Zaštitite mrežu s bastion hostom u samo 3 koraka

Imate li strojeve u svojoj internoj mreži kojima trebate pristupiti iz vanjskog svijeta? Korištenje bastion hosta kao vratara za vašu mrežu može biti rješenje.

Što je Bastion Host?

Bastion se prevodi doslovno na utvrđeno mjesto. U računalnom smislu, stroj na vašoj mreži može biti vratar za dolazne i odlazne veze.

Svoj bastion host možete postaviti kao jedini uređaj koji prihvaća dolazne veze s interneta. Zatim zauzvrat podesite sve ostale uređaje na vašoj mreži kako bi primali dolazne veze samo od svog bastion hosta. Kakve koristi od toga ima?

Iznad svega ostalog, sigurnost. Bastion host, kao što mu ime i govori, može imati vrlo čvrste sigurnosti. To će biti prva linija obrane od uljeza i osigurati zaštitu ostalih strojeva.

To također čini druge dijelove vašeg mrežnog postavljanja malo lakšim. Umjesto prosljeđivanja portova na razini usmjerivača, morate samo jedan ulazni port proslijediti svom bastion hostu. Odatle se možete odvojiti na druge strojeve kojima trebate pristup na vašoj privatnoj mreži. Ne bojte se, to ćemo opisati u sljedećem odjeljku.

Dijagram

Ovo je primjer tipičnog mrežnog postava. Ako trebate pristup svojoj kućnoj mreži izvana, ući ćete putem interneta. Nakon toga vaš usmjerivač prosljeđuje tu vezu vašem host bastionu. Jednom kada se povežete s domaćinom bastiona, moći ćete pristupiti svim ostalim strojevima u vašoj mreži. Jednako tako neće biti pristupa strojevima koji nisu bastion host izravno s interneta.

Dosta odugovlačenja, vrijeme je za upotrebu bastiona.

1. Dinamički DNS

Čvrsti među vama možda su se pitali kako dobiti pristup vašem kućnom usmjerivaču putem interneta. Većina davatelja internetskih usluga dodijeli vam privremenu IP adresu koja se mijenja tako često. Davatelji internetskih usluga obično dodatno naplaćuju ako želite statičku IP adresu. Dobra vijest je da suvremeni usmjerivači imaju tendenciju da im dinamički DNS bude ugrađen u njihove postavke.

Dynamic DNS ažurira ime vašeg domaćina novom IP adresom u zadanim intervalima, osiguravajući vam da uvijek možete pristupiti svojoj kućnoj mreži. Postoji mnogo pružatelja usluga koji nude navedenu uslugu, od kojih je jedan No-IP koji ima čak i besplatni nivo. Budite svjesni da će za besplatni sloj trebati da potvrdite svoje ime domaćina jednom svakih 30 dana. To je samo proces koji traje 10 sekundi, na što podsjećaju da ionako rade.

Nakon što se prijavite, jednostavno stvorite ime računala. Vaše ime domaćina mora biti jedinstveno i to je to. Ako imate Netgear usmjerivač, nude besplatan dinamički DNS za koji neće biti potrebna mjesečna potvrda.

Sada se prijavite na usmjerivač i potražite postavke dinamičkog DNS-a. To će se razlikovati od usmjerivača do rutera, ali ako vam se ne učini da zaostaje pod naprednim postavkama, provjerite korisnički priručnik svog proizvođača. Četiri postavke koje obično trebate unijeti bit će:

1. Pružatelja usluga
2. Naziv domene (naziv domaćina koji ste upravo stvorili)
3. Naziv za prijavu (adresa e-pošte koja se koristi za stvaranje vašeg dinamičkog DNS-a)
4. Zaporka

Ako vaš usmjerivač nema dinamičku postavku DNS-a, No-IP nudi softver koji možete instalirati na svoj lokalni stroj za postizanje istog rezultata. Ovaj će stroj morati biti na mreži kako bi ažurirani dinamički DNS bio aktivan.

2. Prosljeđivanje ili preusmjeravanje luka

Ruter sada mora znati kamo proslijediti dolaznu vezu. To radi na temelju broja priključka koji se nalazi na dolaznoj vezi. Dobra praksa je da se ne koriste zadani SSH priključak, koji je 22, za vrata otvorena za javnost.

Razlog ne korištenju zadanih priključaka je taj što su hakeri namjenski njušili luke. Ovi alati neprestano provjeravaju postoje li dobro poznati portovi koji mogu biti otvoreni na vašoj mreži. Nakon što utvrde da vaš usmjerivač prihvaća veze na zadanom priključku, počinju slati zahtjeve za povezivanje s uobičajenim korisničkim imenima i lozinkama.

