Suojaa verkko Bastion -isännällä vain kolmessa vaiheessa

Suojaa verkko Bastion -isännällä vain kolmessa vaiheessa

Onko sinulla sisäisessä verkossa koneita, joihin sinun on päästävä ulkomaailmasta? Ratkaisu voi olla bastion -isännän käyttäminen verkon portinvartijana.





Mikä on Bastion -isäntä?

Bastion kääntyy kirjaimellisesti paikkaan, joka on linnoitettu. Tietokoneen kannalta se on verkon kone, joka voi olla portinvartija saapuville ja lähteville yhteyksille.



Voit asettaa bastionisäntäsi ainoaksi koneeksi, joka hyväksyy saapuvat yhteydet Internetistä. Aseta sitten kaikki muut verkon koneet vastaanottamaan vain saapuvat yhteydet bastioni -isännältäsi. Mitä hyötyä tästä on?





Kaiken muun lisäksi turvallisuus. Bastionin isäntä voi nimensä mukaisesti olla erittäin tiukka. Se on ensimmäinen puolustuslinja tunkeilijoita vastaan ​​ja varmistaa, että muut koneesi ovat suojattuja.

Se myös helpottaa verkon muita osia hieman. Reitittimen porttien edelleenlähettämisen sijaan sinun on vain välitettävä yksi saapuva portti bastion -isäntäsi. Sieltä voit haarautua muihin koneisiin, joihin tarvitset pääsyn yksityisessä verkossa. Älä pelkää, tämä käsitellään seuraavassa osassa.



Kaavio

Tämä on esimerkki tyypillisestä verkkoasennuksesta. Jos tarvitset pääsyn kotiverkkoosi ulkopuolelta, tulet sisään Internetin kautta. Reitittimesi välittää tämän yhteyden edelleen bastionisäntäsi. Kun olet muodostanut yhteyden bastioni -isäntään, voit käyttää muita verkon koneita. Samoin ei ole pääsyä muihin koneisiin kuin bastionisäntään suoraan Internetistä.

Riittää viivyttelyä, aika käyttää bastionia.



1. Dynaaminen DNS

Keskinkertainen on saattanut ihmetellä, miten pääsisi kotireitittimeesi Internetin kautta. Useimmat Internet -palveluntarjoajat (ISP) antavat sinulle väliaikaisen IP -osoitteen, joka vaihtuu niin usein. Internet -palveluntarjoajat veloittavat yleensä lisämaksua, jos haluat staattisen IP -osoitteen. Hyvä uutinen on, että nykypäivän reitittimissä on yleensä dynaaminen DNS, joka on asetettu asetuksiin.

Dynaaminen DNS päivittää isäntänimesi uudella IP -osoitteellasi määrätyin väliajoin varmistaen, että voit aina käyttää kotiverkkoasi. On monia palveluntarjoajia, jotka tarjoavat mainittua palvelua, joista yksi on Ei IP: tä, jolla on jopa ilmainen taso . Huomaa, että ilmainen taso edellyttää, että vahvistat isäntänimesi kerran 30 päivässä. Se on vain 10 sekunnin prosessi, jonka he muistuttavat joka tapauksessa.



Kun olet rekisteröitynyt, luo isäntänimi. Isäntänimesi on oltava ainutlaatuinen, ja siinä kaikki. Jos omistat Netgear -reitittimen, se tarjoaa ilmaisen dynaamisen DNS: n, joka ei vaadi kuukausittaista vahvistusta.

kuinka lisätä omistettua video -muistia kannettavalla tietokoneella

Kirjaudu nyt reitittimeesi ja etsi dynaaminen DNS -asetus. Tämä vaihtelee reitittimestä toiseen, mutta jos et huomaa sitä lisäasetusten alla, tarkista valmistajan käyttöopas. Yleensä sinun on määritettävä neljä asetusta:

  1. Palveluntarjoaja
  2. Verkkotunnus (äskettäin luomasi isäntänimi)
  3. Kirjautumisnimi (dynaamisen DNS: n luomiseen käytetty sähköpostiosoite)
  4. Salasana

Jos reitittimessäsi ei ole dynaamista DNS-asetusta, No-IP tarjoaa ohjelmiston, jonka voit asentaa paikalliseen koneeseen saman tuloksen saavuttamiseksi. Tämän koneen on oltava online -tilassa, jotta dynaaminen DNS pysyy ajan tasalla.

2. Portin edelleenlähetys tai uudelleenohjaus

Reitittimen on nyt tiedettävä, mihin saapuva yhteys välitetään. Se tekee tämän saapuvan yhteyden portin numeron perusteella. Hyvä käytäntö on olla käyttämättä oletus -SSH -porttia, joka on 22, julkiseen porttiin.

Syy siihen, miksi oletusporttia ei käytetä, johtuu siitä, että hakkereilla on omat porttien haistimet. Nämä työkalut tarkistavat jatkuvasti tunnettuja portteja, jotka voivat olla avoinna verkossa. Kun he havaitsevat, että reitittimesi hyväksyy yhteydet oletusporttiin, he alkavat lähettää yhteyspyyntöjä yleisillä käyttäjätunnuksilla ja salasanoilla.

Vaikka satunnaisportin valitseminen ei pysäytä pahanlaatuisia haistaajia, se vähentää jyrkästi reitittimeesi tulevien pyyntöjen määrää. Jos reitittimesi voi lähettää vain samaa porttia, se ei ole ongelma, koska sinun pitäisi asettaa bastionisäntäsi käyttämään SSH -avainparitodennusta eikä käyttäjätunnuksia ja salasanoja.

