Заштитите своју мрежу са Бастион хостом у само 3 корака

Заштитите своју мрежу са Бастион хостом у само 3 корака

Да ли на унутрашњој мрежи имате машине којима морате да приступите из спољног света? Коришћење бастион хоста као чувара капије у вашој мрежи може бити решење.





Шта је Бастион домаћин?

Бастион се дословно преводи у утврђено место. Рачунарски, то је машина на вашој мрежи која може бити чувар долазних и одлазних веза.



Ваш бастион хост можете поставити као једину машину која прихвата долазне везе са Интернета. Затим, заузврат, подесите све остале машине на вашој мрежи да примају само долазне везе са вашег бастион хоста. Какве користи ово има?





Изнад свега, сигурност. Бастион хост, као што му име говори, може имати врло строгу сигурност. То ће бити прва линија одбране од било каквих уљеза и осигурати да остатак ваших машина буде заштићен.

Такође олакшава и друге делове ваше мреже. Уместо да прослеђујете портове на нивоу рутера, само морате да проследите један долазни порт на ваш бастион хост. Одатле се можете пребацити на друге машине којима је потребан приступ на вашој приватној мрежи. Не бојте се, ово ће бити обрађено у следећем одељку.



Тхе Диаграм

Ово је пример типичног подешавања мреже. Ако вам је потребан приступ вашој кућној мрежи споља, ушли бисте путем интернета. Ваш рутер ће затим проследити ту везу на ваш бастион хост. Када се повежете са својим бастион хостом, моћи ћете да приступите свим другим машинама на вашој мрежи. Једнако тако, неће бити приступа другим машинама осим бастион хоста директно са интернета.

Доста одуговлачења, време је да се користи бастион.



1. Динамички ДНС

Проницљиви међу вама можда су се питали како би приступили вашем кућном рутеру путем интернета. Већина добављача интернет услуга (ИСП) додељује вам привремену ИП адресу, која се с времена на време мења. ИСП -ови имају тенденцију да додатно наплаћују ако желите статичку ИП адресу. Добра вест је да савремени рутери имају тенденцију да имају динамички ДНС уграђен у своја подешавања.

Динамички ДНС ажурира име вашег рачунара новом ИП адресом у постављеним интервалима, осигуравајући да увек можете приступити својој кућној мрежи. Постоји много провајдера који нуде поменуту услугу, од којих је један Но-ИП који чак има и бесплатни ниво . Имајте на уму да ће за бесплатни ниво бити потребно да потврдите своје име домаћина сваких 30 дана. То је само процес од 10 секунди, на који их свеједно подсећају.



Након што се пријавите, једноставно креирајте име хоста. Име вашег хоста мораће бити јединствено, и то је то. Ако поседујете Нетгеар рутер, они нуде бесплатни динамички ДНС који неће захтевати месечну потврду.

најбоље место за набавку штенета

Сада се пријавите на свој рутер и потражите динамичку ДНС поставку. Ово ће се разликовати од рутера до рутера, али ако не видите да се скрива под напредним поставкама, погледајте упутство за употребу вашег произвођача. Четири поставке које обично морате да унесете ће бити:

  1. Провајдер
  2. Назив домена (назив хоста који сте управо креирали)
  3. Име за пријављивање (адреса е -поште која се користи за креирање вашег динамичког ДНС -а)
  4. Лозинка

Ако ваш рутер нема динамичку ДНС поставку, Но-ИП нуди софтвер који можете инсталирајте на локалну машину да би се постигао исти резултат. Ова машина ће морати да буде на мрежи како би динамички ДНС био ажуриран.

2. Прослеђивање портова или преусмеравање

Рутер сада мора да зна где треба да проследи долазну везу. То ради на основу броја порта који се налази на долазној вези. Добра пракса овде је да не користите подразумевани ССХ порт, који је 22, за порт са јавношћу.

Разлог зашто се не користи подразумевани порт је тај што хакери имају наменске њушкаче портова. Ови алати стално проверавају да ли постоје добро познати портови који су можда отворени на вашој мрежи. Једном када открију да ваш рутер прихвата везе на подразумеваном порту, почињу да шаљу захтеве за повезивање са уобичајеним корисничким именима и лозинкама.

Иако одабир случајног порта неће потпуно зауставити злоћудне њушке, драстично ће смањити број захтева који долазе на ваш рутер. Ако ваш рутер може проследити само исти порт, то није проблем, јер би требало да поставите бастион хост да користи ССХ потврду идентитета парова кључева, а не корисничка имена и лозинке.

