Skydda ditt nätverk med en Bastion-värd i bara tre steg

Annons

Har du maskiner i ditt interna nätverk som du behöver åtkomst från omvärlden? Att använda en bastionsvärd som portvakt för ditt nätverk kan vara lösningen.

Vad är en Bastion-värd?

Bastion översätter bokstavligen till en plats som är befäst. När det gäller dator är det en maskin i ditt nätverk som kan vara portvakt för inkommande och utgående anslutningar.

Du kan ställa in din bastionsvärd som den enda maskinen som accepterar inkommande anslutningar från internet. Ställ sedan i tur och ordning alla andra maskiner i ditt nätverk så att de bara får inkommande anslutningar från din bastionsvärd. Vilka fördelar har detta?

Utöver allt annat, säkerhet. Bastionsvärden, som namnet antyder, kan ha mycket snäv säkerhet. Det kommer att vara den första försvarslinjen mot inkräktare och se till att resten av dina maskiner är skyddade.

Det gör också andra delar av din nätverksinställning något enklare. Istället för att vidarebefordra portar på routernivå behöver du bara vidarebefordra en inkommande port till din bastionsvärd. Därifrån kan du grenas till andra maskiner du behöver tillgång till i ditt privata nätverk. Rädsla inte, detta kommer att behandlas i nästa avsnitt.

Diagrammet

Detta är ett exempel på en typisk nätverksinställning. Om du behöver åtkomst till ditt hemnätverk från utsidan, skulle du komma in via internet. Din router vidarebefordrar sedan den anslutningen till din bastionsvärd. När du är ansluten till din bastionsvärd kan du komma åt alla andra maskiner i ditt nätverk. På samma sätt kommer det inte att finnas tillgång till andra maskiner än bastionsvärdet direkt från internet.

Tillräckligt förhalning, tid att använda bastion.

1. Dynamisk DNS

Den skräcken bland er kanske har undrat hur man skulle få tillgång till din hem router via internet. De flesta internetleverantörer (ISP) tilldelar dig en tillfällig IP-adress, som ändras varje gång. Internetleverantörer tenderar att debitera extra om du ville ha en statisk IP-adress. Den goda nyheten är att moderna routrar brukar ha dynamisk DNS bakad i sina inställningar.

Dynamisk DNS uppdaterar ditt värdnamn med din nya IP-adress med inställda intervall, vilket säkerställer att du alltid kan komma åt ditt hemnätverk. Det finns många leverantörer som erbjuder nämnda tjänst, varav en är Ingen IP som till och med har en gratis nivå. Var medveten om att det fria lagret kräver att du bekräftar ditt värdnamn en gång var tredje dag. Det är bara en 10-sekunders process, som de påminner om att göra ändå.

När du har registrerat dig skapar du bara ett värdnamn. Ditt värdnamn måste vara unikt och det är det. Om du äger en Netgear-router erbjuder de en gratis dynamisk DNS som inte kräver en månadskonfirmation.

Logga in på din router och leta efter den dynamiska DNS-inställningen. Detta kommer att skilja sig från router till router, men om du inte hittar den lurar under avancerade inställningar, kontrollera tillverkarens användarmanual. De fyra inställningarna du vanligtvis behöver ange är:

1. Leverantören
2. Domännamn (värdnamnet du just skapade)
3. Inloggningsnamn (e-postadressen som användes för att skapa din dynamiska DNS)
4. Lösenord

Om din router inte har en dynamisk DNS-inställning, tillhandahåller No-IP programvara som du kan installera på din lokala maskin för att uppnå samma resultat. Den här maskinen måste vara online för att hålla den dynamiska DNS uppdaterad.

2. Port vidarebefordran eller omdirigering

Routern måste nu veta var den vidkommande anslutningen ska vidarebefordras. Det gör detta baserat på portnumret som är på den inkommande anslutningen. En bra praxis här är att inte använda standard SSH-porten, som är 22, för den allmänna porten.

Anledningen till att inte använda standardporten är att hackare har dedikerade portniffare. Dessa verktyg kontrollerar ständigt efter kända portar som kan vara öppna i ditt nätverk. När de upptäcker att din router accepterar anslutningar på en standardport börjar de skicka anslutningsförfrågningar med vanliga användarnamn och lösenord.

