Aizsargājiet savu datortīklu, izmantojot Bastion resursdatoru, veicot tikai 3 darbības

Vai jūsu lokālajā tīklā ir datori, kuriem nepieciešama ārēja piekļuve? Bastiona resursdatora izmantošana kā tīkla "vārtsargs" var būt labs risinājums.

Kas ir Bastion saimnieks ?

Bastions burtiski nozīmē nocietinātu vietu. Datora izteiksmē tā ir mašīna tīklā, kas var būt ienākošo un izejošo savienojumu vārtsargs.

Wikipedia definīcija: bastiona resursdators ir tīkla īpašam nolūkam paredzēts dators, kas īpaši izstrādāts un konfigurēts, lai izturētu uzbrukumus. Bastiona serverī parasti tiek mitināta tikai viena lietojumprogramma, piemēram, starpniekserveris , citi pakalpojumi tiek noņemti vai ierobežoti, lai samazinātu datora apdraudējumu. Iemesls, kāpēc bastiona resursdators ir savienots ar vadiem, ir tā īpašā atrašanās vieta un mērķis, kas parasti atrodas ārpus ugunsmūra vai DMZ (neitrālā tīkla zonā starp iekšējo tīklu un internetu), un bieži vien ir saistīta ar piekļuvi no neuzticamiem tīkliem vai datori.

Bastiona resursdatoru varat iestatīt kā vienīgo iekārtu, kas pieņem savienojumus no interneta. Pēc tam, savukārt, iestatiet visas pārējās mašīnas tīklā, lai saņemtu tikai ienākošos savienojumus no šī bastiona saimniekdatora.

Šīs iestatīšanas priekšrocība ir drošība. Bastionu saimnieki var nodrošināt ļoti stingru drošību. Tā būs pirmā drošības līnija pret iebrucējiem un nodrošinās pārējo datoru aizsardzību. Turklāt tas atvieglo tīkla iestatīšanu. Tā vietā, lai pārsūtītu maršrutētāja portus , jums vienkārši jāpārsūta ports uz Bation resursdatoru, un no turienes varat pārsūtīt uz citām iekārtām, kurām ir nepieciešams piekļūt privātajam tīklam. Sīkāka informācija par problēmu tiks minēta nākamajā sadaļā.

Tīkla iestatīšanas diagramma

Šis ir tipiska tīkla iestatīšanas piemērs. Ja jums ir nepieciešams piekļūt mājas tīklam no ārpuses, varat to izdarīt, izmantojot internetu. Maršrutētājs pārsūtīs šo savienojumu bastiona saimniekdatoram. Kad esat izveidojis savienojumu ar bastiona resursdatoru, varat piekļūt jebkurai citai iekārtai tīklā. Tāpat no interneta nebūs tiešas piekļuves citām mašīnām, izņemot bastiona resursdatoru.

1. Dinamisko domēna nosaukumu sistēma ( dinamiskā DNS )

Protams, daudzi cilvēki domā, kā piekļūt maršrutētājam mājās, izmantojot internetu. Lielākā daļa interneta pakalpojumu sniedzēju (ISP) piešķir lietotājiem pagaidu IP adresi, kas regulāri mainās. Interneta pakalpojumu sniedzēji bieži iekasē papildu maksu par statisku IP adresi . Labā ziņa ir tā, ka mūsdienu maršrutētāju iestatījumos bieži ir dinamiska domēna nosaukumu sistēma.

Dinamiskā domēna nosaukumu sistēma noteiktos intervālos atjaunina resursdatora nosaukumus ar jaunām IP adresēm, nodrošinot, ka lietotāji vienmēr var piekļūt savam mājas tīklam. Ir daudz pakalpojumu sniedzēju, kas piedāvā iepriekš minēto pakalpojumu, piemēram, Noip.com, kuram pat ir bezmaksas līmenis. Ņemiet vērā, ka bezmaksas līmenim būs nepieciešams servera nosaukuma apstiprinājums ik pēc 30 dienām.

Kad esat pieteicies, vienkārši izveidojiet servera nosaukumu, kuram ir jābūt unikālam. Ja jums pieder Netgear maršrutētājs, tie nodrošina bezmaksas dinamisko DNS pakalpojumu un neprasa ikmēneša apstiprinājumu.

