Verndaðu tölvunetið þitt með Bastion gestgjafa í aðeins 3 skrefum

Ertu með tölvur á staðarnetinu þínu sem þurfa utanaðkomandi aðgang? Að nota Bastion Host sem „hliðvörð“ fyrir netið þitt getur verið góð lausn.

Hvað er Bastion gestgjafi ?

Bastion þýðir bókstaflega víggirtur stað. Í tölvuskilmálum er það vél á netinu sem getur verið hliðvörður fyrir komandi og útleiðandi tengingar.

Wikipedia skilgreining: Bastion gestgjafi er sértæk tölva á netinu, sérstaklega hönnuð og stillt til að standast árásir. Bastion-þjónn hýsir venjulega aðeins eitt forrit, til dæmis proxy-þjón , önnur þjónusta er fjarlægð eða takmörkuð til að lágmarka ógnir við tölvuna. Ástæðan fyrir því að bastion-hýsillinn er tengdur er vegna sérstakra staðsetningar hans og tilgangs, venjulega staðsettur utan eldveggsins eða í DMZ (hlutlaust netsvæði milli innra netsins og internetsins) og felur oft í sér aðgang frá ótraustum netum eða tölvur.

Þú getur sett upp Bastion Host sem eina vélina sem tekur við tengingum af internetinu. Settu síðan upp allar aðrar vélar á netinu til að taka aðeins á móti komandi tengingum frá þessum bastion gestgjafa.

Ávinningurinn af þessari uppsetningu er öryggi. Bastion gestgjafar geta veitt mjög þétt öryggi. Það verður fyrsta öryggisvarnarlínan gegn boðflenna og tryggir að þær tölvur sem eftir eru séu verndaðar. Að auki gerir það einnig netuppsetningu auðveldari. Í stað þess að framsenda tengi á beininum þarftu bara að senda port til Bation hýsilsins, þaðan geturðu kvíslað til annarra véla sem þurfa að komast á einkanetið. Nánar verður minnst á málið í næsta kafla.

Skýringarmynd netuppsetningar

Þetta er dæmi um dæmigerða netuppsetningu. Ef þú þarft að fá aðgang að heimanetinu þínu utan frá geturðu gert það í gegnum internetið. Beininn mun senda þessa tengingu áfram til bastion-hýsilsins. Þegar þú hefur tengt við bastion gestgjafann geturðu fengið aðgang að hvaða annarri vél sem er á netinu. Sömuleiðis verður enginn bein aðgangur af internetinu að öðrum vélum en bastion-hýsingunni.

1. Dynamic Domain Name System ( Dynamic DNS )

Margir eru örugglega að velta því fyrir sér hvernig eigi að nálgast beininn heima í gegnum internetið. Flestar netþjónustuveitur úthluta notendum tímabundið IP-tölu sem breytist reglulega. Netþjónustuveitur rukka oft aukalega fyrir fasta IP tölu . Góðu fréttirnar eru þær að beinar í dag eru oft með kraftmikið lénsnafnakerfi í stillingunum.

Hið kraftmikla lénskerfi uppfærir hýsingarnöfn með nýjum IP tölum með ákveðnu millibili, sem tryggir að notendur geti alltaf fengið aðgang að heimanetinu sínu. Það eru margir veitendur með ofangreinda þjónustu eins og Noip.com, sem er meira að segja með ókeypis flokki. Athugaðu að ókeypis stigið mun krefjast staðfestingar á nafni netþjóns á 30 daga fresti.

Þegar þú hefur skráð þig inn skaltu einfaldlega búa til netþjónsnafn, sem verður að vera einstakt. Ef þú átt Netgear bein, þá bjóða þeir upp á ókeypis kraftmikla DNS þjónustu og þurfa ekki mánaðarlega staðfestingu.