Reitittimen asetusten pitäisi näyttää samalta:

  1. Palvelun nimi, joka voi olla SSH
  2. Protokolla (pitäisi asettaa TCP: ksi)
  3. Julkinen portti (korkean portin, joka ei ole 22, käytä 52739)
  4. Yksityinen IP (bastionisäntäsi IP)
  5. Yksityinen portti (SSH -oletusportti, joka on 22)

Linnake

Ainoa asia, jonka linnoituksesi tarvitsee, on SSH. Jos tätä ei valittu asennuksen yhteydessä, kirjoita yksinkertaisesti:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

Kun SSH on asennettu, muista asettaa SSH -palvelin todentamaan avaimilla salasanojen sijasta. Varmista, että bastionisäntäsi IP -osoite on sama kuin yllä olevassa portin välityssäännössä määritetty.

Voimme suorittaa pikatestin varmistaaksemme, että kaikki toimii. Voit simuloida kotiverkon ulkopuolella olemista käyttää älylaitettasi hotspotina kun se on mobiilidatassa. Avaa päätelaite ja kirjoita, korvaamalla se bastionisäntäsi tilin käyttäjätunnuksella ja osoitteen määrityksellä yllä olevassa vaiheessa A:

ssh -p 52739 @

Jos kaikki oli asetettu oikein, sinun pitäisi nyt nähdä bastionisäntäsi pääteikkuna.

3. Tunnelointi

Voit tunneloida melkein mitä tahansa SSH: n kautta (kohtuuden rajoissa). Jos esimerkiksi haluat saada pääsyn kotiverkosi SMB -osuuteen Internetistä, muodosta yhteys bastionisäntään ja avaa tunneli SMB -osuudelle. Suorita tämä noituus yksinkertaisesti suorittamalla tämä komento:

ssh -L 15445::445 -p 52739 @

Varsinainen komento näyttäisi tältä:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Tämän komennon rikkominen on helppoa. Tämä muodostaa yhteyden palvelimellasi olevaan tiliin reitittimen ulkoisen SSH -portin 52739. kautta. Kaikki paikallisliikenne, joka lähetetään porttiin 15445 (mielivaltainen portti), lähetetään tunnelin kautta ja sitten edelleen koneelle IP -osoitteella 10.1.2.250 ja SMB: llä portti 445.

Jos haluat olla todella fiksu, voimme käyttää koko komentoa kirjoittamalla:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Nyt sinun tarvitsee vain kirjoittaa terminaali sisään sss ja bob on setäsi.

Kun yhteys on muodostettu, voit käyttää SMB -jakoasi osoitteella:

smb://localhost:15445

Tämä tarkoittaa, että voit selata paikallista jakoa Internetistä ikään kuin olisit paikallisessa verkossa. Kuten mainittiin, voit melko paljon tunneloida mihin tahansa SSH: n avulla. Jopa Windows -koneita, joissa on etätyöpöytä käytössä, voidaan käyttää SSH -tunnelin kautta.

Kertaus

Tämä artikkeli kattoi paljon enemmän kuin vain linnoituksen isännän, ja olet tehnyt hyvin päästäksesi tähän asti. Kun sinulla on bastioni -isäntä, muut laitteet, joilla on paljastettuja palveluita, on suojattu. Se varmistaa myös, että voit käyttää näitä resursseja mistä tahansa päin maailmaa. Muista juhlia kahvin, suklaan tai molempien kanssa. Perusvaiheet, jotka olemme käsitelleet, olivat:

  • Määritä dynaaminen DNS
  • Välitä ulkoinen portti sisäiseen porttiin
  • Luo tunneli paikallisen resurssin käyttämiseksi

Tarvitsetko käyttää paikallisia resursseja Internetistä? Käytätkö tällä hetkellä VPN: ää tämän saavuttamiseksi? Oletko käyttänyt SSH -tunneleita aiemmin?

Kuva: TopVectors/ Depositphotos

Jaa Jaa Tweet Sähköposti 3 tapaa tarkistaa, onko sähköposti oikea tai väärennetty

Jos olet saanut sähköpostin, joka näyttää hieman epäilyttävältä, on aina parasta tarkistaa sen aitous. Tässä on kolme tapaa kertoa, onko sähköposti oikea.

Lue seuraava Liittyvät aiheet
  • Linux
  • Turvallisuus
  • Online -suojaus
  • Linux
Kirjailijasta Yusuf Limalia(49 artikkelia julkaistu)

Yusuf haluaa elää maailmassa, joka on täynnä innovatiivisia yrityksiä, älypuhelimia, joissa on tummaa paahdettua kahvia, ja tietokoneita, joissa on hydrofobisia voimakenttiä, jotka lisäksi hylkivät pölyä. Liiketoiminta -analyytikkona ja Durbanin teknillisen yliopiston tutkinnon suorittaneena, jolla on yli 10 vuoden kokemus nopeasti kasvavasta teknologiateollisuudesta, hän nauttii keskimmäisestä miehestä teknisten ja ei -teknisten ihmisten välillä ja auttaa kaikkia pääsemään vauhtiin huipputeknologian avulla.

Lisää Yusuf Limalialta

tilaa uutiskirjeemme

Liity uutiskirjeeseemme saadaksesi teknisiä vinkkejä, arvosteluja, ilmaisia ​​e -kirjoja ja ainutlaatuisia tarjouksia!

Klikkaa tästä tilataksesi