Apsaugokite savo kompiuterių tinklą naudodami „Bastion Host“ tik 3 veiksmais

Ar vietiniame tinkle turite kompiuterių, kuriems reikalinga išorinė prieiga? Geras sprendimas gali būti bastioninio kompiuterio naudojimas kaip tinklo „vartų sargas“.

Kas yra „Bastion“ šeimininkas ?

Bastionas pažodžiui reiškia įtvirtintą vietą. Kompiuteriniu požiūriu tai yra tinklo mašina, kuri gali būti įeinančių ir išeinančių jungčių vartai.

Vikipedijos apibrėžimas: bastioninis kompiuteris yra specialios paskirties kompiuteris tinkle, specialiai sukurtas ir sukonfigūruotas atlaikyti atakas. Bastioniniame serveryje paprastai yra tik viena programa, pavyzdžiui, tarpinis serveris , kitos paslaugos pašalinamos arba ribojamos, kad būtų sumažintos grėsmės kompiuteriui. Priežastis, kodėl bastiono pagrindinis kompiuteris yra prijungtas prie laidų, yra dėl ypatingos vietos ir paskirties, paprastai esančios už ugniasienės arba DMZ (neutrali tinklo sritis tarp vidinio tinklo ir interneto) ir dažnai apima prieigą iš nepatikimų tinklų arba kompiuteriai.

Bastiono pagrindinį kompiuterį galite nustatyti kaip vienintelį įrenginį, kuris priima ryšius iš interneto. Tada, savo ruožtu, nustatykite visus kitus tinklo įrenginius, kad gautų tik įeinančius ryšius iš šio bastiono pagrindinio kompiuterio.

Šios sąrankos pranašumas yra saugumas. Bastiono šeimininkai gali užtikrinti labai griežtą apsaugą. Tai bus pirmoji apsaugos nuo bet kokių įsibrovėlių linija ir užtikrins likusių kompiuterių apsaugą. Be to, tai palengvina tinklo sąranką. Užuot persiuntę maršrutizatoriaus prievadus , jums tereikia persiųsti prievadą į „Bation“ pagrindinį kompiuterį, iš kurio galėsite išsišakoti į kitus įrenginius, kuriems reikia prisijungti prie privataus tinklo. Išsami informacija apie problemą bus paminėta kitame skyriuje.

Tinklo nustatymo schema

Tai yra tipinės tinklo sąrankos pavyzdys. Jei jums reikia prisijungti prie namų tinklo iš išorės, tai galite padaryti internetu. Maršrutizatorius perduos tą ryšį bastiono prieglobai. Prisijungę prie bastiono pagrindinio kompiuterio, galite pasiekti bet kurį kitą tinklo įrenginį. Taip pat nebus tiesioginės prieigos iš interneto prie kitų mašinų, išskyrus bastiono pagrindinį kompiuterį.

1. Dinaminė domenų vardų sistema ( dinaminis DNS )

Žinoma, daugeliui žmonių kyla klausimas, kaip namuose pasiekti maršrutizatorių internetu. Dauguma interneto paslaugų teikėjų (IPT) priskiria vartotojams laikiną IP adresą, kuris reguliariai keičiasi. Interneto paslaugų teikėjai dažnai ima papildomą mokestį už statinį IP adresą . Geros naujienos yra tai, kad šiuolaikinių maršrutizatorių nustatymuose dažnai yra dinamiška domenų vardų sistema.

Dinaminė domenų vardų sistema tam tikrais intervalais atnaujina pagrindinio kompiuterio pavadinimus naujais IP adresais, užtikrindama, kad vartotojai visada galėtų pasiekti savo namų tinklą. Yra daug teikėjų, teikiančių pirmiau minėtą paslaugą, pvz., Noip.com, kuri netgi turi nemokamą pakopą. Atminkite, kad nemokama pakopa reikalauja serverio pavadinimo patvirtinimo kas 30 dienų.

Prisijungę tiesiog sukurkite serverio pavadinimą, kuris turi būti unikalus. Jei turite „Netgear“ maršrutizatorių, jie teikia nemokamą dinaminę DNS paslaugą ir nereikės kas mėnesį patvirtinti.

