Zaščitite svoje računalniško omrežje z gostiteljem Bastion v samo 3 korakih

Ali imate v lokalnem omrežju računalnike, ki potrebujejo zunanji dostop? Uporaba bastionskega gostitelja kot "vratarja" za vaše omrežje je lahko dobra rešitev.

Kaj je gostitelj Bastion ?

Bastion dobesedno pomeni utrjeno mesto. V računalniškem smislu je stroj v omrežju, ki je lahko vratar za dohodne in odhodne povezave.

Definicija Wikipedije: Bastion gostitelj je računalnik s posebnim namenom v omrežju, ki je posebej zasnovan in konfiguriran za odpornost na napade. Bastion strežnik običajno gosti samo eno aplikacijo, na primer proxy strežnik , druge storitve so odstranjene ali omejene, da se zmanjšajo grožnje računalniku. Razlog, zakaj je bastion gostitelj trdo ožičen, je njegova posebna lokacija in namen, ki se običajno nahaja zunaj požarnega zidu ali v DMZ (nevtralnem omrežnem območju med notranjim omrežjem in internetom) in pogosto vključuje dostop iz nezaupljivih omrežij ali računalniki.

Gostitelj bastiona lahko nastavite kot edini stroj, ki sprejema povezave iz interneta. Nato nastavite vse druge stroje v omrežju tako, da sprejemajo samo dohodne povezave od tega bastion gostitelja.

Prednost te nastavitve je varnost. Bastion gostitelji lahko zagotovijo zelo močno varnost. To bo prva linija varnostne obrambe pred vsemi vsiljivci in bo zagotovila zaščito preostalih računalnikov. Poleg tega olajša nastavitev omrežja. Namesto posredovanja vrat na usmerjevalniku morate le posredovati vrata gostitelju Bation, od tam pa se lahko razvejate na druge stroje, ki potrebujejo dostop do zasebnega omrežja. Podrobnosti o tem vprašanju bodo omenjene v naslednjem razdelku.

Diagram nastavitve omrežja

To je primer tipične nastavitve omrežja. Če potrebujete dostop do domačega omrežja od zunaj, lahko to storite prek interneta. Usmerjevalnik bo to povezavo posredoval glavnemu gostitelju. Ko se povežete z bastion gostiteljem, lahko dostopate do katerega koli drugega računalnika v omrežju. Prav tako ne bo neposrednega dostopa iz interneta do strojev, ki niso gostitelj bastiona.

1. Dinamični sistem domenskih imen ( Dinamični DNS )

Zagotovo se marsikdo sprašuje, kako dostopati do usmerjevalnika doma prek interneta. Večina ponudnikov internetnih storitev (ISP) uporabnikom dodeli začasen naslov IP, ki se redno spreminja. Ponudniki internetnih storitev pogosto zaračunajo dodatno za statični naslov IP . Dobra novica je, da imajo današnji usmerjevalniki pogosto v nastavitvah dinamični sistem imen domen.

Dinamični sistem imen domen posodablja imena gostiteljev z novimi naslovi IP v določenih intervalih, kar uporabnikom zagotavlja vedno dostop do domačega omrežja. Obstaja veliko ponudnikov z zgornjo storitvijo, kot je Noip.com, ki ima celo brezplačno stopnjo. Upoštevajte, da bo brezplačna stopnja zahtevala potrditev imena strežnika vsakih 30 dni.

Ko se prijavite, preprosto ustvarite ime strežnika, ki mora biti edinstveno. Če imate usmerjevalnik Netgear, ponujajo brezplačno dinamično storitev DNS in ne bodo zahtevale mesečne potrditve.

