Skydda ditt nätverk med en Bastion Host på bara 3 steg

Skydda ditt nätverk med en Bastion Host på bara 3 steg / Linux

Har du maskiner på ditt interna nätverk som du behöver komma åt från omvärlden? Att använda en bastionsvärd som gatekeeper till ditt nätverk kan vara lösningen.

Vad är en Bastion Host?

Bastion översätter bokstavligen till en plats som är befäst. På datornivå är det en maskin i ditt nätverk som kan vara gatekeeper för inkommande och utgående anslutningar.

Du kan ställa in din bastionvärde som den enda maskinen för att acceptera inkommande anslutningar från internet. Därefter ställer du in alla andra maskiner i ditt nätverk, för att bara ta emot inkommande anslutningar från din bastionsvärd. Vilka fördelar har detta?

Utöver allt annat, säkerhet. Bastionsvärden, som namnet antyder, kan ha en mycket snabb säkerhet. Det kommer att bli den första försvaret mot inkräktare och se till att resten av dina maskiner är skyddade.

Det gör också andra delar av din nätverksinställning något enklare. Istället för att vidarebefordra portar på routernivån behöver du bara vidarebefordra en inkommande hamn till din bastionsvärd. Därifrån kan du filialera till andra maskiner du behöver tillgång till på ditt privata nätverk. Fruktan inte, det här kommer att beskrivas i nästa avsnitt.

Diagrammet

Detta är ett exempel på en typisk nätverksinstallation. Om du behöver tillgång till ditt hemnätverk från utsidan, skulle du komma in via internet. Din router vidarebefordrar den anslutningen till din bastion-värd. När du är ansluten till din bastion-värd kommer du att kunna komma åt alla andra maskiner i ditt nätverk. På samma sätt kommer det inte att finnas tillgång till andra maskiner än bastionsvärden direkt från internet.

Tillfredsställande uppsägning, tid att använda bastion.

1. Dynamisk DNS

Den stilla bland dig kan ha undrat hur man skulle få tillgång till din hemrouter via internet. De flesta internetleverantörer (ISP) tilldelar dig en tillfällig IP-adress, som ändras så ofta. Internetleverantörer tenderar att ladda extra om du vill ha en statisk IP-adress. Den goda nyheten är att moderna routrar tenderar att ha dynamisk DNS bakad i sina inställningar.

Dynamisk DNS uppdaterar ditt värdnamn med din nya IP-adress med angivna intervaller, så att du alltid kan komma åt ditt hemnätverk. Det finns många leverantörer som erbjuder nämnda tjänst, varav en är No-IP, som till och med har en fri nivå. Var medveten om att den kostnadsfria nivån kräver att du bekräftar ditt värdnamn en gång var 30: e dag. Det är bara en 10-sekunders process, som de påminner om att göra ändå.

När du har registrerat dig skapar du bara ett värdnamn. Ditt värdnamn måste vara unikt, och det är det. Om du äger en Netgear-router, erbjuder de en gratis dynamisk DNS som inte kräver en månatlig bekräftelse.

Logga in nu på din router och leta efter den dynamiska DNS-inställningen. Det här skiljer sig från router till router, men om du inte finner det lurar under avancerade inställningar, kontrollera tillverkarens bruksanvisning. De fyra inställningarna du vanligtvis behöver ange är:

  1. Leverantören
  2. Domännamn (värdnamnet du just skapat)
  3. Inloggningsnamn (e-postadressen som användes för att skapa din dynamiska DNS)
  4. Lösenord

Om din router inte har en dynamisk DNS-inställning, tillhandahåller No-IP-programvara som du kan installera på din lokala dator för att uppnå samma resultat. Denna maskin måste vara online för att hålla den dynamiska DNS uppdaterad.

2. Port vidarebefordran eller omdirigering

Routern behöver nu veta vart du ska vidarebefordra inkommande anslutning. Det gör detta baserat på portnummeret som är på inkommande anslutning. En bra övning här är att inte använda standard SSH-porten, som är 22, för den offentliga porten.

Anledningen till att du inte använder standardporten beror på att hackare har dedikerade portsniffrar. Dessa verktyg kontrollerar alltid efter kända portar som kan vara öppna på ditt nätverk. När de upptäcker att din router accepterar anslutningar på en standardport, börjar de att skicka anslutningsförfrågningar med vanliga användarnamn och lösenord.

