Beskyt dit netværk med en Bastion -vært på bare 3 trin

Beskyt dit netværk med en Bastion -vært på bare 3 trin

Har du maskiner på dit interne netværk, som du skal have adgang til fra omverdenen? Brug af en bastion -vært som portvagt til dit netværk kan være løsningen.





Hvad er en Bastion -vært?

Bastion oversættes bogstaveligt til et sted, der er befæstet. Computermæssigt er det en maskine på dit netværk, der kan være portvagt for indgående og udgående forbindelser.



Du kan indstille din bastion -vært som den eneste maskine til at acceptere indgående forbindelser fra internettet. Indstil derefter alle andre maskiner på dit netværk til kun at modtage indgående forbindelser fra din bastionvært. Hvilke fordele har dette?





Frem for alt andet, sikkerhed. Bastionsværten, som navnet antyder, kan have meget stram sikkerhed. Det vil være den første forsvarslinje mod alle ubudne gæster og sikre, at resten af ​​dine maskiner er beskyttet.

Det gør også andre dele af dit netværksopsætning lidt lettere. I stedet for at videresende porte på routerniveau, skal du bare videresende en indgående port til din bastion -vært. Derfra kan du forgrene dig til andre maskiner, du har brug for adgang til på dit private netværk. Frygt ikke, dette vil blive dækket i det næste afsnit.



Diagrammet

Dette er et eksempel på en typisk netværksopsætning. Hvis du har brug for adgang til dit hjemmenetværk udefra, ville du komme ind via internettet. Din router videresender derefter forbindelsen til din bastion -vært. Når du har oprettet forbindelse til din bastion -vært, har du adgang til andre maskiner på dit netværk. Ligeledes vil der ikke være adgang til andre maskiner end bastionsværten direkte fra internettet.

Nok udsættelse, tid til at bruge bastion.



1. Dynamisk DNS

De kloge blandt jer har måske spekuleret på, hvordan de ville få adgang til din hjemmrouter via internettet. De fleste internetudbydere (ISP) tildeler dig en midlertidig IP -adresse, som ændres så ofte. Internetudbydere har en tendens til at opkræve ekstra, hvis du vil have en statisk IP -adresse. Den gode nyhed er, at nutidens routere har en tendens til at have dynamisk DNS bagt ind i deres indstillinger.

Dynamisk DNS opdaterer dit værtsnavn med din nye IP -adresse med bestemte intervaller og sikrer, at du altid kan få adgang til dit hjemmenetværk. Der er mange udbydere, der tilbyder den nævnte service, hvoraf den ene er No-IP, som endda har et gratis niveau . Vær opmærksom på, at det gratis niveau vil kræve, at du bekræfter dit værtsnavn en gang hver 30. dag. Det er bare en 10 sekunders proces, som de minder om at gøre alligevel.



Når du har tilmeldt dig, skal du blot oprette et værtsnavn. Dit værtsnavn skal være unikt, og det er det. Hvis du ejer en Netgear -router, tilbyder de en gratis dynamisk DNS, som ikke kræver en månedlig bekræftelse.

hvordan man ændrer standardkonto på google

Log nu ind på din router, og kig efter den dynamiske DNS -indstilling. Dette vil variere fra router til router, men hvis du ikke finder det lure under avancerede indstillinger, skal du kontrollere producentens brugervejledning. De fire indstillinger, du typisk skal indtaste, er:

  1. Udbyderen
  2. Domænenavn (det værtsnavn, du lige har oprettet)
  3. Loginnavn (e -mailadressen, der bruges til at oprette din dynamiske DNS)
  4. Adgangskode

Hvis din router ikke har en dynamisk DNS-indstilling, giver No-IP software, som du kan installeres på din lokale maskine for at opnå det samme resultat. Denne maskine skal være online for at holde den dynamiske DNS opdateret.

2. Portvideresendelse eller omdirigering

Routeren skal nu vide, hvor den indgående forbindelse skal videresendes. Det gør dette baseret på det portnummer, der er på den indgående forbindelse. En god praksis her er ikke at bruge standard SSH -porten, som er 22, til den offentlige port.

Grunden til ikke at bruge standardporten er, fordi hackere har dedikerede portsniffere. Disse værktøjer søger konstant efter kendte porte, der kan være åbne på dit netværk. Når de finder ud af, at din router accepterer forbindelser på en standardport, begynder de at sende forbindelsesanmodninger med almindelige brugernavne og adgangskoder.

Selvom valg af en tilfældig port ikke helt stopper de ondartede sniffere, reducerer det drastisk antallet af anmodninger, der kommer til din router. Hvis din router kun kan videresende den samme port, er det ikke et problem, da du burde indstille din bastion -vært til at bruge SSH -tastaturgodkendelse og ikke brugernavne og adgangskoder.

