У вашій локальній мережі є комп’ютери, яким потрібен зовнішній доступ? Хорошим рішенням може бути використання бастіонного хоста як «привратника» для вашої мережі.
Що таке Bastion host ?
Бастіон буквально перекладається як укріплене місце. З точки зору комп’ютера, це машина в мережі, яка може бути воротарем для вхідних і вихідних з’єднань.
Визначення у Вікіпедії: бастіонний хост — це комп’ютер спеціального призначення в мережі, спеціально розроблений і налаштований для протистояння атакам. Базіонний сервер зазвичай містить лише одну програму, наприклад проксі-сервер , інші служби видаляються або обмежуються, щоб мінімізувати загрози для комп’ютера. Причина, чому бастіонний хост є жорстко підключеним, полягає в його спеціальному розташуванні та призначенні, зазвичай розташованому за межами брандмауера або в DMZ (нейтральній зоні мережі між внутрішньою мережею та Інтернетом) і часто передбачає доступ із ненадійних мереж або комп'ютери.
Ви можете налаштувати хост bastion як єдину машину, яка приймає підключення з Інтернету. Потім, у свою чергу, налаштуйте всі інші машини в мережі на отримання вхідних з’єднань лише від цього бастіонного хоста.
Перевагою цього налаштування є безпека. Хости Bastion можуть забезпечити дуже сувору безпеку. Це буде перша лінія захисту від будь-яких зловмисників і гарантуватиме захист решти комп’ютерів. Крім того, це також полегшує налаштування мережі. Замість того, щоб перенаправляти порти на маршрутизаторі , вам просто потрібно перенаправити порт на хост Bation, звідти ви зможете розгалужуватися на інші машини, яким потрібен доступ до приватної мережі. Подробиці проблеми будуть розглянуті в наступному розділі.
Схема налаштування мережі
Це приклад типового налаштування мережі. Якщо вам потрібен доступ до домашньої мережі ззовні, ви можете зробити це через Інтернет. Маршрутизатор перешле це з’єднання на бастіонний хост. Після підключення до хосту bastion ви можете отримати доступ до будь-якої іншої машини в мережі. Так само не буде прямого доступу з Інтернету до комп’ютерів, крім хосту bastion.
1. Динамічна система доменних імен ( Dynamic DNS )
Напевно багато хто задається питанням, як отримати доступ до роутера вдома через інтернет. Більшість постачальників послуг Інтернету (ISP) призначають користувачам тимчасові IP-адреси, які регулярно змінюються. Інтернет-провайдери часто стягують додаткову плату за статичну IP-адресу . Хороша новина полягає в тому, що сучасні маршрутизатори часто мають динамічну систему доменних імен у налаштуваннях.
Система динамічних доменних імен оновлює імена хостів новими IP-адресами через певні проміжки часу, забезпечуючи користувачам постійний доступ до своєї домашньої мережі. Існує багато провайдерів із зазначеними вище послугами, наприклад Noip.com, який навіть має безкоштовний рівень. Зауважте, що безкоштовний рівень вимагатиме підтвердження імені сервера кожні 30 днів.
Увійшовши в систему, просто створіть назву сервера, яка має бути унікальною. Якщо у вас є маршрутизатор Netgear, вони надають безкоштовну послугу динамічного DNS і не вимагатимуть щомісячного підтвердження.
Тепер увійдіть у свій маршрутизатор і знайдіть налаштування динамічного DNS. Різні маршрутизатори матимуть різні параметри, дивіться посібник користувача маршрутизатора, щоб дізнатися, як це зробити. Зазвичай вам потрібно буде ввести інформацію в такі чотири налаштування:
Якщо ваш маршрутизатор не має динамічних налаштувань DNS, No-IP надає програмне забезпечення, яке можна встановити на ваш комп’ютер. Зауважте, що для оновлення динамічного DNS комп’ютер завжди має бути в мережі.
2. Порти перенаправлення або перенаправлення
Сучасні маршрутизатори повинні знати, куди пересилати вхідні з’єднання, на основі номера порту вхідного з’єднання. Користувачам не слід використовувати стандартний порт SSH 22, оскільки хакери мають інструменти, які можуть перевіряти загальні порти та легко отримати доступ до вашої домашньої мережі. Коли вони зрозуміють, що маршрутизатор приймає з’єднання через стандартний порт, вони почнуть надсилати запити на з’єднання зі звичайним іменем користувача та паролем.
