Chraňte svou síť pomocí hostitele Bastionu pouhými 3 kroky

Máte ve své vnitřní síti stroje, ke kterým potřebujete přístup z vnějšího světa? Řešením může být použití hostitele bastionu jako strážce vaší sítě.

Co je host Bastion?

Bastion se doslova promítá do opevněného místa. Z počítačového hlediska se jedná o stroj ve vaší síti, který může být bránou pro příchozí a odchozí připojení.

Hostitele bastionu můžete nastavit jako jediný stroj, který přijímá příchozí připojení z internetu. Poté zase nastavte všechny ostatní počítače v síti tak, aby přijímaly pouze příchozí připojení od vašeho hostitele bastionu. Jaké výhody to má?

Přes všechno ostatní, bezpečnost. Hostitel bašta, jak název napovídá, může mít velmi přísné zabezpečení. Bude to první obranná linie proti vetřelcům a zajistí, že ostatní stroje budou chráněny.

To také mírně usnadní další části nastavení sítě. Namísto předávání portů na úrovni routeru stačí postoupit jeden příchozí port vašemu hostiteli bašta. Odtud můžete odbočit na jiné stroje, ke kterým potřebujete přístup ve vaší soukromé síti. Neboj se, to bude popsáno v následující sekci.

Diagram

Toto je příklad typického nastavení sítě. Pokud potřebujete přístup k vaší domácí síti zvenku, přišli byste přes internet. Váš směrovač pak toto spojení předá vašemu hostiteli bašta. Po připojení k hostiteli vaší bašty budete mít přístup k dalším strojům ve vaší síti. Rovněž nebude existovat žádný přístup k jiným strojům než hostům bastionů přímo z internetu.

Dostatek otálení, čas na použití bašty.

1. Dynamický DNS

Byli jste mezi vámi přemýšleli, jak získat přístup k domácímu routeru přes internet. Většina poskytovatelů internetových služeb (ISP) vám přidělí dočasnou IP adresu, která se mění tak často. Poskytovatelé internetových služeb mají sklon účtovat si navíc, pokud chcete statickou IP adresu. Dobrou zprávou je, že moderní dne směrovače mají tendenci mít pečený dynamický DNS do jejich nastavení.

Dynamický DNS aktualizuje vaše jméno hostitele vaší novou IP adresou v nastavených intervalech, což zajišťuje, že budete mít vždy přístup k domácí síti. Existuje mnoho poskytovatelů, kteří nabízejí uvedené služby, z nichž jeden je No-IP, který má dokonce volnou úroveň. Uvědomte si, že bezplatná úroveň vyžaduje, abyste své hostitelské jméno potvrdili jednou za 30 dní. Je to jen 10-sekundový proces, který stejně připomínají.

Po registraci jednoduše vytvořte název hostitele. Vaše jméno hostitele bude muset být jedinečné a to je vše. Pokud vlastníte router Netgear, nabízí bezplatný dynamický DNS, který nevyžaduje měsíční potvrzení.

Nyní se přihlaste ke směrovači a vyhledejte dynamické nastavení DNS. To se bude lišit od routeru k routeru, ale pokud to neshledáte pod pokročilým nastavením, podívejte se do uživatelské příručky výrobce. Obvykle musíte zadat čtyři nastavení:

1. Poskytovatel
2. Název domény (název hostitele, který jste právě vytvořili)
3. Přihlašovací jméno (e-mailová adresa použitá k vytvoření dynamického DNS)
4. Heslo

Pokud váš router nemá dynamické nastavení DNS, No-IP poskytuje software, který můžete nainstalovat do místního počítače, abyste dosáhli stejného výsledku. Tento stroj bude muset být online, aby byl dynamický DNS aktuální.

2. Přesměrování nebo přesměrování portů

Směrovač nyní potřebuje vědět, kam má příchozí připojení přeposlat. Dělá to na základě čísla portu, které je na příchozím připojení. Dobrou praxí je nepoužít výchozí port SSH (22) pro veřejně přístupný port.

Důvod, proč není výchozí port použit, je ten, že hackeři mají vyhrazené čichače portů. Tyto nástroje neustále kontrolují známé porty, které mohou být ve vaší síti otevřené. Jakmile zjistí, že váš router přijímá připojení na výchozím portu, začnou odesílat žádosti o připojení s běžnými uživatelskými jmény a hesly.

Výběr náhodného portu nezastaví úplně zhoubné čichače, ale drasticky sníží počet požadavků na router. Pokud váš směrovač může přeposlat pouze stejný port, není to problém, protože byste měli nastavit hostitele vaší bašty tak, aby používal autentizaci pomocí klíče SSH, nikoli uživatelská jména a hesla.