En routers indstillinger skal se sådan ud:

  1. Tjenestenavnet, der kan være SSH
  2. Protokol (skal indstilles til TCP)
  3. Offentlig port (skal være en høj port, der ikke er 22, brug 52739)
  4. Privat IP (din bastionsværts IP)
  5. Privat port (standard SSH -port, som er 22)

Bastionen

Det eneste din bastion skal bruge er SSH. Hvis dette ikke blev valgt på installationstidspunktet, skal du blot skrive:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

Når SSH er installeret, skal du sørge for at indstille din SSH -server til at godkende med nøgler i stedet for adgangskoder. Sørg for, at din bastionsværts IP er den samme som den, der er angivet i port forward -reglen ovenfor.

Vi kan køre en hurtig test for at sikre, at alt fungerer. Du kan simulere at være uden for dit hjemmenetværk bruge din smartenhed som et hotspot mens det er på mobildata. Åbn en terminal og skriv, erstat med brugernavnet på en konto på din bastion -vært og med adresseopsætningen i trin A ovenfor:

ssh -p 52739 @

Hvis alt var konfigureret korrekt, skulle du nu se terminalvinduet på din bastionvært.

3. Tunnel

Du kan tunnelere næsten alt via SSH (inden for rimelighedens grænser). For eksempel, hvis du ønskede at få adgang til en SMB -deling på dit hjemmenetværk fra internettet, skal du oprette forbindelse til din bastion -vært og åbne en tunnel til SMB -aktien. Gennemfør denne trolddom blot ved at køre denne kommando:

ssh -L 15445::445 -p 52739 @

En egentlig kommando ville se sådan ud:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Det er let at nedbryde denne kommando. Dette forbinder til kontoen på din server via din routers eksterne SSH -port 52739. Enhver lokal trafik, der sendes til port 15445 (en vilkårlig port), sendes gennem tunnelen og derefter videresendes til maskinen med IP'en 10.1.2.250 og SMB port 445.

Hvis du vil blive virkelig klog, kan vi kalde hele kommandoen ved at skrive:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Nu skal du bare indtaste terminal i sss , og bob er din onkel.

Når forbindelsen er oprettet, kan du få adgang til din SMB -deling med adressen:

smb://localhost:15445

Det betyder, at du vil kunne gennemse den lokale andel fra internettet, som om du var på det lokale netværk. Som nævnt kan du stort set tunnel ind i alt med SSH. Selv Windows -maskiner, der har fjernskrivebord aktiveret, kan tilgås via en SSH -tunnel.

Resumé

Denne artikel dækkede meget mere end bare en bastionsvært, og du har gjort det godt for at nå så langt. At have en bastion -vært vil betyde, at de andre enheder, der har eksponerede tjenester, vil blive beskyttet. Det sikrer også, at du kan få adgang til disse ressourcer overalt i verden. Sørg for at fejre med kaffe, chokolade eller begge dele. De grundlæggende trin, vi har dækket, var:

  • Opsæt dynamisk DNS
  • Videresend en ekstern port til en intern port
  • Opret en tunnel for at få adgang til en lokal ressource

Har du brug for at få adgang til lokale ressourcer fra internettet? Bruger du i øjeblikket en VPN til at opnå dette? Har du brugt SSH -tunneler før?

Billedkredit: TopVectors/ Depositphotos

Del Del Tweet E -mail 3 måder at kontrollere, om en e -mail er ægte eller falsk

Hvis du har modtaget en e -mail, der ser lidt tvivlsom ud, er det altid bedst at kontrollere dens ægthed. Her er tre måder at se, om en e -mail er ægte.

Læs Næste Relaterede emner
  • Linux
  • Sikkerhed
  • Online sikkerhed
  • Linux
Om forfatteren Yusuf Limalia(49 artikler udgivet)

Yusuf ønsker at leve i en verden fyldt med innovative virksomheder, smartphones, der følger med mørkbrændt kaffe og computere, der har hydrofobe kraftfelter, der yderligere afviser støv. Som forretningsanalytiker og kandidat fra Durban University of Technology, med over 10 års erfaring i en hurtigt voksende teknologiindustri, nyder han at være mellemmanden mellem tekniske og ikke -tekniske mennesker og hjælpe alle med at komme i gang med blødende teknologi.

Mere fra Yusuf Limalia

Abonner på vores nyhedsbrev

Tilmeld dig vores nyhedsbrev for at få tekniske tips, anmeldelser, gratis e -bøger og eksklusive tilbud!

Klik her for at abonnere