Bescherm uw netwerk met een Bastion-host in slechts 3 stappen

Advertentie

Heeft u machines in uw interne netwerk die u van buitenaf moet benaderen? Het gebruik van een bastionhost als poortwachter voor uw netwerk kan de oplossing zijn.

Wat is een Bastion-host?

Bastion vertaalt zich letterlijk in een versterkte plek. In computertermen is het een machine op uw netwerk die de poortwachter kan zijn voor inkomende en uitgaande verbindingen.

U kunt uw bastionhost instellen als de enige machine die inkomende verbindingen van internet accepteert. Stel vervolgens op zijn beurt alle andere machines in uw netwerk in om alleen inkomende verbindingen van uw bastionhost te ontvangen. Welke voordelen heeft dit?

Boven alles, beveiliging. De bastionhost kan, zoals de naam al aangeeft, zeer streng beveiligd zijn. Het is de eerste verdedigingslinie tegen indringers en zorgt ervoor dat de rest van uw machines wordt beschermd.

Het maakt ook andere onderdelen van uw netwerkinstallatie iets eenvoudiger. In plaats van poorten op routerniveau door te sturen, hoeft u slechts één inkomende poort door te sturen naar uw bastionhost. Van daaruit kunt u vertakken naar andere machines waartoe u toegang moet hebben op uw privé-netwerk. Vrees niet, dit zal in de volgende sectie worden behandeld.

Het diagram

Dit is een voorbeeld van een typische netwerkconfiguratie. Als u van buitenaf toegang tot uw thuisnetwerk nodig heeft, komt u binnen via internet. Uw router stuurt die verbinding vervolgens door naar uw bastion-host. Eenmaal verbonden met uw bastionhost, heeft u toegang tot alle andere machines in uw netwerk. Evenzo is er geen directe toegang tot andere machines dan de bastionhost rechtstreeks vanaf internet.

Genoeg uitstelgedrag, tijd om bastion te gebruiken.

1. Dynamische DNS

De scherpzinnigen onder u hebben zich misschien afgevraagd hoe u via internet toegang tot uw thuisrouter zou krijgen. De meeste internetproviders (ISP) kennen u een tijdelijk IP-adres toe, dat af en toe verandert. ISP's brengen doorgaans extra kosten in rekening als u een statisch IP-adres wilt. Het goede nieuws is dat moderne routers dynamische DNS vaak in hun instellingen hebben ingebakken.

Dynamische DNS werkt uw hostnaam op gezette tijden bij met uw nieuwe IP-adres, zodat u altijd toegang heeft tot uw thuisnetwerk. Er zijn veel providers die deze service aanbieden, waaronder een Geen IP die zelfs een gratis laag heeft. Houd er rekening mee dat u voor de gratis laag elke 30 dagen uw hostnaam moet bevestigen. Het is slechts een proces van 10 seconden, dat ze er hoe dan ook aan herinneren.

Nadat je je hebt aangemeld, maak je gewoon een hostnaam. Je hostnaam moet uniek zijn, en dat is alles. Als je een Netgear-router bezit, bieden ze een gratis dynamische DNS die geen maandelijkse bevestiging vereist.

Log nu in op uw router en zoek naar de dynamische DNS-instelling. Dit verschilt van router tot router, maar als je het onder geavanceerde instellingen niet op de loer vindt, raadpleeg dan de gebruikershandleiding van je fabrikant. De vier instellingen die u normaal gesproken moet invoeren, zijn:

1. De provider
2. Domeinnaam (de hostnaam die u zojuist hebt gemaakt)
3. Inlognaam (het e-mailadres dat wordt gebruikt om uw dynamische DNS te maken)
4. Wachtwoord

Als uw router geen dynamische DNS-instelling heeft, biedt No-IP software die u kunt gebruiken installeren op uw lokale computer om hetzelfde resultaat te bereiken. Deze machine zal online moeten zijn om de dynamische DNS up-to-date te houden.

2. Port Forwarding of Redirection

De router moet nu weten waar de inkomende verbinding naartoe moet. Het doet dit op basis van het poortnummer dat op de inkomende verbinding staat. Een goede gewoonte hier is om de standaard SSH-poort, die 22 is, niet te gebruiken voor de openbare poort.

De reden waarom de standaardpoort niet wordt gebruikt, is omdat hackers speciale poortsniffers hebben. Deze tools controleren voortdurend op bekende poorten die mogelijk openstaan ​​op uw netwerk. Zodra ze merken dat uw router verbindingen op een standaardpoort accepteert, beginnen ze verbindingsverzoeken te verzenden met algemene gebruikersnamen en wachtwoorden.

