Apsaugokite savo tinklą naudodamiesi „Bastion“ priegloba tik 3 žingsniais

Apsaugokite savo tinklą naudodamiesi „Bastion“ priegloba tik 3 žingsniais

Ar jūsų vidiniame tinkle yra mašinų, kurias turite pasiekti iš išorinio pasaulio? Sprendimas gali būti bastiono prieglobos naudojimas kaip tinklo vartininkas.





Kas yra bastiono šeimininkas?

Bastėja pažodžiui verčiama į vietą, kuri yra įtvirtinta. Kompiuteriniu požiūriu tai yra jūsų tinklo mašina, kuri gali būti gaunamų ir išeinančių ryšių vartininkas.



Galite nustatyti savo bastiono kompiuterį kaip vienintelį įrenginį, priimantį įeinančius interneto ryšius. Tada savo ruožtu nustatykite visas kitas tinklo mašinas, kad jos priimtų tik gaunamus ryšius iš jūsų bastiono pagrindinio kompiuterio. Kokią naudą tai turi?



Be visų kitų dalykų, saugumas. Bastiono šeimininkas, kaip rodo pavadinimas, gali būti labai griežtas. Tai bus pirmoji gynybos linija nuo bet kokių įsibrovėlių ir užtikrins, kad likusios jūsų mašinos būtų apsaugotos.

Tai taip pat šiek tiek palengvina kitas tinklo sąrankos dalis. Užuot peradresavę prievadus maršrutizatoriaus lygiu, jums tiesiog reikia persiųsti vieną įeinantį prievadą savo bastiono prieglobai. Iš ten galite prisijungti prie kitų mašinų, prie kurių turite prieigą privačiame tinkle. Nebijokite, tai bus aptarta kitame skyriuje.



Diagrama

Tai tipinio tinklo sąrankos pavyzdys. Jei jums reikia prieigos prie jūsų namų tinklo iš išorės, jūs prisijungtumėte internetu. Tada jūsų maršrutizatorius persiunčia tą ryšį su jūsų bastiono priegloba. Prisijungę prie savo bastiono prieglobos, galėsite pasiekti bet kurias kitas savo tinklo mašinas. Lygiai taip pat nebus prieigos prie kitų aparatų, išskyrus bastiono šeimininką, tiesiogiai iš interneto.

Pakanka atidėliojimo, laikas naudotis bastionu.



1. Dinaminis DNS

Išmaniesiems tarp jūsų galėjo kilti klausimas, kaip internetu pasiekti jūsų namų maršrutizatorių. Dauguma interneto paslaugų teikėjų (IPT) priskiria jums laikiną IP adresą, kuris keičiasi taip dažnai. IPT paprastai ima papildomą mokestį, jei norite statinio IP adreso. Geros naujienos yra tai, kad šiuolaikinių maršrutizatorių nustatymuose paprastai naudojamas dinaminis DNS.

Dinaminis DNS nustatytais intervalais atnaujina jūsų pagrindinio kompiuterio pavadinimą nauju IP adresu, užtikrindamas, kad visada galėsite pasiekti savo namų tinklą. Yra daug paslaugų teikėjų, siūlančių minėtą paslaugą, viena iš jų Nėra IP, kuris netgi turi nemokamą pakopą . Atminkite, kad nemokama pakopa reikalauja patvirtinti savo pagrindinio kompiuterio vardą kartą per 30 dienų. Tai tik 10 sekundžių procesas, kurį jie vis tiek primena.



