Lindungi Rangkaian Anda Dengan Bastion Host hanya dalam 3 Langkah

Lindungi Rangkaian Anda Dengan Bastion Host hanya dalam 3 Langkah

Adakah anda mempunyai mesin di rangkaian dalaman anda yang perlu anda akses dari dunia luar? Menggunakan host bastion sebagai penjaga pintu ke rangkaian anda mungkin merupakan jalan penyelesaiannya.





Apa itu Bastion Host?

Bastion menterjemahkan secara harfiah menjadi tempat yang diperkaya. Dalam istilah komputer, mesin di rangkaian anda dapat menjadi penjaga pintu untuk sambungan masuk dan keluar.



Anda boleh menetapkan host bastion anda sebagai satu-satunya mesin untuk menerima sambungan masuk dari internet. Kemudian, tetapkan semua mesin lain di rangkaian anda, agar hanya menerima sambungan masuk dari host bastion anda. Apa faedah yang ada?





Lebih dari itu, keselamatan. Tuan rumah benteng, seperti namanya, mempunyai keselamatan yang sangat ketat. Ini akan menjadi barisan pertahanan pertama terhadap penceroboh dan memastikan mesin anda yang lain dilindungi.

Ini juga menjadikan bahagian lain dari penyediaan rangkaian anda sedikit lebih mudah. Daripada meneruskan port pada tahap penghala, anda hanya perlu meneruskan satu port masuk ke host bastion anda. Dari sana, anda boleh menggunakan mesin lain yang memerlukan akses ke rangkaian peribadi anda. Jangan takut, ini akan dibahas di bahagian seterusnya.



Rajah

Ini adalah contoh penyediaan rangkaian khas. Sekiranya anda memerlukan akses ke rangkaian rumah anda dari luar, anda akan masuk melalui internet. Penghala anda kemudian akan meneruskan sambungan itu ke host bastion anda. Setelah disambungkan ke bastion host anda, anda akan dapat mengakses mesin lain di rangkaian anda. Begitu juga, tidak akan ada akses ke mesin selain dari bastion host langsung dari internet.

Penundaan yang cukup, masa untuk menggunakan benteng.



1. DNS Dinamik

Orang yang cerdik di antara anda mungkin bertanya-tanya bagaimana mendapatkan akses ke penghala rumah anda melalui internet. Sebilangan besar penyedia perkhidmatan internet (ISP) memberikan anda alamat IP sementara, yang selalu berubah. ISP cenderung mengenakan bayaran tambahan jika anda mahukan alamat IP statik. Berita baiknya adalah bahawa penghala moden cenderung mempunyai DNS dinamik yang dimasukkan ke dalam tetapannya.

DNS dinamik mengemas kini nama hos anda dengan alamat IP baru anda pada selang waktu yang ditetapkan, memastikan bahawa anda sentiasa dapat mengakses rangkaian rumah anda. Terdapat banyak penyedia yang menawarkan perkhidmatan tersebut, salah satunya adalah No-IP yang bahkan mempunyai peringkat percuma . Ketahui bahawa peringkat percuma memerlukan anda mengesahkan nama host anda setiap 30 hari. Ini hanya proses 10 saat, yang mereka ingatkan untuk dilakukan.



Setelah anda mendaftar, cukup buat nama hos. Nama hos anda mesti unik, dan itu sahaja. Sekiranya anda memiliki penghala Netgear, mereka menawarkan DNS dinamik percuma yang tidak memerlukan pengesahan bulanan.

cara membuat blog tumblr

Sekarang log masuk ke penghala anda, dan cari tetapan DNS dinamik. Ini akan berbeza dari router ke router, tetapi jika anda tidak menemukannya bersembunyi di bawah tetapan lanjutan, periksa manual pengguna pengeluar anda. Empat tetapan yang biasanya anda masukkan adalah:

  1. Penyedia
  2. Nama domain (nama host yang baru anda buat)
  3. Nama log masuk (alamat e-mel yang digunakan untuk membuat DNS dinamik anda)
  4. Kata Laluan

Sekiranya penghala anda tidak mempunyai tetapan DNS yang dinamik, No-IP menyediakan perisian yang anda boleh pasang pada mesin tempatan anda untuk mencapai hasil yang sama. Mesin ini mesti berada dalam talian, untuk memastikan DNS dinamik sentiasa dikemas kini.

2. Pemajuan atau Pengalihan Pelabuhan

Penghala kini perlu mengetahui di mana untuk meneruskan sambungan masuk. Ini dilakukan berdasarkan nombor port yang terdapat pada sambungan masuk. Amalan yang baik di sini adalah untuk tidak menggunakan port SSH lalai, iaitu 22, untuk port yang menghadap orang ramai.

Sebab untuk tidak menggunakan port lalai adalah kerana penggodam mempunyai port sniffers khusus. Alat ini sentiasa memeriksa port terkenal yang mungkin terbuka di rangkaian anda. Setelah mereka mengetahui bahawa penghala anda menerima sambungan pada port lalai, mereka mula menghantar permintaan sambungan dengan nama pengguna dan kata laluan yang sama.

Walaupun memilih port rawak tidak akan menghentikan penghidu ganas sama sekali, secara drastik akan mengurangkan jumlah permintaan yang datang ke penghala anda. Sekiranya penghala anda hanya dapat meneruskan port yang sama, itu tidak menjadi masalah, kerana anda seharusnya menetapkan host bastion anda untuk menggunakan pengesahan pad kekunci SSH dan bukan nama pengguna dan kata laluan.

