Zaščitite svoje omrežje z gostiteljem Bastion v samo treh korakih

Zaščitite svoje omrežje z gostiteljem Bastion v samo treh korakih

Ali imate v svojem notranjem omrežju stroje, do katerih potrebujete dostop iz zunanjega sveta? Rešitev je lahko uporaba gostitelja bastion kot vratarja v vašem omrežju.





Kaj je Bastion Host?

Bastion dobesedno pomeni utrjen kraj. V računalniškem smislu je to naprava v vašem omrežju, ki je lahko vratar za dohodne in odhodne povezave.



Gostitelja bastion lahko nastavite kot edino napravo, ki sprejema dohodne povezave iz interneta. Nato pa vse druge stroje v svojem omrežju nastavite tako, da bodo prejemali samo dohodne povezave od vašega gostitelja bastiona. Kakšne koristi ima to?





Nad vsem drugim varnost. Govornik bastiona, kot že ime pove, ima lahko zelo strogo varnost. To bo prva obrambna črta pred vsiljivci in bo zagotovila zaščito ostalih vaših strojev.

Prav tako nekoliko olajša druge dele vaše omrežne nastavitve. Namesto da posredujete vrata na ravni usmerjevalnika, morate le eno vhodno vrata posredovati gostitelju bastion. Od tam se lahko razdelite na druge stroje, do katerih potrebujete dostop v svojem zasebnem omrežju. Ne bojte se, to bo obravnavano v naslednjem razdelku.



Diagram

To je primer tipične nastavitve omrežja. Če potrebujete dostop do domačega omrežja od zunaj, bi vstopili prek interneta. Vaš usmerjevalnik bo nato to povezavo posredoval vašemu gostitelju bastion. Ko se povežete z gostiteljem bastiona, boste lahko dostopali do vseh drugih strojev v svojem omrežju. Prav tako ne bo dostopa do drugih strojev razen gostitelja bastiona neposredno iz interneta.

Dovolj odlašanja, čas za uporabo bastiona.



1. Dinamični DNS

Pronicljivi med vami so se morda spraševali, kako bi do interneta prišli do vašega domačega usmerjevalnika. Večina ponudnikov internetnih storitev (ISP) vam dodeli začasni naslov IP, ki se občasno spreminja. Ponudniki internetnih storitev običajno zaračunavajo dodatno, če želite statični naslov IP. Dobra novica je, da imajo sodobni usmerjevalniki ponavadi v nastavitve vpeljan dinamičen DNS.

Dinamični DNS v določenih časovnih presledkih posodobi ime vašega gostitelja z novim naslovom IP, kar vam omogoča, da vedno dostopate do svojega domačega omrežja. Obstaja veliko ponudnikov, ki ponujajo omenjeno storitev, eden od njih je Brez IP-ja, ki ima celo brezplačno raven . Zavedajte se, da bo brezplačna raven zahtevala, da enkrat na 30 dni potrdite svoje ime gostitelja. To je le 10-sekundni postopek, ki ga vseeno spomnijo, da ga je treba izvesti.



Ko se prijavite, preprosto ustvarite ime gostitelja. Ime gostitelja bo moralo biti edinstveno in to je to. Če ste lastnik usmerjevalnika Netgear, ponuja brezplačen dinamični DNS, ki ne zahteva mesečne potrditve.

kako ustvariti vektorje v Illustratorju

Zdaj se prijavite v usmerjevalnik in poiščite dinamično nastavitev DNS. To se bo od usmerjevalnika do usmerjevalnika razlikovalo, če pa se vam v naprednih nastavitvah ne skriva, preverite uporabniški priročnik proizvajalca. Običajno morate vnesti štiri nastavitve:

  1. Ponudnik
  2. Ime domene (ime gostitelja, ki ste ga pravkar ustvarili)
  3. Prijavno ime (e -poštni naslov, uporabljen za ustvarjanje vašega dinamičnega DNS -ja)
  4. Geslo

Če vaš usmerjevalnik nima dinamične nastavitve DNS, No-IP ponuja programsko opremo, ki jo lahko namestite na lokalni računalnik da bi dosegli enak rezultat. Ta stroj bo moral biti na spletu, da bo dinamični DNS posodobljen.

2. Posredovanje ali preusmeritev vrat

Usmerjevalnik mora zdaj vedeti, kam naj posreduje dohodno povezavo. To naredi glede na številko vrat na dohodni povezavi. Dobra praksa je, da ne uporabljate privzetih vrat SSH, to je 22, za vrata, obrnjena proti javnosti.

Razlog za neuporabo privzetih vrat je, ker imajo hekerji namenske iskalce vrat. Ta orodja nenehno preverjajo, ali so v vašem omrežju odprta dobro znana vrata. Ko ugotovijo, da vaš usmerjevalnik sprejema povezave na privzetih vratih, začnejo pošiljati zahteve za povezavo s skupnimi uporabniškimi imeni in gesli.