Tagad piesakieties maršrutētājā un meklējiet dinamiskos DNS iestatījumus. Dažādiem maršrutētājiem būs atšķirīgi iestatījumi. Lai uzzinātu, kā iestatīt, skatiet maršrutētāja lietotāja rokasgrāmatu. Parasti jums būs jāievada informācija šādos četros iestatījumos:

1. Piegādātājs
2. Domēna nosaukums (servera nosaukums tikko izveidots)
3. Lietotājvārds (e-pasta adrese, ko izmanto, lai izveidotu dinamisku DNS)
4. Parole

Ja maršrutētājam nav dinamisku DNS iestatījumu, No-IP nodrošina programmatūru, ko var instalēt jūsu datorā. Ņemiet vērā, ka datoram vienmēr jābūt tiešsaistē, lai atjauninātu dinamisko DNS.

2. Portu pārsūtīšana vai novirzīšana

Mūsdienu maršrutētājiem ir jāzina, kur pārsūtīt ienākošos savienojumus, pamatojoties uz ienākošā savienojuma porta numuru. Lietotājiem nevajadzētu izmantot noklusējuma SSH portu 22, jo hakeriem ir rīki, kas var pārbaudīt parastos portus un var viegli piekļūt jūsu mājas tīklam. Kad viņi sapratīs, ka maršrutētājs pieņem savienojumus noklusējuma portā, viņi sāks sūtīt savienojuma pieprasījumus ar kopīgu lietotājvārdu un paroli.

Lai gan nejaušu portu izvēle pilnībā nenovērš šo problēmu, tā var samazināt maršrutētājam nosūtīto pieprasījumu skaitu. Ja maršrutētājs var pārsūtīt tikai to pašu portu, bastiona resursdatoram ir jāiestata SSH atslēgas autentifikācija, nevis lietotājvārds un parole.

Instalējiet maršrutētāju, kā parādīts zemāk:

1. Pakalpojuma nosaukums var būt SSH
2. Protokols (jāiestata uz TCP)
3. Publiskais ports (jābūt augstam portam, nevis 22, izmantojiet 52739)
4. Privāta IP adrese (Bastiona saimniekdatora IP)
5. Privāts ports (noklusējuma SSH ports ir 22)

Bastions

Vienīgais, kas bastionam vajadzīgs, ir SSH. Ja instalēšanas laikā netika atlasīts SSH, vienkārši ierakstiet:

sudo apt instalēt OpenSSH klientu

sudo apt instalēt OpenSSH-serveri

Kad SSH ir instalēts, noteikti iestatiet SSH serveri, lai autentificētos ar atslēgu, nevis paroli. Bastiona resursdatora IP adrese ir tāda pati kā iepriekš minētajā pārsūtīšanas noteikumā iestatītā IP adrese.

Varat veikt ātru pārbaudi, lai pārliecinātos, ka viss darbojas pareizi. Lai simulētu ārpus mājas tīkla, viedierīci varat izmantot kā tīklāju, izmantojot mobilos datus. Atveriet termināļa logu un ievadiet, aizstājot to ar bastiona resursdatora konta lietotājvārdu un adreses iestatīšanu iepriekš minētajā darbībā:

ssh -p 52739 @

Ja viss ir iestatīts pareizi, jūs redzēsit bastiona resursdatora termināļa logu.

3. Izveidojiet tuneli

Jūs izveidojat tuneli, izmantojot SSH. Piemēram, ja vēlaties piekļūt SMB koplietojumam savā mājas tīklā no interneta, izveidojiet savienojumu ar bastiona resursdatoru un atveriet SMB koplietošanas tuneli, izpildot šādu komandu:

ssh -L 15445::445 -p 52739 @

Piemēram, darbosies iepriekš minētā komanda

ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]

Iepriekš minētā komanda izveido savienojumu ar jūsu servera kontu, izmantojot maršrutētāja ārējo SSH portu 52739. Jebkura trafika, kas tiek nosūtīta uz portu 15445 (patvaļīgs ports), tiks nosūtīta caur tuneli, pēc tam pārsūtīta uz iekārtu ar IP adresi 10.1.2.250 un SMB portu 445. .

Varat arī anonimizēt visu komandu, ierakstot:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]'

Kad savienojums ir izveidots, varat piekļūt SMB kopīgošanai ar adresi:

smb://localhost:15445

Tas nozīmē, ka varēsit pārlūkot vietējo daļu no interneta tā, it kā atrastos lokālajā tīklā.

Novēlam veiksmi!

Redzēt vairāk:

• Lietošanas instrukcija un Wifi tīkla drošība
• Tīkla drošība un nepieciešamība zināt
• Norādījumi, kā aizsargāt WiFi tīklus no KRACK