Prisiregistravę tiesiog sukurkite pagrindinio kompiuterio pavadinimą. Jūsų pagrindinio kompiuterio vardas turės būti unikalus, ir viskas. Jei turite „Netgear“ maršrutizatorių, jie siūlo nemokamą dinaminį DNS, kuriam nereikia kas mėnesio patvirtinimo.

kaip susigrąžinti senas „Facebook“ žinutes

Dabar prisijunkite prie savo maršrutizatoriaus ir ieškokite dinaminio DNS nustatymo. Tai gali skirtis skirtinguose maršrutizatoriuose, tačiau jei nerandate, kad jie slypi išplėstiniuose nustatymuose, patikrinkite gamintojo vartotojo vadovą. Paprastai reikia įvesti keturis nustatymus:

  1. Teikėjas
  2. Domeno vardas (ką tik sukurtas prieglobos serverio pavadinimas)
  3. Prisijungimo vardas (el. Pašto adresas, naudojamas kuriant dinaminį DNS)
  4. Slaptažodis

Jei jūsų maršrutizatoriuje nėra dinaminio DNS nustatymo, „No-IP“ teikia programinę įrangą, kurią galite įdiegti į vietinį kompiuterį pasiekti tą patį rezultatą. Ši mašina turi būti prisijungusi, kad dinaminis DNS būtų atnaujintas.

2. Uosto peradresavimas arba peradresavimas

Dabar maršrutizatorius turi žinoti, kur persiųsti gaunamą ryšį. Tai daroma atsižvelgiant į prievado numerį, kuris yra gaunamame ryšyje. Gera praktika yra nenaudoti numatytojo SSH prievado, kuris yra 22, viešajam prievadui.

Priežastis, kodėl nenaudojamas numatytasis prievadas, yra ta, kad įsilaužėliai turi specialius uostų uostiklius. Šie įrankiai nuolat tikrina, ar nėra gerai žinomų jūsų tinklo prievadų. Kai jie nustato, kad jūsų maršrutizatorius priima ryšius numatytuoju prievadu, jie pradeda siųsti ryšio užklausas su įprastais vartotojo vardais ir slaptažodžiais.

Nors pasirinkus atsitiktinį prievadą, visiškai nebus sustabdytas piktybinis uostymas, jis smarkiai sumažins užklausų, gaunamų į jūsų maršrutizatorių, skaičių. Jei jūsų maršrutizatorius gali persiųsti tik tą patį prievadą, tai nėra problema, nes turėtumėte nustatyti savo bastiono pagrindinį kompiuterį, kad jis naudotų SSH raktų poros autentifikavimą, o ne vartotojo vardus ir slaptažodžius.

Maršrutizatoriaus nustatymai turėtų atrodyti taip:

  1. Paslaugos pavadinimas, kuris gali būti SSH
  2. Protokolas (turėtų būti nustatytas kaip TCP)
  3. Viešasis prievadas (turėtų būti aukštas, ne 22, naudokite 52739)
  4. Privatus IP (jūsų bastiono IP adresas)
  5. Privatus prievadas (numatytasis SSH prievadas, kuris yra 22)

Bastionas

Vienintelis dalykas, kurio jūsų bastionui reikės, yra SSH. Jei tai nebuvo pasirinkta diegimo metu, tiesiog įveskite:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

Įdiegę SSH, būtinai nustatykite, kad SSH serveris autentifikuotų naudojant raktus, o ne slaptažodžius. Įsitikinkite, kad jūsų bastiono pagrindinio kompiuterio IP yra tas pats, kuris nustatytas aukščiau esančioje prievado perdavimo taisyklėje.

Galime atlikti greitą testą, kad įsitikintume, jog viskas veikia. Norėdami imituoti buvimą už namų tinklo ribų, galite naudoti savo išmanųjį įrenginį kaip viešosios interneto prieigos tašką kol jis naudojamas mobiliuosiuose duomenyse. Atidarykite terminalą ir įveskite, pakeisdami savo bastiono prieglobos paskyros naudotojo vardą ir adreso nustatymą atlikdami A veiksmą:

ssh -p 52739 @

Jei viskas buvo nustatyta teisingai, dabar turėtumėte pamatyti savo bastiono pagrindinio kompiuterio terminalo langą.