Хоча вибір довільних портів не повністю запобігає цій проблемі, він може зменшити кількість запитів, що надходять до маршрутизатора. Якщо ваш маршрутизатор може пересилати лише той самий порт, вам слід налаштувати хост-бастіон на використання автентифікації ключа SSH, а не імені користувача та пароля.
Встановіть маршрутизатор, як показано нижче:
Бастіон
Єдине, що потрібно бастіону, це SSH. Якщо SSH не було вибрано під час встановлення, просто введіть:
sudo apt встановити OpenSSH-клієнт
sudo apt інсталювати OpenSSH-сервер
Після встановлення SSH обов’язково налаштуйте SSH-сервер на автентифікацію за допомогою ключа замість пароля, IP-адреса бастіонного хоста збігається з IP-адресою, встановленою в наведеному вище правилі переадресації.
Ви можете зробити швидкий тест, щоб переконатися, що все працює нормально. Для імітації за межами вашої домашньої мережі ви можете використовувати свій смарт-пристрій як точку доступу за допомогою мобільних даних. Відкрийте вікно терміналу та введіть, замінивши його ім’ям користувача облікового запису на бастіонному хості та адресою, налаштованою на кроці вище:
ssh -p 52739 @
Якщо все налаштовано правильно, ви побачите вікно хост-терміналу bastion.
3. Створіть тунель
Ви створюєте тунель через SSH. Наприклад, якщо ви хочете отримати доступ до спільного ресурсу SMB у вашій домашній мережі з Інтернету, підключіться до основного хосту та відкрийте тунель до спільного ресурсу SMB, виконавши таку команду:
ssh -L 15445::445 -p 52739 @
Наприклад, наведена вище команда буде працювати
ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]
Наведена вище команда підключається до облікового запису на вашому сервері через зовнішній порт SSH маршрутизатора 52739. Будь-який трафік, надісланий на порт 15445 (довільний порт), буде надіслано через тунель, а потім перенаправлено на машину з IP-адресою 10.1.2.250 і SMB-портом 445 .
Ви також можете анонімізувати всю команду, ввівши:
псевдонім sss='ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]'
Після підключення ви можете отримати доступ до спільного ресурсу SMB за адресою:
smb://localhost:15445
Це означає, що ви зможете переглядати локальну спільну папку в Інтернеті так, ніби ви знаходитесь у локальній мережі.
Бажаю успіхів!
Побачити більше:
Scareware — це шкідлива комп’ютерна програма, створена для того, щоб змусити користувачів подумати, що це законна програма, і просить вас витратити гроші на те, що нічого не робить.
cFosSpeed - це програмне забезпечення, яке збільшує швидкість підключення до Інтернету, зменшує затримку передачі та збільшує міцність з'єднання приблизно в 3 рази. Спеціально для тих, хто грає в онлайн-ігри, cFosSpeed буде підтримувати, щоб ви могли випробувати гру без проблем з мережею.
Брандмауер Windows із розширеною безпекою — це брандмауер, який працює на Windows Server 2012 і ввімкнено за замовчуванням. Параметрами брандмауера в Windows Server 2012 можна керувати в консолі Microsoft Management Console брандмауера Windows.
Під час зміни пароля адміністратора сторінки входу модема та маршрутизатора Vigor Draytek користувачі обмежать несанкціонований доступ до зміни пароля модему, захищаючи важливу мережеву інформацію.
На щастя, користувачі комп’ютерів Windows із процесорами AMD Ryzen можуть використовувати Ryzen Master для легкого розгону оперативної пам’яті, не торкаючись BIOS.
Порт USB-C став стандартом для передачі даних, виведення відео та заряджання на сучасних ноутбуках Windows. Хоча це зручно, може бути неприємно, коли ви підключаєте свій ноутбук до зарядного пристрою USB-C, а він не заряджається.
Помилка «Неможливо створити службу» в Ultraviewer виникає, коли ми встановлюємо програмне забезпечення з кодом помилки 1072.
Помилка невідображення ідентифікатора в Ultraviewer вплине на підключення до віддаленого комп’ютера.
Ultraviewer дистанційно керує комп'ютером і має режим надсилання та отримання файлів.
Хакери можуть використовувати Sniffer для підслуховування незашифрованих даних і перегляду інформації, якою обмінюються дві сторони. Щоб краще зрозуміти Packet Sniffer, а також механізм дії Packet Sniffer, ви можете переглянути статтю Wiki.SpaceDesktop нижче.