Även om du väljer en slumpmässig port kommer inte att stoppa de onda sniffarna helt, men det kommer att drastiskt minska antalet förfrågningar som kommer till din router. Om din router bara kan vidarebefordra samma port, är det inte något problem, eftersom du borde ställa in din bastionsvärd för att använda SSH-knappsäkerhetsverifiering och inte användarnamn och lösenord.

En routers inställningar ska se ut så här:

1. Servicenamnet som kan vara SSH
2. Protokoll (ska ställas in på TCP)
3. Offentlig port (ska vara en hög port som inte är 22, använd 52739)
4. Privat IP (din bastionsvärdens IP)
5. Privat port (standard SSH-port, som är 22)

Bastionen

Det enda din bastion kommer att behöva är SSH. Om detta inte valts vid installationen skriver du bara:

sudo apt installera OpenSSH-klient. sudo apt installera OpenSSH-server

När SSH är installerat, se till att ställa in din SSH-server till verifiera med nycklar istället för lösenord Hur du verifierar över SSH med nycklar istället för lösenordSSH är ett bra sätt att få fjärråtkomst till din dator. När du öppnar portarna på din router (port 22 för att vara exakt) kan du inte bara komma åt din SSH-server inifrån ... Läs mer . Se till att IP-adressen för din bastionvärd är densamma som den som ställts upp i porten framåt-regeln ovan.

Vi kan köra ett snabbtest för att se till att allt fungerar. För att simulera att du är utanför ditt hemnätverk kan du göra det använd din smarta enhet som en hotspot Hotspot-kontroll: Använd din Android som en trådlös routerAtt använda din Android-enhet som ett hotspot är ett bra sätt att dela dina mobildata med dina andra enheter som en bärbar dator eller surfplatta - och det är superlätt! Läs mer medan det finns på mobildata. Öppna en terminal och skriv, byt ut med ett användarnamn på ett konto på din bastionsvärd och med adressuppsättningen i steg A ovan:

ssh -p 52739 @

Om allt var korrekt inställt, bör du nu se terminalfönstret för din bastionsvärd.

3. Tunnel

Du kan tunnela nästan vad som helst genom SSH (med anledning). Om du till exempel vill få tillgång till en SMB-delning på ditt hemnätverk från internet, anslut till din bastionsvärd och öppna en tunnel till SMB-aktien. Uppnå denna trolldom helt enkelt genom att köra det här kommandot:

ssh -L 15445:: 445 -p 52739 @

Ett verkligt kommando skulle se ut som:

ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected] 

Det är enkelt att bryta ner detta kommando. Detta ansluter till kontot på din server via din routers externa SSH-port 52739. All lokal trafik som skickas till port 15445 (en godtycklig port) kommer att skickas genom tunneln och vidarebefordras därefter till maskinen med IP: n 10.1.2.250 och SMB-porten 445.

Om du vill bli riktigt smart kan vi alias hela kommandot genom att skriva:

alias sss = 'ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected]'

Nu behöver du bara skriva in terminal i sss, och bob är din farbror.

När anslutningen är gjord kan du komma åt din SMB-delning med adressen:

smb: // localhost: 15445. 

Detta innebär att du kan surfa på den lokala aktien från internet som om du var i det lokala nätverket. Som nämnts kan du ganska mycket gå in i allt med SSH. Även Windows-maskiner som har fjärrskrivbord aktiverat kan nås via en SSH-tunnel Hur man tunnlar webbtrafik med SSH Secure Shell Läs mer .

Recap

Den här artikeln täckte mycket mer än bara en bastionsvärd, och du har gjort det bra att nå det hittills. Att ha en bastionsvärd innebär att de andra enheterna som har tjänster som är exponerade kommer att skyddas. Det garanterar också att du kan komma åt dessa resurser var som helst i världen. Var noga med att fira med kaffe, choklad eller båda. De grundläggande stegen vi har behandlat var:

• Ställ in dynamisk DNS
• Vidarebefordra en extern port till en intern port
• Skapa en tunnel för att komma åt en lokal resurs

Behöver du tillgång till lokala resurser från internet? Använder du för närvarande ett VPN för att uppnå detta? Har du använt SSH-tunnlar tidigare?

Bildkredit: TopVectors /Depositphotos