Protegiu la vostra xarxa amb un host Bastion en només 3 passos

Protegiu la vostra xarxa amb un host Bastion en només 3 passos

Teniu màquines a la vostra xarxa interna a les quals heu d’accedir des del món exterior? Pot ser la solució l’ús d’un amfitrió bastió com a gatekeeper de la vostra xarxa.





Què és un amfitrió bastió?

Bastió es tradueix literalment en un lloc fortificat. En termes informàtics, és una màquina de la vostra xarxa que pot ser el gatekeeper de les connexions entrants i sortints.



Podeu configurar l’amfitrió bastió com l’única màquina que accepta connexions entrants des d’Internet. Aleshores, al seu torn, configureu la resta de màquines de la vostra xarxa perquè només rebin connexions entrants del vostre host bastió. Quins avantatges té això?





Més enllà de tota la resta, seguretat. L'amfitrió bastió, com el seu nom indica, pot tenir una seguretat molt estreta. Serà la primera línia de defensa contra qualsevol intrús i garantirà que la resta de les vostres màquines estiguin protegides.

També facilita una mica més la configuració de la xarxa. En lloc de reenviar ports a nivell d’encaminador, només cal reenviar un port entrant al vostre host bastió. A partir d’aquí, podeu connectar-vos a altres màquines a les quals necessiteu accedir a la vostra xarxa privada. No tinguis por, es tractarà en la següent secció.



El diagrama

Aquest és un exemple d'una configuració de xarxa típica. Si necessiteu accés a la vostra xarxa domèstica des de l’exterior, entrareu a través d’Internet. El vostre enrutador reenviarà aquesta connexió al vostre host bastió. Un cop connectat al vostre host bastió, podreu accedir a qualsevol altra màquina de la vostra xarxa. Igualment, no hi haurà accés a màquines que no siguin l'amfitrió bastió directament des d'Internet.

Prou procrastinació, temps per fer servir el bastió.



1. DNS dinàmic

Els més astuts de vosaltres us heu estat preguntat com podríeu accedir al vostre encaminador domèstic a través d’Internet. La majoria de proveïdors de serveis d'Internet (ISP) us assignen una adreça IP temporal, que canvia cada cert temps. Els ISP solen cobrar més si voleu una adreça IP estàtica. La bona notícia és que els routers actuals acostumen a tenir DNS dinàmic incorporat a la seva configuració.

El DNS dinàmic actualitza el vostre nom d’amfitrió amb la vostra nova adreça IP a intervals determinats, de manera que sempre podeu accedir a la vostra xarxa domèstica. Hi ha molts proveïdors que ofereixen aquest servei, un dels quals és No-IP que fins i tot té un nivell gratuït . Tingueu en compte que el nivell gratuït requerirà que confirmeu el vostre nom d'amfitrió un cop cada 30 dies. És només un procés de 10 segons, que recorden fer de totes maneres.



Un cop us hàgiu registrat, només cal que creeu un nom d'amfitrió. El vostre nom d’amfitrió haurà de ser únic, i ja està. Si teniu un encaminador Netgear, ofereixen un DNS dinàmic gratuït que no requereix una confirmació mensual.

l’estafador de craigslist té la meva adreça de correu electrònic

Ara inicieu sessió al vostre encaminador i busqueu la configuració de DNS dinàmic. Això variarà d’encaminador a encaminador, però si no el trobeu a l’acostament a la configuració avançada, consulteu el manual d’usuari del fabricant. Les quatre configuracions que normalment cal introduir seran:

  1. El proveïdor
  2. Nom de domini (el nom d'amfitrió que acabeu de crear)
  3. Nom d'inici de sessió (l'adreça electrònica utilitzada per crear el vostre DNS dinàmic)
  4. Contrasenya

Si el vostre encaminador no té una configuració de DNS dinàmica, No-IP us proporciona el programari que podeu instal·leu a la vostra màquina local per aconseguir el mateix resultat. Aquesta màquina haurà d’estar en línia per mantenir el DNS dinàmic actualitzat.

2. Reenviament o redirecció de ports

Ara el router ha de saber on reenviar la connexió entrant. Ho fa en funció del número de port que hi ha a la connexió entrant. Una bona pràctica aquí és no utilitzar el port SSH per defecte, que és 22, per al port públic.

La raó per la qual no s’utilitza el port per defecte és que els pirates informàtics han dedicat sniffers de ports. Aquestes eines comproven constantment si hi ha ports coneguts que poden estar oberts a la vostra xarxa. Un cop comprovat que el vostre encaminador accepta connexions en un port predeterminat, comencen a enviar sol·licituds de connexió amb noms d’usuari i contrasenyes habituals.

Tot i que triar un port aleatori no aturarà del tot les olfactes malignes, reduirà dràsticament el nombre de sol·licituds que arriben al vostre encaminador. Si el vostre encaminador només pot reenviar el mateix port, això no és un problema, ja que hauríeu d’establir l’amfitrió bastió per utilitzar l’autenticació de parella de claus SSH i no els noms d’usuari i les contrasenyes.

