Har du maskiner på dit interne netværk, som du skal have adgang til fra omverdenen? Brug af en bastion vært som gatekeeper til dit netværk kan være løsningen.
Hvad er en Bastion vært?
Bastion oversætter bogstaveligt til et sted, der er beriget. I computervilkår er det en maskine på dit netværk, der kan være gatekeeper for indgående og udgående forbindelser.
Du kan indstille din bastion vært som den eneste maskine til at acceptere indgående forbindelser fra internettet. Derefter sætter du alle andre maskiner på dit netværk for kun at modtage indgående forbindelser fra din bastion-vært. Hvilke fordele har dette?
Ud over alt andet, sikkerhed. Bastionsværten, som navnet antyder, kan have meget stram sikkerhed. Det vil være den første forsvarslinje mod enhver ubudne og sikre, at resten af dine maskiner er beskyttet.
Det gør også andre dele af din netværksopsætning lidt lettere. I stedet for at videresende havne på router niveau, behøver du bare at videresende en indgående port til din bastion vært. Derfra kan du filialere ud til andre maskiner, du har brug for adgang til på dit private netværk. Frygt ikke, dette vil blive dækket i næste afsnit.
Diagrammet
Dette er et eksempel på en typisk netværksopsætning. Hvis du har brug for adgang til dit hjemmenetværk udefra, ville du komme ind via internettet. Din router vil derefter videresende forbindelsen til din bastion vært. Når du er forbundet til din bastion vært, vil du kunne få adgang til andre maskiner på dit netværk. Ligeledes vil der ikke være adgang til andre maskiner end bastionværten direkte fra internettet.
Nok udsættelse, tid til at bruge bastion.
1. Dynamisk DNS
Den spændende blandt jer har måske undret sig over, hvordan man ville få adgang til din hjemmerouter via internettet. De fleste internetudbydere (ISP) tildeler dig en midlertidig IP-adresse, som ændrer sig så ofte. Internetudbydere har tendens til at opkræve ekstra, hvis du vil have en statisk IP-adresse. Den gode nyhed er, at moderne routere har en tendens til at have dynamisk DNS bagt i deres indstillinger.
Dynamisk DNS opdaterer dit værtsnavn med din nye IP-adresse med bestemte intervaller, så du altid kan få adgang til dit hjemmenetværk. Der er mange udbydere, der tilbyder den nævnte service, hvoraf den ene er No-IP, som endda har et frit niveau. Vær opmærksom på, at det gratis niveau kræver, at du bekræfter dit værtsnavn en gang hver 30. dag. Det er bare en 10-sekunders proces, som de minder om at gøre alligevel.
Når du har tilmeldt, skal du blot oprette et værtsnavn. Dit værtsnavn skal være unikt, og det er det. Hvis du ejer en Netgear-router, tilbyder de en gratis dynamisk DNS, som ikke kræver en månedlig bekræftelse.
Log nu ind på din router, og kig efter den dynamiske DNS-indstilling. Dette vil afvige fra router til router, men hvis du ikke finder det lurende under avancerede indstillinger, skal du tjekke din producentens brugermanual. De fire indstillinger, du typisk skal indtaste, er:
- Udbyderen
- Domænenavn (det værtsnavn, du netop har oprettet)
- Login navn (den email-adresse, der bruges til at oprette din dynamiske DNS)
- Adgangskode
Hvis din router ikke har en dynamisk DNS-indstilling, leverer No-IP software, som du kan installere på din lokale maskine for at opnå det samme resultat. Denne maskine skal være online, for at holde den dynamiske DNS opdateret.
2. Port videresendelse eller omdirigering
Routeren har nu brug for at vide, hvor man skal videresende den indgående forbindelse. Det gør dette ud fra portnummeret, der er på den indgående forbindelse. En god praksis her er ikke at bruge standard SSH porten, som er 22, til den offentlige venderport.
Årsagen til ikke at bruge standardporten er fordi hackere har dedikerede portsnifere. Disse værktøjer kontrollerer konstant efter kendte porte, der kan være åbne på dit netværk. Når de har fundet ud af, at din router accepterer forbindelser på en standardport, begynder de at sende forbindelsesforespørgsler med almindelige brugernavne og adgangskoder.