Nastavení routeru by mělo vypadat podobně jako toto:

1. Název služby, kterým může být SSH
2. Protokol (měl by být nastaven na TCP)
3. Veřejný port (měl by to být vysoký port, který není 22, použijte 52739)
4. Soukromá IP (IP vašeho hostitele bastionu)
5. Soukromý port (výchozí port SSH, který je 22)

Bašta

Jediná věc, kterou vaše bašta bude potřebovat, je SSH. Pokud to nebylo při instalaci vybráno, jednoduše zadejte:

sudo apt install OpenSSH-client sudo apt install OpenSSH-server

Po instalaci SSH nezapomeňte nastavit server SSH tak, aby se autentizoval pomocí klíčů namísto hesel. Jak autentizovat pomocí SSH pomocí klíčů namísto hesel Jak autentizovat pomocí SSH pomocí klíčů namísto hesel SSH je skvělý způsob, jak získat vzdálený přístup k vašim počítač. Když otevřete porty na routeru (přesněji port 22), nemůžete přistupovat pouze k SSH serveru zevnitř…. Ujistěte se, že IP vašeho hostitele bastionu je shodná s IP nastavenou ve výše uvedeném pravidle pro předávání portů.

Můžeme provést rychlý test, abychom se ujistili, že všechno funguje. Chcete-li simulovat, že jste mimo domovskou síť, můžete své chytré zařízení použít jako ovládání hotspotu Hotspot: Používejte Android jako bezdrátový směrovač Hotspot Control: Používejte Android jako bezdrátový směrovač Použití zařízení Android jako hotspot je skvělý způsob, jak sdílet vaše mobilní data s dalšími zařízeními, jako je notebook nebo tablet - a je to super snadné! zatímco je to na mobilních datech. Otevřete terminál a zadejte jeho nahrazení uživatelským jménem účtu na hostiteli vaší bašty a nastavením adresy v kroku A výše:

ssh -p 52739 @

Pokud bylo vše správně nastaveno, měli byste nyní vidět okno terminálu hostitele vaší bašty.

3. Tunelování

Prostřednictvím SSH (v rozumném smyslu) můžete tunovat téměř cokoli. Pokud například chcete získat přístup ke sdílené složce SMB ve vaší domácí síti z internetu, připojte se k hostiteli vaší bašty a otevřete tunel ke sdílené položce SMB. Spusťte tento čarodějnictví jednoduše spuštěním tohoto příkazu:

ssh -L 15445 :: 445 -p 52739 @

Skutečný příkaz by vypadal asi takto:

ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected] 

Rozdělení tohoto příkazu je snadné. To se připojí k účtu na vašem serveru přes externí port SSH 52739 vašeho routeru. Jakýkoli místní přenos odeslaný na port 15445 (libovolný port) bude odeslán tunelem a poté předán do počítače s IP 10.1.2.250 a SMB port 445.

Pokud chcete být opravdu chytří, můžeme alias celý příkaz zadáním:

alias sss = "ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected]"

Nyní musíte zadat pouze terminál sss, a bob je tvůj strýc.

Po navázání spojení získáte přístup ke sdílené složce SMB s adresou:

smb: // localhost: 15445 

To znamená, že budete moci procházet místní sdílenou složku z Internetu, jako byste byli v místní síti. Jak již bylo zmíněno, s SSH můžete doopravdy něco tunelovat. I v počítačích se systémem Windows, které mají povolenou vzdálenou plochu, lze přistupovat prostřednictvím tunelu SSH. Jak tunovat webový provoz pomocí SSH Secure Shell .

Shrnout

Tento článek pokrýval mnohem více než jen hostitele bašty, a vy jste si udělali dobře, abyste se dostali daleko. Mít hostitele bašta bude znamenat, že budou chráněna další zařízení, která mají služby, které jsou vystaveny. Zajišťuje také přístup k těmto prostředkům odkudkoli na světě. Nezapomeňte slavit s kávou, čokoládou nebo obojí. Základní kroky, kterými jsme se zabývali, byly:

• Nastavení dynamického DNS
• Přeposlat externí port na interní port
• Vytvořte tunel pro přístup k místním prostředkům

Potřebujete přístup k místním zdrojům z internetu? Používáte v současné době k dosažení tohoto cíle VPN? Použili jste již tunely SSH?

Obrázek Kredit: TopVectors / Depositphotos