Schützen Sie Ihr Netzwerk mit einem Bastion Host in nur 3 Schritten

Werbung

Verfügen Sie über Computer in Ihrem internen Netzwerk, auf die Sie von außen zugreifen müssen? Die Verwendung eines Bastion-Hosts als Gatekeeper für Ihr Netzwerk kann die Lösung sein.

Was ist ein Bastionshöter?

Bastion übersetzt sich wörtlich in einen Ort, der befestigt ist. Computertechnisch handelt es sich um eine Maschine in Ihrem Netzwerk, die als Gatekeeper für eingehende und ausgehende Verbindungen fungieren kann.

Sie können Ihren Bastion-Host als einzigen Rechner einrichten, der eingehende Verbindungen aus dem Internet akzeptiert. Setzen Sie anschließend alle anderen Computer in Ihrem Netzwerk so, dass nur eingehende Verbindungen von Ihrem Bastion-Host empfangen werden. Welche Vorteile hat das?

Alles andere als Sicherheit. Der Bastionshost kann, wie der Name schon sagt, eine sehr enge Sicherheit haben. Es wird die erste Verteidigungslinie gegen Eindringlinge sein und sicherstellen, dass der Rest Ihrer Maschinen geschützt ist.

Es macht auch andere Teile Ihres Netzwerk-Setups etwas einfacher. Anstatt Ports auf Router-Ebene weiterzuleiten, müssen Sie nur einen eingehenden Port an Ihren Bastion-Host weiterleiten. Von dort aus können Sie auf andere Computer verzweigen, auf die Sie in Ihrem privaten Netzwerk zugreifen müssen. Fürchte dich nicht, das wird im nächsten Abschnitt behandelt.

Das Diagramm

Dies ist ein Beispiel für ein typisches Netzwerk-Setup. Wenn Sie von außen Zugang zu Ihrem Heimnetzwerk benötigen, würden Sie über das Internet kommen. Ihr Router wird dann diese Verbindung an Ihren Bastion-Host weiterleiten. Sobald Sie mit Ihrem Bastion-Host verbunden sind, können Sie auf alle anderen Computer in Ihrem Netzwerk zugreifen. Gleichermaßen wird es keinen Zugriff auf andere Maschinen als den Bastion-Host direkt aus dem Internet geben.

Genug Zaudern, Zeit Bastion zu benutzen.

1. Dynamisches DNS

Die Schlauen unter euch haben sich vielleicht gefragt, wie sie über das Internet Zugang zu Ihrem Heimrouter bekommen. Die meisten Internet Service Provider (ISP) weisen Ihnen eine temporäre IP-Adresse zu, die sich von Zeit zu Zeit ändert. ISPs neigen dazu, extra zu berechnen, wenn Sie eine statische IP-Adresse wünschen. Die gute Nachricht ist, dass moderne Router dazu neigen, dynamische DNS in ihre Einstellungen einzubauen.

Dynamic DNS aktualisiert Ihren Hostnamen in festgelegten Intervallen mit Ihrer neuen IP-Adresse, um sicherzustellen, dass Sie immer auf Ihr Heimnetzwerk zugreifen können. Es gibt viele Anbieter, die diesen Dienst anbieten, von denen einer No-IP ist, der sogar eine freie Schicht hat. Beachten Sie, dass Sie bei der kostenlosen Stufe Ihren Hostnamen alle 30 Tage bestätigen müssen. Es ist nur ein 10-Sekunden-Prozess, an den sie sowieso erinnern.

Nachdem Sie sich angemeldet haben, erstellen Sie einfach einen Hostnamen. Ihr Hostname muss eindeutig sein und das war's. Wenn Sie einen Netgear-Router besitzen, bieten Sie einen kostenlosen dynamischen DNS, der keine monatliche Bestätigung benötigt.

Melden Sie sich jetzt bei Ihrem Router an und suchen Sie nach der dynamischen DNS-Einstellung. Dies unterscheidet sich von Router zu Router, aber wenn Sie nicht finden, dass es unter erweiterten Einstellungen lauert, überprüfen Sie das Benutzerhandbuch Ihres Herstellers. Die vier Einstellungen, die Sie normalerweise eingeben müssen, sind:

1. Der Provider
2. Domainname (der Hostname, den Sie gerade erstellt haben)
3. Anmeldename (die E-Mail-Adresse, die zum Erstellen Ihres dynamischen DNS verwendet wurde)
4. Passwort

Wenn Ihr Router keine dynamische DNS-Einstellung hat, stellt No-IP Software zur Verfügung, die Sie auf Ihrem lokalen Computer installieren können, um das gleiche Ergebnis zu erzielen. Dieser Computer muss online sein, um den dynamischen DNS auf dem neuesten Stand zu halten.

2. Portweiterleitung oder -umleitung

Der Router muss nun wissen, wohin die eingehende Verbindung weitergeleitet werden soll. Es basiert auf der Portnummer, die sich auf der eingehenden Verbindung befindet. Es empfiehlt sich, den Standard-SSH-Port (22) für den öffentlichen Port nicht zu verwenden.

Der Grund dafür, dass der Standardport nicht verwendet wird, ist, dass Hacker über spezielle Port-Sniffer verfügen. Diese Tools suchen ständig nach bekannten Ports, die in Ihrem Netzwerk möglicherweise geöffnet sind. Sobald sie feststellen, dass Ihr Router Verbindungen an einem Standardanschluss akzeptiert, senden sie Verbindungsanforderungen mit gemeinsamen Benutzernamen und Kennwörtern.