3. Tuneliavimas

Galite tuneliuoti beveik viską per SSH (proto ribose). Pvz., Jei norite gauti prieigą prie SMB bendrinimo savo namų tinkle iš interneto, prisijunkite prie savo bastiono prieglobos ir atidarykite tunelį SMB daliai. Atlikite šį kerėjimą tiesiog vykdydami šią komandą:

ssh -L 15445::445 -p 52739 @

Tikroji komanda atrodytų maždaug taip:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Sulaužyti šią komandą lengva. Tai prisijungia prie jūsų serverio paskyros per išorinį maršrutizatoriaus SSH prievadą 52739. Bet koks vietinis srautas, siunčiamas į prievadą 15445 (savavališkas prievadas), bus siunčiamas per tunelį, tada persiunčiamas į įrenginį, kurio IP yra 10.1.2.250, ir SMB 445.

Jei norite būti tikrai protingas, mes galime slapyvardžiu visą komandą įvesdami:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Dabar viskas, ką turite įvesti į terminalą sss ir bobas tavo dėdė.

Kai ryšys užmegztas, galite pasiekti savo SMB bendrinimą naudodami adresą:

smb://localhost:15445

Tai reiškia, kad galėsite naršyti tą vietinę dalį iš interneto taip, lyg būtumėte vietiniame tinkle. Kaip minėta, su SSH galite beveik įjungti bet ką. Net „Windows“ mašinos, kuriose įjungtas nuotolinis darbalaukis, gali būti pasiekiamos per SSH tunelį.

Aprašymas

Šis straipsnis apėmė daug daugiau nei tik bastiono šeimininką, ir jūs gerai padarėte, kad pasiektumėte šį tikslą. Turint bastiono šeimininką, bus apsaugoti kiti įrenginiai, kuriuose teikiamos paslaugos. Tai taip pat užtikrina, kad šiuos išteklius galėsite pasiekti iš bet kurios pasaulio vietos. Būtinai švęskite su kava, šokoladu ar abiem. Pagrindiniai mūsų atlikti žingsniai buvo šie:

  • Nustatykite dinaminį DNS
  • Persiųsti išorinį prievadą į vidinį prievadą
  • Sukurkite tunelį, kad galėtumėte pasiekti vietinį išteklių

Ar jums reikia prieigos prie vietinių išteklių iš interneto? Ar šiuo metu naudojate VPN tam pasiekti? Ar anksčiau naudojote SSH tunelius?

Vaizdo kreditas: „TopVectors“/ Depositphotos

Dalintis Dalintis „Tweet“ Paštu 3 būdai, kaip patikrinti, ar el

Jei gavote el. Laišką, kuris atrodo šiek tiek abejotinas, visada geriausia patikrinti jo autentiškumą. Štai trys būdai, kaip sužinoti, ar el.

Skaityti toliau Susijusios temos
  • Linux
  • Saugumas
  • Sauga internete
  • Linux
Apie autorių Yusuf Limalia(Paskelbti 49 straipsniai)

„Yusuf“ nori gyventi pasaulyje, kuriame gausu novatoriškų verslų, išmaniųjų telefonų su tamsiai skrudinta kava ir kompiuteriais, turinčiais hidrofobinius jėgos laukus, kurie papildomai atstumia dulkes. Kaip verslo analitikas ir Durbano technologijos universiteto absolventas, turintis daugiau nei 10 metų patirtį sparčiai augančioje technologijų pramonėje, jam patinka būti tarpiniu žmogumi tarp techninių ir netechninių žmonių ir padėti visiems įsibėgėti naudojant pažangiausias technologijas.

Daugiau iš Yusuf Limalia

Prenumeruokite mūsų naujienlaiškį

Prisijunkite prie mūsų naujienlaiškio, kad gautumėte techninių patarimų, apžvalgų, nemokamų el. Knygų ir išskirtinių pasiūlymų!

Norėdami užsiprenumeruoti, spustelėkite čia