Schützen Sie Ihr Netzwerk mit einem Bastion-Host in nur 3 Schritten
Haben Sie Maschinen in Ihrem internen Netzwerk, auf die Sie von außen zugreifen müssen? Die Verwendung eines Bastion-Hosts als Gatekeeper für Ihr Netzwerk ist möglicherweise die Lösung.
Was ist ein Bastionswirt??
Bastion übersetzt buchstäblich in einen Ort, der befestigt ist. Computergestützt ist dies eine Maschine in Ihrem Netzwerk, die der Gatekeeper für eingehende und ausgehende Verbindungen sein kann.
Sie können Ihren Bastion-Host so einstellen, dass er als einzige Maschine eingehende Verbindungen aus dem Internet akzeptiert. Richten Sie dann alle anderen Maschinen in Ihrem Netzwerk so ein, dass nur eingehende Verbindungen von Ihrem Bastion-Host empfangen werden. Welche Vorteile hat das??
Über allem anderen Sicherheit. Der Bastion-Host kann, wie der Name schon sagt, eine sehr enge Sicherheit haben. Dies ist die erste Verteidigungslinie gegen Eindringlinge und stellt sicher, dass der Rest Ihrer Maschinen geschützt ist.
Dadurch werden auch andere Teile Ihrer Netzwerkeinrichtung etwas einfacher. Anstatt Ports auf Routerebene weiterzuleiten, müssen Sie nur einen eingehenden Port an Ihren Bastion-Host weiterleiten. Von dort aus können Sie zu anderen Computern verzweigen, auf die Sie in Ihrem privaten Netzwerk zugreifen müssen. Fürchte dich nicht, das wird im nächsten Abschnitt behandelt.
Das Diagramm
Dies ist ein Beispiel für eine typische Netzwerkeinrichtung. Wenn Sie von außen auf Ihr Heimnetzwerk zugreifen müssen, kommen Sie über das Internet. Ihr Router leitet diese Verbindung dann an Ihren Bastion-Host weiter. Sobald Sie mit Ihrem Bastion-Host verbunden sind, können Sie auf alle anderen Maschinen in Ihrem Netzwerk zugreifen. Ebenso besteht kein Zugriff auf andere Maschinen als den Bastion-Host direkt aus dem Internet.
Genug Zaudern, Zeit für Bastion.
1. Dynamisches DNS
Der Kluge unter Ihnen hat sich vielleicht gefragt, wie er über das Internet auf Ihren Heimrouter zugreifen könnte. Die meisten Internet Service Provider (ISP) weisen Ihnen eine temporäre IP-Adresse zu, die sich gelegentlich ändert. ISPs neigen dazu, zusätzliche Gebühren zu erheben, wenn Sie eine statische IP-Adresse wünschen. Die gute Nachricht ist, dass moderne Router normalerweise dynamisches DNS in ihre Einstellungen eingebettet haben.
Dynamic DNS aktualisiert Ihren Hostnamen in festgelegten Intervallen mit Ihrer neuen IP-Adresse, um sicherzustellen, dass Sie jederzeit auf Ihr Heimnetzwerk zugreifen können. Es gibt viele Anbieter, die diesen Dienst anbieten, von denen einer No-IP ist, der sogar eine kostenlose Stufe hat. Beachten Sie, dass Sie auf der kostenlosen Stufe alle 30 Tage Ihren Hostnamen bestätigen müssen. Es ist nur ein 10-Sekunden-Prozess, an den sie sowieso erinnern.
Nachdem Sie sich angemeldet haben, erstellen Sie einfach einen Hostnamen. Ihr Hostname muss eindeutig sein, und das ist es. Wenn Sie einen Netgear-Router besitzen, bieten diese ein kostenloses dynamisches DNS, für das keine monatliche Bestätigung erforderlich ist.
Melden Sie sich jetzt bei Ihrem Router an und suchen Sie nach der dynamischen DNS-Einstellung. Dies ist von Router zu Router unterschiedlich. Wenn Sie jedoch unter den erweiterten Einstellungen nicht lauern, überprüfen Sie die Bedienungsanleitung Ihres Herstellers. Die vier Einstellungen, die Sie normalerweise eingeben müssen, lauten:
- Der Provider
- Domänenname (der Hostname, den Sie gerade erstellt haben)
- Anmeldename (die E-Mail-Adresse, die zum Erstellen Ihres dynamischen DNS verwendet wird)
- Passwort
Wenn Ihr Router keine dynamische DNS-Einstellung hat, bietet No-IP Software, die Sie auf Ihrem lokalen Computer installieren können, um das gleiche Ergebnis zu erzielen. Dieses Gerät muss online sein, um den dynamischen DNS auf dem neuesten Stand zu halten.
2. Portweiterleitung oder -umleitung
Der Router muss jetzt wissen, wohin die eingehende Verbindung weitergeleitet werden soll. Dies geschieht basierend auf der Portnummer der eingehenden Verbindung. Hier empfiehlt es sich, den Standard-SSH-Port (22) für den öffentlichen Port nicht zu verwenden.
Der Grund dafür, dass der Standardport nicht verwendet wird, liegt darin, dass Hacker über dedizierte Port-Sniffer verfügen. Diese Tools prüfen ständig nach bekannten Ports, die möglicherweise in Ihrem Netzwerk geöffnet sind. Sobald sie feststellen, dass Ihr Router Verbindungen an einem Standardport akzeptiert, beginnen sie, Verbindungsanforderungen mit allgemeinen Benutzernamen und Kennwörtern zu senden.