Während die Wahl eines zufälligen Ports die bösartigen Sniffer nicht vollständig stoppt, wird die Anzahl der Anfragen, die auf Ihren Router kommen, drastisch reduziert. Wenn Ihr Router nur denselben Port weiterleiten kann, ist das kein Problem, da Sie Ihren Bastion-Host so einstellen sollten, dass er die SSH-Schlüsselpaar-Authentifizierung und keine Benutzernamen und Kennwörter verwendet.

Die Einstellungen eines Routers sollten ähnlich aussehen:

1. Der Dienstname, der SSH sein kann
2. Protokoll (sollte auf TCP gesetzt sein)
3. Öffentlicher Port (sollte ein hoher Port sein, der nicht 22 ist, benutze 52739)
4. Private IP (die IP deines Bastion Host)
5. Privater Port (der Standard-SSH-Port, der 22 ist)

Die Bastion

Das einzige, was deine Bastion brauchen wird, ist SSH. Wenn dies bei der Installation nicht ausgewählt wurde, geben Sie einfach Folgendes ein:

sudo apt install OpenSSH-client sudo apt install OpenSSH-server 

Sobald SSH installiert ist, stellen Sie sicher, dass Ihr SSH-Server mit Schlüsseln anstelle von Passwörtern authentifiziert wird. Authentifizieren über SSH mit Schlüsseln anstelle von Passwörtern Authentifizieren über SSH mit Schlüsseln statt Passwörtern SSH ist eine großartige Möglichkeit, Remotezugriff auf Ihre SSH zu erhalten Computer. Wenn Sie die Ports auf Ihrem Router öffnen (Port 22, um genau zu sein), können Sie nicht nur auf Ihren SSH-Server von innen zugreifen ... Lesen Sie mehr. Stellen Sie sicher, dass die IP Ihres Bastion-Hosts der in der oben genannten Port-Forward-Regel entspricht.

Wir können einen schnellen Test durchführen, um sicherzustellen, dass alles funktioniert. Um zu simulieren, dass Sie sich außerhalb Ihres Heimnetzwerks befinden, können Sie Ihr Smart-Gerät als Hotspot verwenden. Hotspot Control: Verwenden Sie Ihr Android als WLAN-Router Hotspot-Steuerung: Verwenden Sie Ihr Android als WLAN-Router Verwenden Sie Ihr Android-Gerät als Hotspot ist eine gute Möglichkeit, zu teilen Ihre mobilen Daten mit Ihren anderen Geräten wie einem Laptop oder Tablet - und es ist super einfach! Lesen Sie mehr, während es sich um mobile Daten handelt. Öffnen Sie ein Terminal und geben Sie es ein. Ersetzen Sie es durch den Benutzernamen eines Accounts auf Ihrem Bastion-Host und durch die Adresse, die in Schritt A oben eingerichtet wurde:

 ssh -p 52739 @ 

Wenn alles korrekt eingerichtet wurde, sollten Sie nun das Terminal-Fenster Ihres Bastion-Hosts sehen.

3. Tunnelbau

Sie können fast alles durch SSH tunneln (im Rahmen des Zumutbaren). Wenn Sie beispielsweise über das Internet Zugriff auf eine SMB-Freigabe in Ihrem Heimnetzwerk erhalten möchten, stellen Sie eine Verbindung zu Ihrem Bastion-Host her und öffnen Sie einen Tunnel zur SMB-Freigabe. Führe diese Zauberei einfach durch Ausführen dieses Befehls aus:

 ssh -L 15445::445 -p 52739 @ 

Ein tatsächlicher Befehl würde ungefähr so ​​aussehen:

 ssh - L 15445:10.1.2.250:445 -p 52739 [email protected] 

Diesen Befehl zu brechen ist einfach. Diese Verbindung wird über den externen SSH-Port 52739 des Routers mit dem Konto auf Ihrem Server hergestellt. Lokaler Datenverkehr an Port 15445 (ein beliebiger Port) wird durch den Tunnel gesendet und dann an die Maschine mit der IP-Adresse 10.1.2.250 und dem SMB weitergeleitet Port 445.

Wenn Sie wirklich clever werden möchten, können Sie den gesamten Befehl mit einem Aliasnamen versehen:

 alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]' 

Jetzt musst du nur noch Terminal in sss eingeben, und Bob ist dein Onkel.

Sobald die Verbindung hergestellt ist, können Sie auf Ihre SMB-Freigabe mit der folgenden Adresse zugreifen:

 smb://localhost:15445 

Dies bedeutet, dass Sie diese lokale Freigabe aus dem Internet durchsuchen können, als ob Sie sich im lokalen Netzwerk befinden. Wie bereits erwähnt, können Sie mit SSH ziemlich viel tun. Auch Windows-Maschinen mit aktiviertem Remote-Desktop können über einen SSH-Tunnel aufgerufen werden. Tunneling Web Traffic mit SSH Secure Shell Tunneling Web Traffic mit SSH Secure Shell Lesen Sie weiter.

Rekapitulieren

Dieser Artikel behandelte viel mehr als nur einen Bastion-Host, und du hast es gut gemacht, es so weit zu bringen. Wenn Sie einen Bastion-Host verwenden, werden die anderen Geräte geschützt, auf denen Services verfügbar sind. Es stellt außerdem sicher, dass Sie von überall auf der Welt auf diese Ressourcen zugreifen können. Feiern Sie mit Kaffee, Schokolade oder beidem. Die grundlegenden Schritte, die wir behandelt haben, waren:

• Richten Sie dynamisches DNS ein
• Leiten Sie einen externen Port an einen internen Port weiter
• Erstellen Sie einen Tunnel, um auf eine lokale Ressource zuzugreifen

Müssen Sie aus dem Internet auf lokale Ressourcen zugreifen? Verwenden Sie derzeit ein VPN, um dies zu erreichen? Haben Sie schon einmal SSH-Tunnel benutzt?

Bildquelle: TopVectors / Depositphotos