Zaštitite svoju računalnu mrežu s Bastion hostom u samo 3 koraka

Imate li računala na lokalnoj mreži kojima je potreban vanjski pristup? Korištenje bastion hosta kao "vratara" za vašu mrežu može biti dobro rješenje.

Što je Bastion host ?

Bastion se doslovno prevodi kao utvrđeno mjesto. Računalnim rječnikom rečeno, to je stroj na mreži koji može biti vratar za dolazne i odlazne veze.

Definicija Wikipedije: Bastion host je računalo posebne namjene na mreži, posebno dizajnirano i konfigurirano da izdrži napade. Bastion poslužitelj obično ugošćuje samo jednu aplikaciju, na primjer proxy poslužitelj , ostale usluge su uklonjene ili ograničene kako bi se smanjile prijetnje računalu. Razlog zašto je bastion host ožičen zbog njegove posebne lokacije i namjene, obično se nalazi izvan vatrozida ili u DMZ-u (neutralno mrežno područje između interne mreže i interneta) i često uključuje pristup s nepouzdanih mreža ili računala.

Možete postaviti bastion host kao jedini stroj koji prihvaća veze s Interneta. Zatim, zauzvrat, postavite sve druge strojeve na mreži da primaju samo dolazne veze od ovog bastion hosta.

Prednost ove postavke je sigurnost. Bastion hostovi mogu pružiti vrlo čvrstu sigurnost. To će biti prva linija sigurnosne obrane od bilo kakvih uljeza i osigurati zaštitu preostalih računala. Osim toga, također olakšava postavljanje mreže. Umjesto prosljeđivanja portova na usmjerivaču , trebate samo proslijediti port na Bation host, odatle se možete razgranati na druga računala koja trebaju pristup privatnoj mreži. Pojedinosti problema bit će spomenute u sljedećem odjeljku.

Dijagram postavljanja mreže

Ovo je primjer tipične mrežne postavke. Ako svojoj kućnoj mreži trebate pristupiti izvana, to možete učiniti putem interneta. Usmjerivač će proslijediti tu vezu glavnom računalu. Jednom kada se povežete s bastion hostom, možete pristupiti bilo kojem drugom računalu na mreži. Isto tako, neće biti izravnog pristupa s Interneta drugim strojevima osim bastion hosta.

1. Sustav dinamičkog naziva domene ( Dinamički DNS )

Sigurno se mnogi ljudi pitaju kako pristupiti ruteru kod kuće putem interneta. Većina pružatelja internetskih usluga (ISP-ovi) dodjeljuje korisnicima privremenu IP adresu koja se redovito mijenja. Davatelji internetskih usluga često dodatno naplaćuju statičku IP adresu . Dobra vijest je da današnji usmjerivači često u postavkama imaju sustav dinamičkog naziva domene.

Sustav dinamičkog naziva domene ažurira nazive hostova novim IP adresama u određenim intervalima, osiguravajući da korisnici uvijek mogu pristupiti svojoj kućnoj mreži. Postoje mnogi pružatelji usluga s gore navedenom uslugom poput Noip.com, koji čak ima i besplatnu razinu. Imajte na umu da će besplatna razina zahtijevati potvrdu naziva poslužitelja svakih 30 dana.

Nakon što se prijavite, jednostavno kreirajte naziv poslužitelja koji mora biti jedinstven. Ako posjedujete Netgear usmjerivač, oni pružaju besplatnu uslugu dinamičkog DNS- a i neće zahtijevati mjesečnu potvrdu.

Sada se prijavite na svoj usmjerivač i potražite dinamičke DNS postavke. Različiti usmjerivači imat će različite postavke, pogledajte korisnički priručnik usmjerivača kako to postaviti. Obično ćete morati unijeti informacije u sljedeće četiri postavke:

1. Dobavljač
2. Naziv domene (naziv poslužitelja upravo stvoren)
3. Korisničko ime (adresa e-pošte koja se koristi za stvaranje dinamičkog DNS-a)
4. Lozinka

Ako vaš usmjerivač nema dinamičke DNS postavke, No-IP pruža softver koji se može instalirati na vaše računalo. Imajte na umu da računalo uvijek mora biti na mreži za ažuriranje dinamičkog DNS-a.

2. Portove za prosljeđivanje ili preusmjeravanje

Današnji usmjerivači moraju znati kamo proslijediti dolazne veze, na temelju broja porta na dolaznoj vezi. Korisnici ne bi trebali koristiti zadani SSH port od 22 jer hakeri imaju alate koji mogu provjeriti uobičajene portove i lako pristupiti vašoj kućnoj mreži. Nakon što shvate da usmjerivač prihvaća veze na zadanom priključku, počet će slati zahtjeve za povezivanje s uobičajenim korisničkim imenom i lozinkom.

Iako odabir nasumičnog porta ne sprječava u potpunosti ovaj problem, može smanjiti broj zahtjeva koji dolaze usmjerivaču. Ako vaš usmjerivač može proslijediti samo isti port, trebali biste postaviti bastion host da koristi provjeru autentičnosti SSH ključa, a ne korisničko ime i lozinku.

Instalirajte usmjerivač kao što je prikazano u nastavku:

1. Naziv usluge može biti SSH
2. Protokol (treba postaviti na TCP)
3. Javni priključak (trebao bi biti visoki priključak, ne 22, koristite 52739)
4. Privatna IP adresa (IP hosta Bastiona)
5. Privatni port (zadani SSH port je 22)

Bastion

Jedina stvar koju bastion treba je SSH. Ako SSH nije odabran tijekom instalacije, samo upišite:

sudo apt instalirajte OpenSSH klijent

sudo apt instalirajte OpenSSH poslužitelj

Nakon što je SSH instaliran, svakako postavite SSH poslužitelj za autentifikaciju pomoću ključa umjesto lozinke, IP adresa bastion hosta je ista kao IP adresa postavljena u gore navedenom pravilu prosljeđivanja.

Možete napraviti brzi test da provjerite radi li sve u redu. Za simulaciju izvan vaše kućne mreže, možete koristiti svoj pametni uređaj kao pristupnu točku pomoću mobilnih podataka. Otvorite prozor terminala i unesite, zamijenivši ga korisničkim imenom računa na bastion hostu i postavkom adrese u gornjem koraku:

ssh -p 52739 @

Ako je sve ispravno postavljeno, vidjet ćete prozor bastion host terminala.

3. Stvorite tunel

Tunel stvarate putem SSH-a. Na primjer, ako želite pristupiti SMB dijeljenju na vašoj kućnoj mreži s Interneta, spojite se na bastion host i otvorite tunel do SMB dijeljenja pokretanjem sljedeće naredbe:

ssh -L 15445::445 -p 52739 @

Na primjer, gornja naredba će raditi

ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]

Gornja naredba povezuje se s računom na vašem poslužitelju putem vanjskog SSH priključka usmjerivača 52739. Sav promet poslan na priključak 15445 (proizvoljan priključak) bit će poslan kroz tunel, zatim proslijeđen na stroj s IP adresom 10.1.2.250 i SMB priključkom 445 .

Također možete anonimizirati cijelu naredbu upisivanjem:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]'

Nakon što se povežete, možete pristupiti SMB dijeljenju s adresom:

smb://localhost:15445

To znači da ćete moći pregledavati lokalno dijeljenje s interneta kao da ste na lokalnoj mreži.

Želimo vam uspjeh!

Vidi više:

• Upute za korištenje i sigurnost Wifi mreže
• Sigurnost mreže i potreba za znanjem
• Upute kako zaštititi WiFi mreže od KRACK-a