Защитите свою сеть с помощью бастионного хоста всего за 3 шага

У вас есть машины во внутренней сети, к которым вам нужен доступ из внешнего мира? Использование хост-бастиона в качестве привратника в вашей сети может быть решением.

Кто такой Бастион?

Бастион переводится буквально в место, которое укреплено. С точки зрения компьютера, это машина в вашей сети, которая может быть привратником для входящих и исходящих соединений.

Вы можете установить свой хост-бастион как единственный компьютер, который принимает входящие соединения из Интернета. Затем, в свою очередь, настройте все остальные машины в вашей сети, чтобы получать входящие соединения только с вашего хоста бастиона. Какие преимущества это имеет?

Помимо всего прочего, безопасность. Хозяин бастиона, как следует из названия, может иметь очень строгую безопасность. Это будет первая линия защиты от любых вторжений и обеспечит защиту остальных ваших машин.

Это также немного облегчает настройку других частей вашей сети. Вместо переадресации портов на уровне маршрутизатора вам просто нужно перенаправить один входящий порт на ваш бастионный хост. Оттуда вы можете перейти на другие машины, к которым вам нужен доступ в вашей частной сети. Не бойтесь, это будет рассмотрено в следующем разделе.

Диаграмма

как защитить домашнюю сеть с помощью бастионного хоста

Это пример типичной настройки сети. Если вам нужен доступ к вашей домашней сети извне, вы должны войти через Интернет. Затем ваш маршрутизатор переадресует это соединение на ваш бастионный хост. После подключения к вашему бастионному хосту вы сможете получить доступ к любым другим машинам в вашей сети. Точно так же не будет доступа к машинам, кроме хост-бастиона, непосредственно из Интернета.

Достаточно промедления, пора использовать бастион.

1. Динамический DNS

Проницательный среди вас, возможно, задавался вопросом, как получить доступ к вашему домашнему маршрутизатору через Интернет. Большинство интернет-провайдеров назначают вам временный IP-адрес, который меняется очень часто. Интернет-провайдеры, как правило, взимают дополнительную плату, если вам нужен статический IP-адрес. Хорошей новостью является то, что современные дневные маршрутизаторы имеют тенденцию использовать динамический DNS в своих настройках.

Динамический DNS обновляет ваше имя хоста с вашим новым IP-адресом через заданные интервалы, гарантируя, что вы всегда можете получить доступ к своей домашней сети. Есть много провайдеров, которые предлагают указанную услугу, одним из которых является No-IP, который даже имеет бесплатный уровень. Имейте в виду, что бесплатный уровень потребует от вас подтверждения вашего имени хоста раз в 30 дней. Это всего лишь 10-секундный процесс, который они все равно напоминают.

как защитить домашнюю сеть с помощью бастионного хоста

После регистрации просто создайте имя хоста. Ваше имя хоста должно быть уникальным, вот и все. Если у вас есть маршрутизатор Netgear, он предлагает бесплатный динамический DNS, который не требует ежемесячного подтверждения.

как защитить домашнюю сеть с помощью бастионного хоста

Теперь войдите в свой маршрутизатор и найдите динамические настройки DNS. Это может отличаться от маршрутизатора к маршрутизатору, но если вы не найдете его скрытым в расширенных настройках, обратитесь к руководству пользователя вашего производителя. Четыре параметра, которые вам обычно нужно будет ввести:

  1. Провайдер
  2. Доменное имя (имя хоста, которое вы только что создали)
  3. Имя для входа (адрес электронной почты, используемый для создания динамического DNS)
  4. пароль

Если у вашего маршрутизатора нет динамической настройки DNS, No-IP предоставляет программное обеспечение, которое вы можете установить на локальном компьютере для достижения того же результата. Эта машина должна быть в сети, чтобы поддерживать динамический DNS в актуальном состоянии.

2. Перенаправление портов или перенаправление

Теперь маршрутизатору необходимо знать, куда направить входящее соединение. Это делается на основе номера порта входящего соединения. Хорошей практикой здесь является не использовать порт SSH по умолчанию (22) для общедоступного порта.