La configuració d'un enrutador hauria de ser similar a aquesta:

  1. El nom del servei que pot ser SSH
  2. Protocol (s'ha d'establir a TCP)
  3. Port públic (hauria de ser un port alt que no sigui 22, utilitzeu 52739)
  4. IP privada (la IP del vostre host bastió)
  5. Port privat (el port SSH per defecte, que és 22)

El Bastió

L'únic que necessitarà el vostre bastió és SSH. Si no es va seleccionar en el moment de la instal·lació, simplement escriviu:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

Un cop instal·lat SSH, assegureu-vos que configureu el servidor SSH per autenticar-se amb claus en lloc de contrasenyes. Assegureu-vos que la IP del vostre host bastió és la mateixa que la definida a la regla d’enviament de ports anterior.

Podem fer una prova ràpida per assegurar-nos que tot funciona. Per simular estar fora de la vostra xarxa domèstica, podeu fer-ho utilitzeu el dispositiu intel·ligent com a punt d'accés mentre està en dades mòbils. Obriu un terminal i escriviu, substituint-lo pel nom d'usuari d'un compte al vostre host bastió i amb la configuració de l'adreça al pas A anterior:

ssh -p 52739 @

Si tot estava configurat correctament, ara hauríeu de veure la finestra del terminal del vostre host bastió.

3. Túnels

Podeu fer túnels gairebé qualsevol cosa mitjançant SSH (dins de la raó). Per exemple, si voleu accedir a un recurs compartit SMB a la vostra xarxa domèstica des d'Internet, connecteu-vos al vostre host bastió i obriu un túnel al recurs compartit SMB. Realitzeu aquesta bruixeria simplement executant aquesta ordre:

ssh -L 15445::445 -p 52739 @

Una ordre real semblaria:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Desglossar aquesta ordre és fàcil. Això es connecta al compte del vostre servidor a través del port SSH extern del vostre enrutador 52739. Qualsevol trànsit local enviat al port 15445 (un port arbitrari) s'enviarà a través del túnel i, a continuació, es reenviarà a la màquina amb l'IP de 10.1.2.250 i l'SMB port 445.

Si voleu ser molt intel·ligent, podem escriure tot l’ordre alias escrivint:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Ara només cal que escriviu el terminal sss , i Bob és el teu oncle.

Un cop feta la connexió, podeu accedir al vostre recurs compartit de pimes amb l'adreça:

smb://localhost:15445

Això vol dir que podreu navegar per aquest recurs local des d'Internet com si estiguéssiu a la xarxa local. Com es va esmentar, gairebé podeu entroncar qualsevol cosa amb SSH. Fins i tot a les màquines Windows que tenen l’escriptori remot habilitat es pot accedir a través d’un túnel SSH.

Recapitulació

Aquest article tractava molt més que un amfitrió bastió, i heu fet bé arribar fins ara. Tenir un host bastió significarà que la resta de dispositius que tinguin serveis exposats estaran protegits. També garanteix que podeu accedir a aquests recursos des de qualsevol part del món. No deixeu de celebrar-ho amb cafè, xocolata o ambdues coses. Els passos bàsics que hem cobert són:

  • Configureu el DNS dinàmic
  • Reenvieu un port extern a un port intern
  • Creeu un túnel per accedir a un recurs local

Necessiteu accedir als recursos locals des d'Internet? Feu servir una VPN per aconseguir-ho? Ja heu utilitzat túnels SSH abans?

Crèdit de la imatge: TopVectors / Depositphotos

Compartir Compartir Tweet Correu electrònic 3 maneres de comprovar si un correu electrònic és real o fals

Si heu rebut un correu electrònic que sembla una mica dubtós, sempre és millor comprovar-ne l’autenticitat. A continuació, es mostren tres maneres de saber si un correu electrònic és real.

Llegiu a continuació Temes relacionats
  • Linux
  • Seguretat
  • Seguretat en línia
  • Linux
Sobre l'autor Yusuf Limalia(49 articles publicats)

Yusuf vol viure en un món ple de negocis innovadors, telèfons intel·ligents amb cafè torrat fosc i ordinadors que tenen camps de força hidrofòbics que també repel·leixen la pols. Com a analista de negocis i graduat a la Universitat de Tecnologia de Durban, amb més de deu anys d’experiència en una indústria tecnològica en ràpid creixement, li agrada ser l’home intermedi entre persones tècniques i no tècniques i ajudar a tothom a posar-se al dia amb la tecnologia més avançada.

Més de Yusuf Limalia

Subscriu-te al nostre butlletí

Uniu-vos al nostre butlletí per obtenir consells tècnics, ressenyes, llibres electrònics gratuïts i ofertes exclusives.

Feu clic aquí per subscriure-us