Mens du vælger en tilfældig port, vil det ikke stoppe de ondartede sniffere helt, det vil drastisk reducere antallet af anmodninger, der kommer til din router. Hvis din router kun kan videresende den samme port, er det ikke noget problem, da du skal indstille din bastion vært til at bruge SSH keypair authentication og ikke brugernavne og adgangskoder.
En router indstillinger skal se ud som dette:
- Servicenavnet som kan være SSH
- Protokol (skal indstilles til TCP)
- Offentlig havn (bør være en høj havn, der ikke er 22, brug 52739)
- Privat IP (IP af din bastion vært)
- Privat port (standard SSH port, som er 22)
Bastion
Det eneste, din bastion har brug for, er SSH. Hvis dette ikke blev valgt på installationstidspunktet, skal du blot skrive:
sudo apt install OpenSSH-client sudo apt install OpenSSH-server Når SSH er installeret, skal du sørge for at indstille din SSH-server til at godkende med nøgler i stedet for adgangskoder Sådan godkendes over SSH med nøgler i stedet for adgangskoder Sådan godkendes over SSH med nøgler i stedet for adgangskoder SSH er en fantastisk måde at få fjernadgang til din computer. Når du åbner portene på din router (port 22 for at være præcis), kan du ikke kun få adgang til din SSH-server indefra ... Læs mere. Sørg for, at din bastion værtens IP er den samme som den, der er angivet i port forward-reglen ovenfor.
Vi kan køre en hurtig test for at sikre, at alt fungerer. For at simulere at være uden for dit hjemmenetværk, kan du bruge din smarte enhed som hotspot Hotspot Control: Brug din Android som en trådløs router Hotspot Control: Brug din Android som en trådløs router Brug af din Android-enhed som et hotspot er en fantastisk måde at dele dine mobildata med dine andre enheder som en bærbar pc eller tablet - og det er super nemt! Læs mere, mens det er på mobildata. Åbn en terminal og type, som erstatter med brugernavnet på en konto på din bastion-vært og med adresseopsætningen i trin A ovenfor:
ssh -p 52739 @ Hvis alt var korrekt konfigureret, skal du nu se terminalens vindue på din bastion vært.
3. Tunneling
Du kan tunnel kun om noget gennem SSH (inden for grund). For eksempel, hvis du ønskede at få adgang til en SMB-andel på dit hjemmenetværk fra internettet, skal du oprette forbindelse til din bastionhost og åbne en tunnel til SMB-aktien. Udfør denne trolldom ved blot at køre denne kommando:
ssh -L 15445::445 -p 52739 @ En egentlig kommando ville se noget ud som:
ssh - L 15445:10.1.2.250:445 -p 52739 [email protected] At bryde ned denne kommando er let. Dette forbinder til kontoen på din server via din router's eksterne SSH-port 52739. Enhver lokal trafik sendt til port 15445 (en vilkårlig port) vil blive sendt gennem tunnelen, derefter videresendt til maskinen med IP'en på 10.1.2.250 og SMB'en port 445.
Hvis du vil blive rigtig smart, kan vi alias hele kommandoen ved at skrive:
alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]' Nu skal du bare skrive i terminal i sss, og bob er din onkel.
Når forbindelsen er lavet, kan du få adgang til din SMB-del med adressen:
smb://localhost:15445 
Det betyder, at du vil kunne gennemse den lokale del af internettet som om du var på det lokale netværk. Som nævnt kan du stort set tunnel ind i noget med SSH. Selv Windows-maskiner, der har fjernbetjening på skrivebordet, kan få adgang til via en SSH-tunnel. Sådan tunnles webtrafik med SSH Secure Shell Sådan tunnles webtrafik med SSH Secure Shell Læs mere.
Sæt hætten
Denne artikel omfattede meget mere end blot en bastion vært, og du har gjort det godt for at gøre det så langt. At have en bastion vært vil betyde, at de andre enheder, der har tjenester, der udsættes vil blive beskyttet. Det sikrer også, at du har adgang til disse ressourcer fra hele verden. Sørg for at fejre med kaffe, chokolade eller begge dele. De grundlæggende trin, vi har dækket var:
- Konfigurer dynamisk DNS
- Videresend en ekstern port til en intern port
- Opret en tunnel for at få adgang til en lokal ressource
Har du brug for adgang til lokale ressourcer fra internettet? Bruger du i øjeblikket en VPN for at opnå dette? Har du brugt SSH-tunneler før?
Billedkredit: TopVectors / Depositobilleder