Поставке рутера треба да изгледају овако:

  1. Назив услуге који може бити ССХ
  2. Протокол (треба да буде подешен на ТЦП)
  3. Јавни порт (требао би бити високи порт који није 22, користите 52739)
  4. Приватни ИП (ИП вашег бастион хоста)
  5. Приватни порт (подразумевани ССХ порт, који је 22)

Бастион

Једино што ће вашем бастиону требати је ССХ. Ако ово није изабрано приликом инсталације, једноставно откуцајте:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

Када је ССХ инсталиран, обавезно подесите ССХ сервер да се аутентификује помоћу кључева уместо лозинки. Уверите се да је ИП адреса вашег бастион хоста иста као она постављена у горе наведеном правцу преусмеравања портова.

Можемо покренути брзи тест да бисмо се уверили да све ради. Можете симулирати да сте изван своје кућне мреже користите свој паметни уређај као приступну тачку док је на мобилним подацима. Отворите терминал и откуцајте, замењујући га корисничким именом налога на вашем бастион хосту и подешавањем адресе у кораку А горе:

ssh -p 52739 @

Ако је све исправно подешено, сада би требало да видите прозор терминала вашег бастион хоста.

3. Тунелирање

Можете тунелирати готово све путем ССХ -а (унутар разумног разлога). На пример, ако желите да приступите СМБ дељењу на вашој кућној мрежи са Интернета, повежите се са својим бастион хостом и отворите тунел за СМБ дељење. Остварите ово чаробњаштво једноставно покретањем ове наредбе:

ssh -L 15445::445 -p 52739 @

Стварна команда би изгледала отприлике овако:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Разбијање ове команде је лако. Ово се повезује са налогом на вашем серверу преко спољног ССХ порта вашег рутера 52739. Сав локални саобраћај послат на порт 15445 (произвољни порт) биће послат кроз тунел, а затим прослеђен на машину са ИП 10.1.2.250 и СМБ порт 445.

Ако желите да постанете заиста паметни, можемо да заменимо целу команду уписивањем:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Сада све што морате да унесете у терминал ссс , а боб ти је ујак.

Када се веза успостави, можете приступити свом СМБ дељењу са адресом:

smb://localhost:15445

То значи да ћете моћи да претражујете тај локални удео са Интернета као да сте на локалној мрежи. Као што је споменуто, можете прилично тунелирати у било шта са ССХ -ом. Чак и Виндовс машинама са омогућеном удаљеном радном површином може се приступити кроз ССХ тунел.

Рецап

Овај чланак је обухватио много више од обичног бастион домаћина, и учинили сте добро што сте ово догурали. Имати бастион хост значиће да ће други уређаји који имају изложене услуге бити заштићени. Такође обезбеђује приступ овим ресурсима са било ког места у свету. Прославите обавезно уз кафу, чоколаду или обоје. Основни кораци које смо покрили били су:

  • Подесите динамички ДНС
  • Проследите спољни порт на унутрашњи порт
  • Направите тунел за приступ локалном ресурсу

Да ли вам је потребно да приступите локалним ресурсима са Интернета? Да ли тренутно користите ВПН да бисте то постигли? Да ли сте раније користили ССХ тунеле?

Кредит за слику: ТопВецторс/ Депоситпхотос

Објави Објави Твеет Емаил 3 начина да проверите да ли је е -пошта права или лажна

Ако сте примили е -поруку која изгледа помало сумњиво, увек је најбоље да проверите њену аутентичност. Ево три начина да утврдите да ли је адреса е -поште права.

Прочитајте следеће Повезане теме
  • Линук
  • Сигурност
  • Безбедност на мрежи
  • Линук
О аутору Иусуф Лималиа(49 објављених чланака)

Иусуф жели да живи у свету испуњеном иновативним пословима, паметним телефонима који долазе у комплету са тамном прженом кафом и рачунарима који имају хидрофобна поља силе која додатно одбијају прашину. Као пословни аналитичар и дипломац Технолошког универзитета у Дурбану, са преко 10 година искуства у брзорастућој технолошкој индустрији, ужива у томе да буде посредник између техничких и нетехничких људи и помаже свима да напредују уз врхунску технологију.

Више од Иусуфа Лималије

Претплатите се на наш билтен

Придружите се нашем билтену за техничке савете, критике, бесплатне е -књиге и ексклузивне понуде!

Кликните овде да бисте се претплатили