  2. Protokol (skal indstilles til TCP)
  3. Offentlig havn (skal være en høj havn, der ikke er 22, brug 52739)
  4. Privat IP (IP-adressen for din bastion-vært)
  5. Privat port (standard SSH-port, som er 22)

Bastionen

Det eneste, din bastion har brug for, er SSH. Hvis dette ikke blev valgt på installationstidspunktet, skal du blot indtaste:

sudo apt install OpenSSH-klient sudo apt install OpenSSH-server

Når SSH er installeret, skal du sørge for at indstille din SSH-server til at autentificere med nøgler i stedet for adgangskoder Sådan autentificeres over SSH med nøgler i stedet for adgangskoder Sådan autentificeres over SSH med nøgler i stedet for adgangskoder SSH er en fantastisk måde at få fjernadgang til din computer. Når du åbner portene på din router (port 22 for at være nøjagtig) kan du ikke kun få adgang til din SSH-server indeni…. Sørg for, at din bastionhost IP er den samme som sættet i porten fremad-reglen ovenfor.

Vi kan køre en hurtig test for at sikre, at alt fungerer. For at simulere at være uden for dit hjemmenetværk kan du bruge din smarte enhed som et hotspot Hotspot-kontrol: Brug din Android som en trådløs router Hotspot-kontrol: Brug din Android som en trådløs router Brug af din Android-enhed som et hotspot er en fantastisk måde at dele dine mobildata med dine andre enheder som en bærbar computer eller tablet - og det er super nemt! mens det er på mobildata. Åbn en terminal og skriv, erstattes med brugernavnet på en konto på din bastion vært og med adresseopsætningen i trin A ovenfor:

ssh -p 52739 @

Hvis alt blev konfigureret korrekt, skulle du nu se terminalvinduet til din bastion vært.

3. Tunneling

Du kan tunnelre næsten alt gennem SSH (inden for grund). Hvis du f.eks. Ville have adgang til en SMB-del på dit hjemmenetværk fra internettet, skal du oprette forbindelse til din bastion-vært og åbne en tunnel til SMB-delen. Udfør denne trolddom ved blot at køre denne kommando:

ssh -L 15445 :: 445 -p 52739 @

En faktisk kommando ville se ud som:

ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected]

Det er let at nedbryde denne kommando. Dette opretter forbindelse til kontoen på din server gennem din routers eksterne SSH-port 52739. Al lokal trafik, der sendes til port 15445 (en vilkårlig port), sendes gennem tunnelen og videresendes derefter til maskinen med IP-adressen 10.1.2.250 og SMB port 445.

Hvis du ønsker at blive rigtig smart, kan vi alias hele kommandoen ved at skrive:

alias sss = "ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected]"

Nu skal du indtaste terminal i alt sss, og bob er din onkel.

Når forbindelsen er oprettet, kan du få adgang til din SMB-del med adressen:

smb: // localhost: 15445

Dette betyder, at du kan gennemse den lokale deling fra internettet, som om du var på det lokale netværk. Som nævnt kan du stort set gå ind i noget med SSH. Selv Windows-maskiner, der har aktiveret fjernskrivebord, kan fås via en SSH-tunnel Sådan tunneler du webtrafik med SSH Secure Shell Sådan tunneler du webtrafik med SSH Secure Shell .

Sæt hætten

Denne artikel dækkede meget mere end bare en bastion vært, og du har gjort det godt for at nå det så langt. At have en bastion-vært betyder, at de andre enheder, der har tjenester, der er udsat, vil blive beskyttet. Det sikrer også, at du kan få adgang til disse ressourcer overalt i verden. Sørg for at fejre med kaffe, chokolade eller begge dele. De grundlæggende trin, vi har dækket, var:

  • Opret dynamisk DNS
  • Videresend en ekstern port til en intern port
  • Opret en tunnel for at få adgang til en lokal ressource

Har du brug for adgang til lokale ressourcer fra internettet? Bruger du i øjeblikket en VPN til at opnå dette? Har du brugt SSH-tunneler før?

Billedkredit: TopVectors / Depositphotos




Endnu ingen kommentarer

6 måder at bruge GoPro-kameraer, der ikke involverer ekstremsport
Kreativ
Alt hvad du behøver for at begynde at lave Webcomics gratis
Kreativ
Hvad er EXIF-data? 3 måder til at fjerne metadata fra fotos
Kreativ
Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.