Čeprav izbira naključnih vrat ne bo popolnoma ustavila smrtonosnih vohljačev, bo drastično zmanjšala število zahtev, ki prihajajo na vaš usmerjevalnik. Če lahko vaš usmerjevalnik posreduje samo ista vrata, to ni problem, saj morate gostitelja bastion nastaviti tako, da uporablja preverjanje pristnosti SSH ključev in ne uporabniških imen in gesel.

Nastavitve usmerjevalnika bi morale izgledati tako:

  1. Ime storitve, ki je lahko SSH
  2. Protokol (nastavljen na TCP)
  3. Javno pristanišče (mora biti visoko pristanišče, ki ni 22, uporabite 52739)
  4. Zasebni IP (IP vašega gostitelja bastiona)
  5. Zasebna vrata (privzeta vrata SSH, to je 22)

Bastion

Edina stvar, ki jo potrebuje vaš bastion, je SSH. Če to ni bilo izbrano med namestitvijo, preprosto vnesite:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

Ko je SSH nameščen, nastavite, da strežnik SSH preverja pristnost s ključi namesto z gesli. Prepričajte se, da je IP vašega gostitelja bastion enak tistemu, ki je določen v zgornjem pravilu za posredovanje vrat.

Lahko izvedemo hiter test, da se prepričamo, ali vse deluje. Če želite simulirati, da ste zunaj domačega omrežja, lahko uporabite svojo pametno napravo kot dostopno točko medtem ko je na mobilnem omrežju. Odprite terminal in vnesite z uporabniškim imenom računa na gostitelju bastion in nastavitvijo naslova v zgornjem koraku A:

ssh -p 52739 @

Če je bilo vse pravilno nastavljeno, bi morali videti terminalsko okno gostitelja bastion.

3. Tuneliranje

Skozi SSH (v razumnem obsegu) lahko tunelirate skoraj vse. Če želite na primer iz interneta dobiti dostop do skupne rabe malih in srednje velikih podjetij v svojem domačem omrežju, se povežite z gostiteljem bastiona in odprite predor za skupno rabo malih in srednjih podjetij. Dokončajte to čarovništvo preprosto z izvajanjem tega ukaza:

ssh -L 15445::445 -p 52739 @

Dejanski ukaz bi izgledal nekako takole:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Prekinitev tega ukaza je enostavna. Ta se poveže z računom na vašem strežniku prek zunanjih vrat SSH usmerjevalnika 52739. Vsak lokalni promet, poslan na vrata 15445 (poljubna vrata), bo poslan skozi predor, nato pa posredovani napravi z IP 10.1.2.250 in SMB vrata 445.

Če želite postati res pametni, lahko celoten ukaz poimenujemo z vnosom:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Zdaj morate vnesti samo terminal sss , in bob je tvoj stric.

Ko je povezava vzpostavljena, lahko dostopate do skupne rabe malih in srednje velikih podjetij z naslovom:

smb://localhost:15445

To pomeni, da boste lahko po tem lokalnem deležu brskali po internetu, kot da bi bili v lokalnem omrežju. Kot smo že omenili, lahko s SSH -jem precej tunelirate v karkoli. Tudi do strojev Windows, ki imajo omogočeno oddaljeno namizje, je mogoče dostopati skozi tunel SSH.

Povzetek

Ta članek je zajemal veliko več kot le gostitelja bastiona, in uspelo vam je, da ste prišli tako daleč. Če imate gostitelja bastion, bodo druge naprave, ki imajo izpostavljene storitve, zaščitene. Zagotavlja tudi dostop do teh virov od koder koli po svetu. Praznujte ob kavi, čokoladi ali oboje. Osnovni koraki, ki smo jih obravnavali, so bili:

  • Nastavite dinamični DNS
  • Posredite zunanja vrata na notranja vrata
  • Ustvarite predor za dostop do lokalnega vira

Ali morate dostopati do lokalnih virov iz interneta? Ali za to trenutno uporabljate VPN? Ste že uporabljali predore SSH?

Zasluge za sliko: TopVectors/ Depositphotos

Deliti Deliti Cvrkutati E-naslov 3 načini, kako preveriti, ali je e -pošta resnična ali lažna

Če ste prejeli e -poštno sporočilo, ki je videti nekoliko dvomljivo, je vedno najbolje preveriti njegovo pristnost. Tu so trije načini, kako ugotoviti, ali je e -poštno sporočilo resnično.

Preberite Naprej Sorodne teme
  • Linux
  • Varnost
  • Spletna varnost
  • Linux
O avtorju Yusuf Limalia(49 objavljenih člankov)

Yusuf želi živeti v svetu, polnem inovativnih podjetij, pametnih telefonov v kompletu s temno praženo kavo in računalnikov, ki imajo hidrofobna polja sil, ki dodatno odbijajo prah. Kot poslovni analitik in diplomant Durbanske tehnološke univerze z več kot 10 letnimi izkušnjami v hitro rastoči tehnološki industriji uživa kot posrednik med tehničnimi in netehničnimi ljudmi ter vsem pomaga do hitrega napredka s tehnologijo.

Več od Yusufa Limalije

Naročite se na naše novice

Pridružite se našemu glasilu za tehnične nasvete, ocene, brezplačne e -knjige in ekskluzivne ponudbe!

Kliknite tukaj, če se želite naročiti