Dabar prisijunkite prie maršrutizatoriaus ir ieškokite dinaminių DNS nustatymų. Skirtingi maršrutizatoriai turės skirtingus nustatymus. Kaip nustatyti, žr. maršrutizatoriaus vartotojo vadovą. Paprastai jums reikės įvesti informaciją šiuose keturiuose nustatymuose:

1. Tiekėjas
2. Domeno pavadinimas (serverio pavadinimas ką tik sukurtas)
3. Vartotojo vardas (el. pašto adresas, naudojamas kuriant dinaminį DNS)
4. Slaptažodis

Jei jūsų maršruto parinktuvas neturi dinaminių DNS nustatymų, No-IP teikia programinę įrangą, kurią galima įdiegti jūsų kompiuteryje. Atminkite, kad kompiuteris visada turi būti prisijungęs, kad būtų atnaujintas dinaminis DNS.

2. Peradresuoti arba peradresuoti prievadus

Šiuolaikiniai maršrutizatoriai turi žinoti, kur persiųsti gaunamus ryšius, atsižvelgdami į gaunamo ryšio prievado numerį. Vartotojai neturėtų naudoti numatytojo 22 SSH prievado, nes įsilaužėliai turi įrankius, kurie gali patikrinti įprastus prievadus ir gali lengvai pasiekti jūsų namų tinklą. Kai jie supras, kad maršrutizatorius priima ryšius per numatytąjį prievadą, jie pradės siųsti prisijungimo užklausas naudodami bendrą vartotojo vardą ir slaptažodį.

Nors atsitiktinių prievadų pasirinkimas visiškai neapsaugo nuo šios problemos, tai gali sumažinti į maršrutizatorių gaunamų užklausų skaičių. Jei jūsų maršrutizatorius gali persiųsti tik tą patį prievadą, turėtumėte nustatyti bastiono pagrindinį kompiuterį, kad jis naudotų SSH rakto autentifikavimą, o ne vartotojo vardą ir slaptažodį.

Įdiekite maršrutizatorių, kaip parodyta žemiau:

1. Paslaugos pavadinimas gali būti SSH
2. Protokolas (turėtų būti nustatytas į TCP)
3. Viešasis prievadas (turėtų būti aukštas prievadas, o ne 22, naudokite 52739)
4. Privatus IP adresas (Bastiono prieglobos IP)
5. Privatus prievadas (numatytasis SSH prievadas yra 22)

Bastionas

Vienintelis dalykas, kurio reikia bastionui, yra SSH. Jei diegimo metu nebuvo pasirinktas SSH, tiesiog įveskite:

sudo apt install OpenSSH-client

sudo apt įdiegti OpenSSH serverį

Įdiegę SSH, būtinai nustatykite SSH serverį autentifikuoti naudojant raktą, o ne slaptažodį, bastiono pagrindinio kompiuterio IP adresas yra toks pat kaip IP adresas, nustatytas aukščiau pateiktoje persiuntimo taisyklėje.

Galite atlikti greitą testą, kad įsitikintumėte, jog viskas veikia gerai. Norėdami imituoti už savo namų tinklo ribų, išmanųjį įrenginį galite naudoti kaip viešosios interneto prieigos tašką naudodami mobiliuosius duomenis. Atidarykite terminalo langą ir įveskite, pakeisdami jį bastiono prieglobos paskyros naudotojo vardu ir adreso sąranka aukščiau nurodytame veiksme:

ssh -p 52739 @

Jei viskas nustatyta teisingai, pamatysite bastiono pagrindinio terminalo langą.

3. Sukurkite tunelį

Jūs sukuriate tunelį per SSH. Pavyzdžiui, jei norite pasiekti SMB dalį savo namų tinkle iš interneto, prisijunkite prie bastiono pagrindinio kompiuterio ir atidarykite SMB bendrinimo tunelį vykdydami šią komandą:

ssh -L 15445::445 -p 52739 @

Pavyzdžiui, aukščiau pateikta komanda veiks

ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]

Aukščiau pateikta komanda prisijungia prie paskyros jūsų serveryje per maršrutizatoriaus išorinį SSH prievadą 52739. Bet koks srautas, siunčiamas į 15445 prievadą (savavališkas prievadas), bus siunčiamas per tunelį, tada persiunčiamas į įrenginį su IP adresu 10.1.2.250 ir SMB prievadu 445. .

Taip pat galite anonimizuoti visą komandą įvesdami:

pseudonimas sss='ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]'

Prisijungę galite pasiekti SMB bendrinimą naudodami adresą:

smb://localhost:15445

Tai reiškia, kad galėsite naršyti vietinę dalį iš interneto taip, lyg būtumėte vietiniame tinkle.

Linkime sėkmės!

Žiūrėti daugiau:

• Naudojimo ir Wifi tinklo saugumo instrukcijos
• Tinklo saugumas ir būtinybė žinoti
• Instrukcijos, kaip apsaugoti WiFi tinklus nuo KRACK