Tetapan penghala kelihatan seperti ini:

  1. Nama perkhidmatan yang boleh menjadi SSH
  2. Protokol (harus ditetapkan ke TCP)
  3. Pelabuhan awam (seharusnya pelabuhan tinggi yang tidak 22, gunakan 52739)
  4. IP persendirian (IP tuan rumah benteng anda)
  5. Port peribadi (port SSH lalai, iaitu 22)

Benteng

Satu-satunya perkara yang diperlukan oleh benteng anda ialah SSH. Sekiranya ini tidak dipilih pada masa pemasangan, cukup ketik:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

Setelah SSH dipasang, pastikan untuk menetapkan pelayan SSH anda untuk mengesahkan dengan kunci dan bukannya kata laluan. Pastikan IP tuan rumah benteng anda sama dengan yang ditetapkan dalam peraturan port forward di atas.

Kami boleh menjalankan ujian pantas untuk memastikan semuanya berjalan lancar. Untuk mensimulasikan berada di luar rangkaian rumah anda, anda boleh gunakan peranti pintar anda sebagai titik panas semasa menggunakan data mudah alih. Buka terminal dan ketik, ganti dengan nama pengguna akaun di bastion host anda dan dengan penyediaan alamat pada langkah A di atas:

ssh -p 52739 @

Sekiranya semuanya telah disiapkan dengan betul, anda kini harus melihat tetingkap terminal tuan rumah benteng anda.

3. Terowong

Anda boleh membuat terowong apa sahaja melalui SSH (dengan alasan). Sebagai contoh, jika anda ingin mendapatkan akses ke bahagian SMB di rangkaian rumah anda dari internet, sambungkan ke host bastion anda dan buka terowong ke bahagian SMB. Selesaikan sihir ini hanya dengan menjalankan perintah ini:

ssh -L 15445::445 -p 52739 @

Perintah sebenar akan kelihatan seperti:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Memecahkan arahan ini adalah mudah. Ini menghubungkan ke akaun di pelayan anda melalui port SSH luaran penghala 52739 anda. Sebarang trafik tempatan yang dihantar ke port 15445 (port sewenang-wenang) akan dihantar melalui terowong, kemudian diteruskan ke mesin dengan IP 10.1.2.250 dan SMB pelabuhan 445.

Sekiranya anda ingin benar-benar pintar, kita boleh menggunakan keseluruhan perintah dengan menaip:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Sekarang anda perlu memasukkan terminal di sss , dan bob adalah bapa saudara anda.

Setelah sambungan dibuat, anda dapat mengakses bahagian SMB anda dengan alamat:

smb://localhost:15445

Ini bermaksud anda akan dapat melihat bahagian tempatan itu dari internet seolah-olah anda berada di rangkaian tempatan. Seperti yang telah disebutkan, anda boleh menggunakan SSH dengan mudah. Bahkan mesin Windows yang diaktifkan desktop jauh dapat diakses melalui terowong SSH.

Ringkasan

Artikel ini merangkumi lebih daripada sekadar tuan rumah benteng, dan anda telah berjaya sejauh ini. Mempunyai host bastion akan bermaksud bahawa peranti lain yang mempunyai perkhidmatan yang terdedah akan dilindungi. Ini juga memastikan bahawa anda dapat mengakses sumber-sumber ini dari mana saja di dunia. Pastikan untuk meraikan dengan kopi, coklat atau kedua-duanya. Langkah asas yang telah kami bahas adalah:

  • Sediakan DNS dinamik
  • Majukan port luaran ke port dalaman
  • Buat terowong untuk mengakses sumber tempatan

Adakah anda perlu mengakses sumber tempatan dari internet? Adakah anda kini menggunakan VPN untuk mencapainya? Adakah anda pernah menggunakan terowong SSH sebelum ini?

Kredit Gambar: TopVectors / Depositphotos

Berkongsi Berkongsi Tweet E-mel 3 Cara Memeriksa sama ada E-mel Nyata atau Palsu

Sekiranya anda menerima e-mel yang kelihatan agak meragukan, sebaiknya periksa kesahihannya. Berikut adalah tiga cara untuk mengetahui sama ada e-mel itu nyata.

Baca Seterusnya Topik-topik yang berkaitan
  • Linux
  • Keselamatan
  • Keselamatan Dalam Talian
  • Linux
Mengenai Pengarang Yusuf Limalia(49 Artikel Diterbitkan)

Yusuf ingin hidup di dunia yang penuh dengan perniagaan inovatif, telefon pintar yang disertakan dengan kopi panggang gelap dan komputer yang mempunyai medan daya hidrofobik yang juga menghalau debu. Sebagai penganalisis perniagaan dan lulusan Universiti Teknologi Durban, dengan pengalaman lebih dari 10 tahun dalam industri teknologi yang berkembang pesat, dia menikmati menjadi orang tengah antara orang teknikal dan bukan teknikal dan membantu semua orang untuk mencapai kemajuan dengan teknologi canggih.

Lagi Dari Yusuf Limalia

Langgan buletin kami

Sertailah buletin kami untuk mendapatkan petua, ulasan, ebook percuma, dan tawaran eksklusif!

Klik di sini untuk melanggan