Захистіть свою комп’ютерну мережу за допомогою Bastion host всього за 3 кроки

У вашій локальній мережі є комп’ютери, яким потрібен зовнішній доступ? Хорошим рішенням може бути використання бастіонного хоста як «привратника» для вашої мережі.

Що таке Bastion host ?

Бастіон буквально перекладається як укріплене місце. З точки зору комп’ютера, це машина в мережі, яка може бути воротарем для вхідних і вихідних з’єднань.

Визначення у Вікіпедії: бастіонний хост — це комп’ютер спеціального призначення в мережі, спеціально розроблений і налаштований для протистояння атакам. Базіонний сервер зазвичай містить лише одну програму, наприклад проксі-сервер , інші служби видаляються або обмежуються, щоб мінімізувати загрози для комп’ютера. Причина, чому бастіонний хост є жорстко підключеним, полягає в його спеціальному розташуванні та призначенні, зазвичай розташованому за межами брандмауера або в DMZ (нейтральній зоні мережі між внутрішньою мережею та Інтернетом) і часто передбачає доступ із ненадійних мереж або комп'ютери.

Ви можете налаштувати хост bastion як єдину машину, яка приймає підключення з Інтернету. Потім, у свою чергу, налаштуйте всі інші машини в мережі на отримання вхідних з’єднань лише від цього бастіонного хоста.

Перевагою цього налаштування є безпека. Хости Bastion можуть забезпечити дуже сувору безпеку. Це буде перша лінія захисту від будь-яких зловмисників і гарантуватиме захист решти комп’ютерів. Крім того, це також полегшує налаштування мережі. Замість того, щоб перенаправляти порти на маршрутизаторі , вам просто потрібно перенаправити порт на хост Bation, звідти ви зможете розгалужуватися на інші машини, яким потрібен доступ до приватної мережі. Подробиці проблеми будуть розглянуті в наступному розділі.

Схема налаштування мережі

Це приклад типового налаштування мережі. Якщо вам потрібен доступ до домашньої мережі ззовні, ви можете зробити це через Інтернет. Маршрутизатор перешле це з’єднання на бастіонний хост. Після підключення до хосту bastion ви можете отримати доступ до будь-якої іншої машини в мережі. Так само не буде прямого доступу з Інтернету до комп’ютерів, крім хосту bastion.

1. Динамічна система доменних імен ( Dynamic DNS )

Напевно багато хто задається питанням, як отримати доступ до роутера вдома через інтернет. Більшість постачальників послуг Інтернету (ISP) призначають користувачам тимчасові IP-адреси, які регулярно змінюються. Інтернет-провайдери часто стягують додаткову плату за статичну IP-адресу . Хороша новина полягає в тому, що сучасні маршрутизатори часто мають динамічну систему доменних імен у налаштуваннях.

Система динамічних доменних імен оновлює імена хостів новими IP-адресами через певні проміжки часу, забезпечуючи користувачам постійний доступ до своєї домашньої мережі. Існує багато провайдерів із зазначеними вище послугами, наприклад Noip.com, який навіть має безкоштовний рівень. Зауважте, що безкоштовний рівень вимагатиме підтвердження імені сервера кожні 30 днів.

Увійшовши в систему, просто створіть назву сервера, яка має бути унікальною. Якщо у вас є маршрутизатор Netgear, вони надають безкоштовну послугу динамічного DNS і не вимагатимуть щомісячного підтвердження.

Тепер увійдіть у свій маршрутизатор і знайдіть налаштування динамічного DNS. Різні маршрутизатори матимуть різні параметри, дивіться посібник користувача маршрутизатора, щоб дізнатися, як це зробити. Зазвичай вам потрібно буде ввести інформацію в такі чотири налаштування:

1. Постачальник
2. Доменне ім’я (щойно створене ім’я сервера)
3. Ім’я користувача (електронна адреса, яка використовується для створення динамічного DNS)
4. Пароль

Якщо ваш маршрутизатор не має динамічних налаштувань DNS, No-IP надає програмне забезпечення, яке можна встановити на ваш комп’ютер. Зауважте, що для оновлення динамічного DNS комп’ютер завжди має бути в мережі.

2. Порти перенаправлення або перенаправлення

Сучасні маршрутизатори повинні знати, куди пересилати вхідні з’єднання, на основі номера порту вхідного з’єднання. Користувачам не слід використовувати стандартний порт SSH 22, оскільки хакери мають інструменти, які можуть перевіряти загальні порти та легко отримати доступ до вашої домашньої мережі. Коли вони зрозуміють, що маршрутизатор приймає з’єднання через стандартний порт, вони почнуть надсилати запити на з’єднання зі звичайним іменем користувача та паролем.

Хоча вибір довільних портів не повністю запобігає цій проблемі, він може зменшити кількість запитів, що надходять до маршрутизатора. Якщо ваш маршрутизатор може пересилати лише той самий порт, вам слід налаштувати хост-бастіон на використання автентифікації ключа SSH, а не імені користувача та пароля.

Встановіть маршрутизатор, як показано нижче:

1. Назва служби може бути SSH
2. Протокол (слід встановити TCP)
3. Загальнодоступний порт (має бути високий порт, а не 22, використовуйте 52739)
4. Приватна IP-адреса (IP-адреса хоста Bastion)
5. Приватний порт (за замовчуванням порт SSH 22)

Бастіон

Єдине, що потрібно бастіону, це SSH. Якщо SSH не було вибрано під час встановлення, просто введіть:

sudo apt встановити OpenSSH-клієнт

sudo apt інсталювати OpenSSH-сервер

Після встановлення SSH обов’язково налаштуйте SSH-сервер на автентифікацію за допомогою ключа замість пароля, IP-адреса бастіонного хоста збігається з IP-адресою, встановленою в наведеному вище правилі переадресації.

Ви можете зробити швидкий тест, щоб переконатися, що все працює нормально. Для імітації за межами вашої домашньої мережі ви можете використовувати свій смарт-пристрій як точку доступу за допомогою мобільних даних. Відкрийте вікно терміналу та введіть, замінивши його ім’ям користувача облікового запису на бастіонному хості та адресою, налаштованою на кроці вище:

ssh -p 52739 @

Якщо все налаштовано правильно, ви побачите вікно хост-терміналу bastion.

3. Створіть тунель

Ви створюєте тунель через SSH. Наприклад, якщо ви хочете отримати доступ до спільного ресурсу SMB у вашій домашній мережі з Інтернету, підключіться до основного хосту та відкрийте тунель до спільного ресурсу SMB, виконавши таку команду:

ssh -L 15445::445 -p 52739 @

Наприклад, наведена вище команда буде працювати

ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]

Наведена вище команда підключається до облікового запису на вашому сервері через зовнішній порт SSH маршрутизатора 52739. Будь-який трафік, надісланий на порт 15445 (довільний порт), буде надіслано через тунель, а потім перенаправлено на машину з IP-адресою 10.1.2.250 і SMB-портом 445 .

Ви також можете анонімізувати всю команду, ввівши:

псевдонім sss='ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]'

Після підключення ви можете отримати доступ до спільного ресурсу SMB за адресою:

smb://localhost:15445

Це означає, що ви зможете переглядати локальну спільну папку в Інтернеті так, ніби ви знаходитесь у локальній мережі.

Бажаю успіхів!

Побачити більше:

• Інструкції з використання та безпеки мережі Wi-Fi
• Безпека мережі та необхідність знати
• Інструкції, як захистити мережі WiFi від KRACK