Iako odabirom slučajnog ulaza neće se potpuno zaustaviti zloćudni njušci, to će drastično smanjiti broj zahtjeva koji dolaze na vaš usmjerivač. Ako vaš usmjerivač može proslijediti isti port, to nije problem, jer biste trebali postaviti glavnog bastion-a da koristi SSH provjeru ključa, a ne korisnička imena i lozinke..

Postavke usmjerivača trebaju izgledati slično ovome:

1. Naziv usluge koji može biti SSH
2. Protokol (treba postaviti TCP)
3. Javna luka (trebao bi biti visoki port koji nije 22, koristite 52739)
4. Privatni IP (IP vašeg bastion domaćina)
5. Privatni port (zadani SSH priključak, 22)

Bastion

Jedino što će vam bastion trebati je SSH. Ako to nije odabrano u vrijeme instalacije, jednostavno upišite:

sudo apt instalirati OpenSSH-klijent sudo apt instalirati OpenSSH-poslužitelj

Jednom kada je SSH instaliran, obavezno postavite svoj SSH poslužitelj za autentifikaciju s ključevima umjesto lozinkama. Kako se provjeriti autentičnost preko SSH s tipkama umjesto lozinke Kako se autentificirati preko SSH pomoću tipki? Umjesto lozinke SSH je odličan način za daljinski pristup vašem Računalo. Kad otvorite portove na usmjerivaču (ulaz 22 da budemo precizni), ne možete pristupati SSH poslužitelju samo iznutra…. Uvjerite se da je IP vašeg domaćina bastion isti kao onaj postavljen u gore navedenom pravilu za naprijed.

Možemo pokrenuti brzi test kako bismo bili sigurni da sve radi. Da biste simulirali da se nalazite izvan svoje kućne mreže, svoj pametni uređaj možete koristiti kao kontrolu pristupne točke: Koristite svoj Android kao bežičnu usmjerivač Kontrola žarišne točke: Koristite svoj Android kao bežični usmjerivač Korištenje Android uređaja kao pristupne točke odličan je način za dijeljenje svoje mobilne podatke s drugim uređajima poput prijenosnog računala ili tableta - i to je vrlo jednostavno! dok je na mobilnim podacima. Otvorite terminal i upišite zamijenivši korisničko ime računa na vašem bastion hostu i postavljanjem adrese u gornjem koraku A:

ssh -p 52739 @

Ako je sve ispravno postavljeno, sada biste trebali vidjeti prozor terminala vašeg bastion domaćina.

3. Tuneliranje

Putem SSH-a (unutar razloga) možete tunelirati gotovo sve. Na primjer, ako želite putem Interneta pristupiti udjelu SMB-a u svojoj kućnoj mreži, povežite se s domaćinom bastiona i otvorite tunel za dionicu SMB-a. Izvršite ovu čaroliju jednostavnim pokretanjem ove naredbe:

ssh -L 15445 :: 445 -p 52739 @

Stvarna naredba izgledala bi poput:

ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected] 

Razbijanje ove naredbe je jednostavno. Ovo se povezuje s računom na vašem poslužitelju preko vanjskog SSH priključka vašeg usmjerivača 52739. Sav lokalni promet poslan u priključak 15445 (proizvoljni priključak) bit će poslan kroz tunel, zatim proslijeđen na uređaj s IP 10.1.2.250 i SMB. luka 445.

Ako želite postati jako pametni, cijelu zapovijed možemo dodijeliti upisivanjem:

alias sss = "ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected]"

Sada sve što trebate upisati u terminal sss, a bob je tvoj ujak.

Nakon uspostavljanja veze, možete pristupiti svom SMB udjelu s adresom:

SMB: // localhost: 15445 

To znači da ćete moći pregledavati taj lokalni dio s interneta kao da ste na lokalnoj mreži. Kao što je spomenuto, s SSH-om možete prilično ući u bilo što. Čak se i Windows računalima s omogućenom udaljenom radnom površinom može pristupiti preko SSH tunela. Kako se tuneli web promet sa SSH sigurnom školjkom Kako se tuneli web promet sa SSH sigurnom školjkom .

Rekapitulacija

Ovaj je članak obuhvatio puno više od samo domaćina bastiona, a dobro ste učinili da ste ga do sada postigli. Imati bastion host znači da će ostali uređaji koji imaju izložene usluge biti zaštićeni. Također osigurava da tim resursima možete pristupiti s bilo kojeg mjesta na svijetu. Svakako proslavite uz kavu, čokoladu ili oboje. Osnovni koraci koje smo pokrili bili su:

• Postavljanje dinamičkog DNS-a
• Proslijedite vanjski priključak na unutarnji
• Stvorite tunel za pristup lokalnom resursu

Trebate li pristupiti lokalnim resursima s interneta? Koristite li trenutno VPN da biste to postigli? Jeste li prije koristili SSH tunele?

Kreditna slika: TopVectors / Depositphotos