Skydda ditt nätverk med en Bastion -värd på bara tre steg

Skydda ditt nätverk med en Bastion -värd på bara tre steg

Har du maskiner i ditt interna nätverk som du behöver komma åt från omvärlden? Att använda en bastionsvärd som portvakt till ditt nätverk kan vara lösningen.





Vad är en Bastion -värd?

Bastion översätts bokstavligen till en plats som är befäst. I dator termer är det en maskin i ditt nätverk som kan vara grindvakten för inkommande och utgående anslutningar.



Du kan ställa in din bastionsvärd som den enda maskinen som accepterar inkommande anslutningar från internet. Ställ sedan in alla andra maskiner i ditt nätverk för att endast ta emot inkommande anslutningar från din bastionsvärd. Vilka fördelar har detta?





Utöver allt annat, säkerhet. Bastionsvärden, som namnet antyder, kan ha mycket tät säkerhet. Det kommer att vara den första försvarslinjen mot inkräktare och se till att resten av dina maskiner är skyddade.

Det gör också andra delar av din nätverksinställning något enklare. Istället för att vidarebefordra portar på routernivå behöver du bara vidarebefordra en inkommande port till din bastionvärd. Därifrån kan du förgrena dig till andra maskiner du behöver åtkomst till i ditt privata nätverk. Var inte rädd, detta kommer att behandlas i nästa avsnitt.



Diagrammet

Detta är ett exempel på en typisk nätverksinställning. Om du behöver åtkomst till ditt hemnätverk från utsidan skulle du komma in via internet. Din router vidarebefordrar sedan anslutningen till din bastion -värd. När du är ansluten till din bastion -värd kommer du att kunna komma åt alla andra maskiner i ditt nätverk. På samma sätt kommer det inte att finnas tillgång till andra maskiner än bastionsvärden direkt från internet.

Nog med förhalning, dags att använda bastion.



1. Dynamisk DNS

Den kloka bland er kanske har undrat hur man skulle få tillgång till din hemrouter via internet. De flesta internetleverantörer tilldelar dig en tillfällig IP -adress som ändras så ofta. Internetleverantörer tenderar att ta ut extra om du vill ha en statisk IP -adress. Den goda nyheten är att moderna routrar tenderar att ha dynamisk DNS in i sina inställningar.

Dynamisk DNS uppdaterar ditt värdnamn med din nya IP -adress med bestämda intervall, så att du alltid kan komma åt ditt hemnätverk. Det finns många leverantörer som erbjuder tjänsten, varav en är No-IP som till och med har en gratis nivå . Tänk på att gratisnivån kräver att du bekräftar ditt värdnamn en gång var 30: e dag. Det är bara en 10-sekunders process, som de påminner om att göra ändå.



När du har registrerat dig skapar du bara ett värdnamn. Ditt värdnamn måste vara unikt, och det är det. Om du äger en Netgear -router erbjuder de en gratis dynamisk DNS som inte kräver en månadsbekräftelse.

varför är mina mobildata så långsamma

Logga nu in på din router och leta efter den dynamiska DNS -inställningen. Detta kommer att skilja sig från router till router, men om du inte tycker att det lurar under avancerade inställningar, kontrollera tillverkarens bruksanvisning. De fyra inställningar du vanligtvis behöver ange är:

  1. Leverantören
  2. Domännamn (värdnamnet du just skapade)
  3. Inloggningsnamn (e -postadressen som används för att skapa din dynamiska DNS)
  4. Lösenord

Om din router inte har en dynamisk DNS-inställning tillhandahåller No-IP programvara som du kan installera på din lokala maskin för att uppnå samma resultat. Den här maskinen måste vara online för att den dynamiska DNS ska vara uppdaterad.

2. Port vidarebefordran eller omdirigering

Routern behöver nu veta var den inkommande anslutningen ska vidarebefordras. Det gör detta baserat på portnumret som finns på den inkommande anslutningen. En god praxis här är att inte använda standard SSH -porten, som är 22, för den offentliga porten.

Anledningen till att inte använda standardporten är att hackare har dedikerade portsniffare. Dessa verktyg söker ständigt efter välkända portar som kan vara öppna i ditt nätverk. När de upptäcker att din router accepterar anslutningar på en standardport börjar de skicka anslutningsbegäranden med vanliga användarnamn och lösenord.