Hoewel het kiezen van een willekeurige poort de kwaadaardige snuffelaars niet helemaal stopt, zal het aantal verzoeken dat naar uw router komt, drastisch worden verminderd. Als uw router alleen dezelfde poort kan doorsturen, is dat geen probleem, aangezien u uw bastionhost zou moeten instellen om SSH-sleutelpaarverificatie te gebruiken en niet gebruikersnamen en wachtwoorden.

De instellingen van een router zouden er ongeveer zo uit moeten zien:

1. De servicenaam die SSH kan zijn
2. Protocol (moet zijn ingesteld op TCP)
3. Openbare poort (moet een hoge poort zijn die niet 22 is, gebruik 52739)
4. Private IP (het IP van uw bastion host)
5. Privépoort (de standaard SSH-poort, die 22 is)

Het Bastion

Het enige dat je bastion nodig heeft, is SSH. Als dit niet was geselecteerd op het moment van installatie, typ dan gewoon:

sudo apt installeer OpenSSH-client. sudo apt installeer OpenSSH-server

Zodra SSH is geïnstalleerd, moet u uw SSH-server instellen op authenticeer met sleutels in plaats van wachtwoorden Verificatie via SSH met sleutels in plaats van wachtwoordenSSH is een geweldige manier om externe toegang tot uw computer te krijgen. Wanneer u de poorten op uw router opent (poort 22 om precies te zijn), heeft u niet alleen toegang tot uw SSH-server van binnenuit ... Lees verder . Zorg ervoor dat het IP-adres van uw bastion-host hetzelfde is als het IP-adres dat is ingesteld in de bovenstaande poort-doorstuurregel.

We kunnen een snelle test uitvoeren om te controleren of alles werkt. Om te simuleren dat u zich buiten uw thuisnetwerk bevindt, kunt u dat doen gebruik uw smart-apparaat als hotspot Hotspot-bediening: gebruik uw Android als een draadloze routerHet gebruik van uw Android-apparaat als hotspot is een geweldige manier om uw mobiele gegevens te delen met uw andere apparaten zoals een laptop of tablet - en het is supereenvoudig! Lees verder terwijl het op mobiele data is. Open een terminal en typ, vervangend met de gebruikersnaam van een account op je bastionhost en met het adres instellen in stap A hierboven:

ssh -p 52739 @

Als alles correct was ingesteld, zou je nu het terminalvenster van je bastionhost moeten zien.

3. Tunneling

Je kunt zo ongeveer alles door SSH tunnelen (binnen redelijke grenzen). Als je bijvoorbeeld vanaf internet toegang wilt krijgen tot een SMB-share op je thuisnetwerk, maak dan verbinding met je bastionhost en open een tunnel naar de SMB-share. Voer deze tovenarij eenvoudig uit door deze opdracht uit te voeren:

ssh -L 15445:: 445-p 52739 @

Een daadwerkelijke opdracht ziet er ongeveer zo uit:

ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected] 

Deze opdracht afbreken is eenvoudig. Deze maakt verbinding met het account op uw server via de externe SSH-poort 52739 van uw router. Al het lokale verkeer dat naar poort 15445 wordt gestuurd (een willekeurige poort), wordt door de tunnel gestuurd en vervolgens doorgestuurd naar de machine met het IP-adres van 10.1.2.250 en de SMB-poort 445.

Als je echt slim wilt worden, kunnen we de hele opdracht aliasen door te typen:

alias sss = 'ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected]'

Nu hoef je alleen maar terminal in te typen sss, en bob is je oom.

Zodra de verbinding tot stand is gebracht, hebt u toegang tot uw SMB-share met het adres:

smb: // localhost: 15445. 

Dit betekent dat u op internet door die lokale share kunt bladeren alsof u op het lokale netwerk zit. Zoals eerder vermeld, kun je met SSH vrijwel overal in tunnelen. Zelfs Windows-machines waarop extern bureaublad is ingeschakeld toegankelijk via een SSH-tunnel Hoe webverkeer te tunnelen met SSH Secure Shell Lees verder .

Samenvatting

Dit artikel ging over veel meer dan alleen een bastionhost, en je hebt er goed aan gedaan om zover te komen. Het hebben van een bastionhost betekent dat de andere apparaten met zichtbare services worden beschermd. Het zorgt er ook voor dat u overal ter wereld toegang heeft tot deze bronnen. Zorg ervoor dat je het viert met koffie, chocolade of beide. De basisstappen die we hebben behandeld, waren:

• Stel dynamische DNS in
• Stuur een externe poort door naar een interne poort
• Maak een tunnel om toegang te krijgen tot een lokale bron

Heeft u toegang nodig tot lokale bronnen via internet? Gebruikt u momenteel een VPN om dit te bereiken? Heb je eerder SSH-tunnels gebruikt?

Beeldcredits: TopVectors /Depositphotos