Wenn Sie einen zufälligen Port auswählen, werden bösartige Sniffer zwar nicht vollständig angehalten, die Anzahl der an Ihren Router gerichteten Anforderungen wird jedoch drastisch reduziert. Wenn Ihr Router nur denselben Port weiterleiten kann, ist dies kein Problem, da Sie Ihren Bastion-Host so einstellen sollten, dass er die SSH-Schlüsselpaar-Authentifizierung und keine Benutzernamen und Kennwörter verwendet.
Die Einstellungen eines Routers sollten folgendermaßen aussehen:
- Der Dienstname, der SSH sein kann
- Protokoll (sollte auf TCP eingestellt sein)
- Öffentlicher Port (sollte ein hoher Port sein, der nicht 22 ist, verwenden Sie 52739)
- Private IP (die IP Ihres Bastion-Hosts)
- Privater Port (der Standard-SSH-Port, der 22 ist)
Die Bastion
Das Einzige, was Ihre Bastion braucht, ist SSH. Wenn dies zum Zeitpunkt der Installation nicht ausgewählt wurde, geben Sie einfach Folgendes ein:
sudo apt install OpenSSH-Client installieren sudo apt OpenSSH-Server installieren
Stellen Sie nach der Installation von SSH sicher, dass der SSH-Server für die Authentifizierung mit Schlüsseln anstelle von Kennwörtern konfiguriert ist. So authentifizieren Sie sich über SSH mit Schlüsseln anstelle von Kennwörtern. So werden Sie über SSH mit Schlüsseln anstelle von Kennwörtern authentifiziert Computer. Wenn Sie die Ports Ihres Routers öffnen (Port 22, um genau zu sein), können Sie nicht nur von innen auf Ihren SSH-Server zugreifen. Stellen Sie sicher, dass die IP-Adresse Ihres Bastion-Hosts mit der in der obigen Port-Forward-Regel festgelegten übereinstimmt.
Wir können einen Schnelltest durchführen, um sicherzustellen, dass alles funktioniert. Um zu simulieren, dass Sie sich außerhalb Ihres Heimnetzwerks befinden, können Sie Ihr Smart-Gerät als Hotspot verwenden. Hotspot-Steuerung: Verwenden Sie Ihr Android als WLAN-Router. Hotspot-Steuerung: Verwenden Sie Ihr Android als WLAN-Router Ihre mobilen Daten mit Ihren anderen Geräten wie einem Laptop oder Tablet - und das ist ganz einfach! Lesen Sie mehr, wenn es sich um mobile Daten handelt. Öffnen Sie ein Terminal und tippen Sie auf
ssh -p 52739 @
Wenn alles korrekt eingerichtet wurde, sollte jetzt das Terminalfenster Ihres Bastion-Hosts angezeigt werden.
3. Tunneln
Sie können fast alles über SSH tunneln (aus gutem Grund). Wenn Sie beispielsweise vom Internet aus auf eine SMB-Freigabe in Ihrem Heimnetzwerk zugreifen möchten, stellen Sie eine Verbindung zu Ihrem Bastion-Host her und öffnen Sie einen Tunnel zur SMB-Freigabe. Erfüllen Sie diese Zauberei einfach, indem Sie diesen Befehl ausführen:
ssh -L 15445:445 - 52739 @
Ein tatsächlicher Befehl würde ungefähr so aussehen:
ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected]
Diesen Befehl aufzubrechen ist einfach. Dadurch wird eine Verbindung zum Konto auf Ihrem Server über den externen SSH-Port 52739 Ihres Routers hergestellt. Jeder an Port 15445 (einen beliebigen Port) gesendete lokale Datenverkehr wird durch den Tunnel gesendet und dann mit der IP-Adresse 10.1.2.250 und dem SMB an den Computer weitergeleitet Port 445.
Wenn Sie wirklich schlau werden möchten, können Sie den gesamten Befehl als Alias eingeben, indem Sie Folgendes eingeben:
alias sss = "ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected]"
Jetzt müssen Sie alles in Terminal eingeben sss, und Bob ist dein Onkel.
Sobald die Verbindung hergestellt ist, können Sie mit der Adresse auf Ihre SMB-Freigabe zugreifen:
smb: // localhost: 15445
Dies bedeutet, dass Sie diese lokale Freigabe über das Internet durchsuchen können, als wären Sie im lokalen Netzwerk. Wie bereits erwähnt, kann man mit SSH ziemlich viel in alles tunneln. Sogar Windows-Computer, auf denen Remote Desktop aktiviert ist, können über einen SSH-Tunnel aufgerufen werden. So können Sie den Web-Traffic mit SSH Secure Shell tunneln .
Rekapitulieren
In diesem Artikel wurde viel mehr als nur ein Bastion-Host behandelt, und Sie haben es gut gemacht, so weit zu kommen. Ein Bastion-Host bedeutet, dass die anderen Geräte mit bereitgestellten Diensten geschützt werden. Es stellt außerdem sicher, dass Sie von überall auf der Welt auf diese Ressourcen zugreifen können. Seien Sie sicher, mit Kaffee, Schokolade oder beidem zu feiern. Die grundlegenden Schritte, die wir behandelt haben, waren:
- Richten Sie dynamisches DNS ein
- Leiten Sie einen externen Port an einen internen Port weiter
- Erstellen Sie einen Tunnel, um auf eine lokale Ressource zuzugreifen
Müssen Sie über das Internet auf lokale Ressourcen zugreifen? Verwenden Sie derzeit ein VPN, um dies zu erreichen? Haben Sie bereits SSH-Tunnel verwendet??
Bild-Gutschrift: TopVectors / Depositphotos
Erfahren Sie mehr über: Linux, Online-Sicherheit.