Även om valet av en slumpmässig port inte kommer att stoppa de elakartade sniffarna helt och hållet, kommer det att drastiskt minska antalet förfrågningar som kommer till din router. Om din router bara kan vidarebefordra samma port, är det inget problem, eftersom du bör ställa in din bastionsvärd för att använda SSH -knappsautentisering och inte användarnamn och lösenord.

En routerns inställningar bör se ut så här:

  1. Tjänstens namn som kan vara SSH
  2. Protokoll (bör vara inställt på TCP)
  3. Offentlig port (bör vara en hög port som inte är 22, använd 52739)
  4. Privat IP (din bastionsvärts IP)
  5. Privat port (standard SSH -port, som är 22)

Bastionen

Det enda din bastion behöver är SSH. Om detta inte valdes vid installationen, skriver du helt enkelt:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

När SSH är installerat ska du ställa in din SSH -server för att autentisera med nycklar istället för lösenord. Se till att din bastionsvärdens IP är densamma som den som anges i port forward -regeln ovan.

Vi kan köra ett snabbtest för att se till att allt fungerar. Du kan simulera att vara utanför ditt hemnätverk använd din smarta enhet som en hotspot medan det är på mobildata. Öppna en terminal och skriv, ersätt med användarnamnet för ett konto på din bastion -värd och med adressinställningen i steg A ovan:

ssh -p 52739 @

Om allt var rätt inställt bör du nu se terminalfönstret för din bastionsvärd.

3. Tunnel

Du kan tunnla nästan vad som helst genom SSH (inom rimlig anledning). Till exempel, om du ville få åtkomst till en SMB -resurs på ditt hemnätverk från internet, anslut till din bastionsvärd och öppna en tunnel till SMB -resursen. Uppnå denna trolldom helt enkelt genom att köra detta kommando:

ssh -L 15445::445 -p 52739 @

Ett verkligt kommando skulle se ut ungefär så här:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Att bryta ner det här kommandot är enkelt. Detta ansluter till kontot på din server via routerns externa SSH -port 52739. All lokal trafik som skickas till port 15445 (en godtycklig port) kommer att skickas genom tunneln och sedan vidarebefordras till maskinen med IP: n 10.1.2.250 och SMB port 445.

Om du vill bli riktigt smart kan vi alias hela kommandot genom att skriva:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Nu behöver du bara skriva in terminalen sss , och bob är din farbror.

När anslutningen har gjorts kan du komma åt din SMB -delning med adressen:

smb://localhost:15445

Det betyder att du kommer att kunna bläddra i den lokala andelen från internet som om du var på det lokala nätverket. Som nämnts kan du i stort sett tunnela in i allt med SSH. Även Windows -maskiner som har fjärrskrivbord aktiverat kan nås via en SSH -tunnel.

Sammanfattning

Den här artikeln täckte mycket mer än bara en bastionsvärd, och du har gjort det bra för att komma så här långt. Att ha en bastionsvärd kommer att innebära att de andra enheter som har tjänster som exponeras kommer att skyddas. Det säkerställer också att du kan komma åt dessa resurser var som helst i världen. Glöm inte att fira med kaffe, choklad eller båda. De grundläggande stegen vi har täckt var:

  • Skapa dynamisk DNS
  • Vidarebefordra en extern port till en intern port
  • Skapa en tunnel för att komma åt en lokal resurs

Behöver du få tillgång till lokala resurser från internet? Använder du för närvarande ett VPN för att uppnå detta? Har du använt SSH -tunnlar tidigare?

Bildkredit: TopVectors/ Depositphotos

Dela med sig Dela med sig Tweet E-post 3 sätt att kontrollera om ett e -postmeddelande är riktigt eller falskt

Om du har fått ett e -postmeddelande som ser lite tveksamt ut är det alltid bäst att kontrollera dess äkthet. Här är tre sätt att se om ett e -postmeddelande är sant.

Läs Nästa Relaterade ämnen
  • Linux
  • säkerhet
  • Online säkerhet
  • Linux
Om författaren Yusuf Limalia(49 artiklar publicerade)

Yusuf vill leva i en värld fylld med innovativa företag, smartphones som levereras med mörkt rostat kaffe och datorer som har hydrofoba kraftfält som dessutom stöter bort damm. Som affärsanalytiker och examen från Durban University of Technology, med över 10 års erfarenhet inom en snabbt växande teknikindustri, tycker han om att vara mellanmannen mellan tekniska och icke tekniska människor och hjälpa alla att komma igång med blidande teknik.

Mer från Yusuf Limalia

Prenumerera på vårt nyhetsbrev

Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e -böcker och exklusiva erbjudanden!

Klicka här för att prenumerera