Причина, по которой порт по умолчанию не используется, заключается в том, что у хакеров есть специальные анализаторы портов. Эти инструменты постоянно проверяют известные порты, которые могут быть открыты в вашей сети. Как только они обнаружат, что ваш маршрутизатор принимает подключения через порт по умолчанию, они начинают отправлять запросы на подключение с общими именами пользователей и паролями.

Хотя выбор случайного порта не остановит злонамеренных анализаторов, он значительно сократит количество запросов, поступающих на ваш маршрутизатор. Если ваш маршрутизатор может переадресовывать только один и тот же порт, это не проблема, так как вы должны настроить свой бастионный хост на использование аутентификации пары ключей SSH, а не имен пользователей и паролей.

Настройки маршрутизатора должны выглядеть примерно так:

как защитить домашнюю сеть с помощью бастионного хоста

  1. Название сервиса, которое может быть SSH
  2. Протокол (должен быть установлен на TCP)
  3. Публичный порт (должен быть высокий порт, который не 22, используйте 52739)
  4. Частный IP (IP вашего хост-бастиона)
  5. Частный порт (по умолчанию SSH-порт, который равен 22)

Бастион

Единственное, что понадобится вашему бастиону — это SSH. Если это не было выбрано во время установки, просто введите:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

После установки SSH убедитесь, что ваш SSH-сервер аутентифицируется с помощью ключей, а не паролей.

, Убедитесь, что IP-адрес вашего бастионного хоста совпадает с IP-адресом, установленным выше в правиле перенаправления портов.

Мы можем запустить быстрый тест, чтобы убедиться, что все работает. Чтобы имитировать нахождение вне домашней сети, вы можете использовать свое интеллектуальное устройство в качестве точки доступа

в то время как это на мобильных данных. Откройте терминал и введите, заменив его именем пользователя учетной записи на хосте своего бастиона и настройкой адреса на шаге A выше:

ssh -p 52739 @

Если все настроено правильно, вы должны увидеть окно терминала вашего бастионного хоста.

3. Туннелирование

Вы можете туннелировать что угодно через SSH (в пределах разумного). Например, если вы хотите получить доступ к общему ресурсу SMB в вашей домашней сети из Интернета, подключитесь к хосту своего бастиона и откройте туннель к общему ресурсу SMB. Выполните это волшебство, просто выполнив следующую команду:

ssh -L 15445::445 -p 52739 @

Фактическая команда будет выглядеть примерно так:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net 

Сломать эту команду легко. Он подключается к учетной записи на вашем сервере через внешний SSH-порт маршрутизатора 52739. Любой локальный трафик, отправляемый на порт 15445 (произвольный порт), будет отправляться через туннель, а затем перенаправляться на компьютер с IP-адресом 10.1.2.250 и SMB. порт 445.

Если вы хотите стать действительно умным, мы можем присвоить псевдоним всей команде, набрав:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Теперь все, что вам нужно набрать в терминале в sss, и Боб ваш дядя.

как защитить домашнюю сеть с помощью бастионного хоста

Как только соединение установлено, вы можете получить доступ к своему SMB-ресурсу по адресу:

smb://localhost:15445

как защитить домашнюю сеть с помощью бастионного хоста

Это означает, что вы сможете просматривать локальный общий ресурс из Интернета, как если бы вы находились в локальной сети. Как уже упоминалось, вы можете в значительной степени туннелировать во что угодно с SSH. Даже машины Windows, на которых включен удаленный рабочий стол, могут быть доступны через туннель SSH

,

резюмировать

Эта статья охватывает гораздо больше, чем просто бастионный хост, и вы хорошо сделали, что сделали это далеко. Наличие бастионного хоста будет означать, что другие устройства, которые имеют сервисы, которые доступны, будут защищены. Это также гарантирует, что вы можете получить доступ к этим ресурсам из любой точки мира. Не забудьте отпраздновать с кофе, шоколадом или и тем, и другим. Основные шаги, которые мы рассмотрели, были:

  • Настройте динамический DNS
  • Переадресация внешнего порта на внутренний порт
  • Создать туннель для доступа к локальному ресурсу

Вам нужен доступ к местным ресурсам из интернета? Используете ли вы в настоящее время VPN для достижения этой цели? Вы использовали SSH туннели раньше?

Кредит изображения: TopVectors / Depositphotos

Ссылка на основную публикацию
Adblock
detector