Zdaj se prijavite v svoj usmerjevalnik in poiščite dinamične nastavitve DNS. Različni usmerjevalniki bodo imeli različne nastavitve, glejte navodila za uporabo usmerjevalnika, kako nastaviti. Običajno boste morali vnesti podatke v naslednje štiri nastavitve:

1. Dobavitelj
2. Ime domene (pravkar ustvarjeno ime strežnika)
3. Uporabniško ime (e-poštni naslov, uporabljen za ustvarjanje dinamičnega DNS-ja)
4. Geslo

Če vaš usmerjevalnik nima dinamičnih nastavitev DNS, No-IP ponuja programsko opremo, ki jo je mogoče namestiti v vaš računalnik. Upoštevajte, da mora biti računalnik za posodobitev dinamičnega DNS vedno povezan.

2. Vrata za posredovanje ali preusmeritev

Današnji usmerjevalniki morajo vedeti, kam posredovati dohodne povezave, glede na številko vrat na dohodni povezavi. Uporabniki ne bi smeli uporabljati privzetih vrat SSH 22, ker imajo hekerji orodja, ki lahko preverijo običajna vrata in zlahka dostopajo do vašega domačega omrežja. Ko ugotovijo, da usmerjevalnik sprejema povezave na privzetih vratih, bodo začeli pošiljati zahteve za povezavo s skupnim uporabniškim imenom in geslom.

Čeprav izbira naključnih vrat ne prepreči popolnoma te težave, lahko zmanjša število zahtev, ki prihajajo na usmerjevalnik. Če lahko vaš usmerjevalnik posreduje le ista vrata, bi morali gostitelja bastiona nastaviti tako, da uporablja preverjanje pristnosti ključa SSH in ne uporabniškega imena in gesla.

Namestite usmerjevalnik, kot je prikazano spodaj:

1. Ime storitve je lahko SSH
2. Protokol (naj bo nastavljen na TCP)
3. Javna vrata (naj bodo visoka vrata, ne 22, uporabite 52739)
4. Zasebni naslov IP (IP gostitelja Bastion)
5. Zasebna vrata (privzeta vrata SSH so 22)

Bastion

Edina stvar, ki jo Bastion potrebuje, je SSH. Če SSH med namestitvijo ni bil izbran, samo vnesite:

sudo apt namestite odjemalca OpenSSH

sudo apt namestite strežnik OpenSSH

Ko je SSH nameščen, se prepričajte, da ste nastavili strežnik SSH za preverjanje pristnosti s ključem namesto z geslom, naslov IP gostitelja bastiona je enak naslovu IP, nastavljenem v zgornjem pravilu posredovanja.

Opravite lahko hiter preizkus, da se prepričate, ali vse deluje v redu. Za simulacijo zunaj domačega omrežja lahko svojo pametno napravo uporabite kot dostopno točko prek mobilnih podatkov. Odprite terminalsko okno in vnesite ter ga nadomestite z uporabniškim imenom računa na bastion gostitelju in z nastavitvijo naslova v zgornjem koraku:

ssh -p 52739 @

Če je vse pravilno nastavljeno, boste videli okno bastion host terminala.

3. Ustvarite tunel

Ustvarite tunel prek SSH. Na primer, če želite dostopati do skupne rabe SMB v domačem omrežju iz interneta, se povežite z gostiteljem bastiona in odprite tunel do skupne rabe SMB tako, da zaženete naslednji ukaz:

ssh -L 15445::445 -p 52739 @

Na primer, zgornji ukaz bo deloval

ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]

Zgornji ukaz se poveže z računom na vašem strežniku prek zunanjih vrat SSH usmerjevalnika 52739. Vsak promet, poslan na vrata 15445 (poljubna vrata), bo poslan skozi tunel, nato pa posredovan v napravo z naslovom IP 10.1.2.250 in vrati SMB 445 .

Celoten ukaz lahko tudi anonimizirate tako, da vnesete:

vzdevek sss='ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]'

Ko se povežete, lahko dostopate do skupne rabe SMB z naslovom:

smb://localhost:15445

To pomeni, da boste lahko brskali po lokalni skupni rabi iz interneta, kot če bi bili v lokalnem omrežju.

Želim vam uspeh!

Poglej več:

• Navodila za uporabo in varnost Wifi omrežja
• Varnost omrežja in potreba po znanju
• Navodila, kako zaščititi WiFi omrežja pred KRACK-om