Skráðu þig nú inn á beininn þinn og leitaðu að kraftmiklum DNS stillingum. Mismunandi beinar munu hafa mismunandi stillingar, sjá notendahandbók beinsins fyrir hvernig á að setja upp. Venjulega þarftu að slá inn upplýsingar í eftirfarandi fjórum stillingum:

1. Birgir
2. Lén (netþjónnafn nýbúið til)
3. Notandanafn (netfang notað til að búa til kraftmikið DNS)
4. Lykilorð

Ef beininn þinn er ekki með kraftmiklar DNS stillingar, býður No-IP upp hugbúnað sem hægt er að setja upp á tölvunni þinni. Athugaðu að tölvan verður alltaf að vera nettengd til að uppfæra kraftmikið DNS.

2. Framsenda eða beina höfnum

Beinar í dag þurfa að vita hvert á að framsenda komandi tengingar, byggt á gáttarnúmerinu á komandi tengingu. Notendur ættu ekki að nota sjálfgefna SSH tengið 22 vegna þess að tölvuþrjótar hafa verkfæri sem geta athugað algengar tengi og geta auðveldlega nálgast heimanetið þitt. Þegar þeir átta sig á því að beininn er að samþykkja tengingar á sjálfgefna tengi, munu þeir byrja að senda tengingarbeiðnir með sameiginlegu notendanafni og lykilorði.

Þó að val af handahófi tengi komi ekki alveg í veg fyrir þetta vandamál, getur það dregið úr fjölda beiðna sem berast til beinisins. Ef beininn þinn getur aðeins framsent sömu höfn, ættir þú að stilla Bastion-hýsilinn þannig að hann noti SSH lykilauðkenningu en ekki notendanafn og lykilorð.

Settu upp beininn eins og sýnt er hér að neðan:

1. Þjónustuheitið getur verið SSH
2. Bókun (ætti að vera stillt á TCP)
3. Almenningshöfn (ætti að vera háhöfn, ekki 22, notaðu 52739)
4. Einka IP-tala (IP-tölu Bastion gestgjafa)
5. Einkahöfn (sjálfgefið SSH tengi er 22)

Bastion

Það eina sem Bastion þarf er SSH. Ef SSH var ekki valið við uppsetningu, sláðu bara inn:

sudo apt setja upp OpenSSH-viðskiptavin

sudo apt settu upp OpenSSH-þjón

Þegar SSH hefur verið sett upp, vertu viss um að setja upp SSH netþjóninn til að auðkenna með lykli í stað lykilorðs, IP vistfang bastion gestgjafans er það sama og IP vistfangið sem sett er í framsendingarreglunni hér að ofan.

Þú getur gert skyndipróf til að ganga úr skugga um að allt virki vel. Til að líkja eftir utan heimanetsins þíns geturðu notað snjalltækið þitt sem heitan reit með því að nota farsímagögn. Opnaðu flugstöðvarglugga og sláðu inn, skiptu honum út fyrir notandanafn reiknings á Bastion Host og með vistfangauppsetningu í skrefinu hér að ofan:

ssh -p 52739 @

Ef allt hefur verið sett upp á réttan hátt muntu sjá glugga Bastion Host Terminal.

3. Búðu til göng

Þú býrð til göng í gegnum SSH. Til dæmis, ef þú vilt fá aðgang að SMB deili á heimanetinu þínu af internetinu, tengdu við bastion hýsilinn og opnaðu göng að SMB hlutnum með því að keyra eftirfarandi skipun:

ssh -L 15445::445 -p 52739 @

Til dæmis mun ofangreind skipun virka

ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]

Ofangreind skipun tengist reikningnum á netþjóninum þínum í gegnum ytri SSH tengi 52739 á beini. Öll umferð sem send er á höfn 15445 (handahófskennd höfn) verður send í gegnum göngin, síðan áframsend til vélarinnar með IP tölu 10.1.2.250 og SMB tengi 445 .

Þú getur líka gert alla skipunina nafnlausa með því að slá inn:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]'

Þegar þú hefur tengst geturðu fengið aðgang að SMB hlutdeild með heimilisfanginu:

smb://localhost:15445

Þetta þýðir að þú munt geta skoðað staðbundna deilinguna af internetinu eins og þú værir á staðarnetinu.

Óska þér velgengni!

Sjá meira:

• Leiðbeiningar um notkun og Wifi netöryggi
• Netöryggi og nauðsyn þess að vita
• Leiðbeiningar um hvernig á að vernda WiFi net fyrir KRACK