Medan du väljer en slumpvis port kommer du inte att stoppa de maligna sniffarna helt och hållet, det kommer drastiskt minska antalet begäranden som kommer till din router. Om din router endast kan vidarebefordra samma port är det inte något problem, eftersom du borde ställa in din bastionvärde för att använda SSH-nyckelringens autentisering och inte användarnamn och lösenord.

En routers inställningar ska likna följande:

  1. Servicenamnet som kan vara SSH
  2. Protokoll (bör ställas in till TCP)
  3. Offentlig port (bör vara en hög hamn som inte är 22, använd 52739)
  4. Privat IP (din bastions värdens IP)
  5. Privat port (standard SSH-port, som är 22)

Bastion

Det enda som din bastion behöver är SSH. Om detta inte valdes vid installationstillfället, skriv bara:

sudo apt installera OpenSSH-klient sudo apt installera OpenSSH-server

När du har installerat SSH måste du ställa in din SSH-server för att verifiera med nycklar istället för lösenord. Så här autentiserar du över SSH med nycklar istället för lösenord Hur du kan verifiera över SSH med nycklar istället för lösenord SSH är ett bra sätt att få fjärråtkomst till din dator. När du öppnar portarna på din router (port 22 för att vara exakt) kan du inte bara komma åt din SSH-server inifrån ... Läs mer. Se till att din bastionvärdes IP är densamma som den som anges i porten framåtregeln ovan.

Vi kan köra ett snabbtest för att se till att allting fungerar. För att simulera att vara utanför ditt hemnätverk kan du använda din smarta enhet som hotspot Hotspot Control: Använd din Android som en trådlös router Hotspot Control: Använd din Android som en trådlös router Använda din Android-enhet som hotspot är ett bra sätt att dela med sig av din mobila data med dina andra enheter som en bärbar dator eller surfplatta - och det är super enkelt! Läs mer när det gäller mobildata. Öppna en terminal och typ, byta ut med användarnamnet för ett konto på din bastion värd och med adressinställningen i steg A ovan:

ssh-p 52739 @

Om allt var korrekt inställt, borde du nu se terminalfönstret hos din bastionsvärd.

3. Tunnel

Du kan tunnelera allt som helst via SSH (inom förnuft). Om du till exempel vill få tillgång till en SMB-andel i ditt hemnätverk från internet, ansluter du till din bastionvärd och öppnar en tunnel till SMB-aktien. Utför denna trolldom genom att köra detta kommando:

ssh-L 15445:: 445-p 52739 @

Ett faktiskt kommando skulle se ut som:

ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected] 

Att bryta ner det här kommandot är enkelt. Detta kopplas till kontot på din server via routerns externa SSH-port 52739. Vilken lokal trafik som skickas till port 15445 (en godtycklig port) skickas via tunneln, vidarebefordras till maskinen med IP 10.1.2.250 och SMB port 445.

Om du vill bli riktigt smart kan vi alias hela kommandot genom att skriva:

alias sss = "ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected]"

Nu måste du bara skriva in terminal i sss, och Bob är din farbror.

När anslutningen är gjord kan du komma åt din SMB-del med adressen:

smb: // localhost: 15445 

Det innebär att du kommer att kunna bläddra den lokala delen från internet som om du var på det lokala nätverket. Som nämnts kan du ganska mycket tunnel in i någonting med SSH. Även Windows-maskiner som har fjärrskrivbord aktiverat kan nås via en SSH tunnel. Hur man tunnlar webbtrafik med SSH Secure Shell. Hur man tunnlar webbtrafik med SSH Secure Shell Läs mer .

Recap

Den här artikeln täckte mycket mer än bara en bastionvärd, och du har gjort det bra för att göra det här långt. Att ha en bastion värd betyder att de andra enheter som har tjänster som utsätts kommer att skyddas. Det säkerställer också att du får tillgång till dessa resurser från var som helst i världen. Var noga med att fira med kaffe, choklad eller båda. De grundläggande stegen vi har täckt var:

  • Ställ in dynamisk DNS
  • Vidarebefordra en extern port till en intern port
  • Skapa en tunnel för att komma åt en lokal resurs

Behöver du tillgång till lokala resurser från internet? Använder du för närvarande ett VPN för att uppnå detta? Har du tidigare använt SSH-tunnlar?

Bildkrediter: TopVectors / Depositphotos

Utforska mer om: Linux, Online Security.