Proteggi la tua rete con un host bastione in soli 3 passaggi

Proteggi la tua rete con un host bastione in soli 3 passaggi / Linux

Avete macchine sulla vostra rete interna a cui dovete accedere dal mondo esterno? L'utilizzo di un host bastion come gatekeeper per la rete potrebbe essere la soluzione.

Cos'è un host di Bastion?

Il bastione si traduce letteralmente in un luogo fortificato. In termini informatici, è una macchina sulla rete che può essere il gatekeeper per le connessioni in entrata e in uscita.

Puoi impostare il tuo host bastion come unica macchina per accettare le connessioni in arrivo da Internet. Quindi, a sua volta, imposta tutte le altre macchine sulla rete, per ricevere solo le connessioni in entrata dall'host del bastione. Che vantaggi ha questo?

Oltre ogni altra cosa, sicurezza. L'host bastione, come suggerisce il nome, può avere una sicurezza molto stretta. Sarà la prima linea di difesa contro qualsiasi intruso e garantirà la protezione del resto delle macchine.

Rende anche leggermente più semplici altre parti della configurazione di rete. Invece di inoltrare le porte a livello di router, è sufficiente inoltrare una porta in ingresso al proprio host bastion. Da lì, puoi diramarti verso altre macchine a cui devi accedere sulla tua rete privata. Non temere, questo sarà trattato nella prossima sezione.

Il diagramma

Questo è un esempio di una tipica configurazione di rete. Se hai bisogno di accedere alla tua rete domestica dall'esterno, verrai via Internet. Il router inoltrerà la connessione al tuo host bastion. Una volta connesso al tuo host bastion, sarai in grado di accedere a qualsiasi altra macchina sulla tua rete. Allo stesso modo, non ci sarà accesso a macchine diverse dall'host bastion direttamente da internet.

Basta procrastinare, è tempo di usare il bastione.

1. DNS dinamico

L'astuto tra voi potrebbe essersi chiesto come ottenere l'accesso al router di casa via internet. La maggior parte dei provider di servizi Internet (ISP) ti assegna un indirizzo IP temporaneo, che cambia ogni tanto. Gli ISP tendono a pagare extra se si desidera un indirizzo IP statico. La buona notizia è che i router moderni tendono ad avere DNS dinamici cotti nelle loro impostazioni.

Il DNS dinamico aggiorna il tuo hostname con il tuo nuovo indirizzo IP a intervalli prestabiliti, assicurando che puoi sempre accedere alla tua rete domestica. Ci sono molti fornitori che offrono detto servizio, uno dei quali è No-IP che ha anche un livello gratuito. Tieni presente che il livello gratuito richiederà la conferma del nome host una volta ogni 30 giorni. È solo un processo di 10 secondi, che ricordano di fare comunque.

Dopo esserti registrato, crea semplicemente un nome host. Il tuo hostname dovrà essere unico, e il gioco è fatto. Se possiedi un router Netgear, offrono un DNS dinamico gratuito che non richiede una conferma mensile.

Ora accedi al tuo router e cerca le impostazioni DNS dinamiche. Questo sarà diverso da router a router, ma se non lo trovi in ​​agguato sotto le impostazioni avanzate, controlla il manuale utente del produttore. Le quattro impostazioni che tipicamente devi inserire saranno:

  1. Il fornitore
  2. Nome dominio (il nome host appena creato)
  3. Nome di accesso (l'indirizzo email utilizzato per creare il tuo DNS dinamico)
  4. Parola d'ordine

Se il router non dispone di un'impostazione DNS dinamica, No-IP fornisce un software che è possibile installare sul computer locale per ottenere lo stesso risultato. Questa macchina dovrà essere online, al fine di mantenere aggiornato il DNS dinamico.

2. Port Forwarding o Reindirizzamento

Il router ora deve sapere dove inoltrare la connessione in entrata. Lo fa in base al numero di porta che si trova sulla connessione in entrata. Una buona pratica qui è quella di non usare la porta SSH predefinita, che è 22, per la porta pubblica di fronte.

Il motivo per cui non si utilizza la porta predefinita è perché gli hacker hanno gli sniffer dedicati alle porte. Questi strumenti controllano costantemente le porte conosciute che potrebbero essere aperte sulla rete. Una volta scoperto che il router accetta le connessioni su una porta predefinita, iniziano a inviare richieste di connessione con nomi utente e password comuni.

Mentre scegliere una porta casuale non fermerà del tutto gli sniffer maligni, ridurrà drasticamente il numero di richieste che giungono al tuo router. Se il tuo router può solo inoltrare la stessa porta, non è un problema, come dovresti impostare il tuo host bastion per usare l'autenticazione keypair SSH e non nomi utente e password.

Le impostazioni di un router dovrebbero essere simili a questa:

  1. Il nome del servizio che può essere SSH
  2. Protocollo (dovrebbe essere impostato su TCP)
  3. Porta pubblica (dovrebbe essere una porta alta che non sia 22, usare 52739)
  4. IP privato (l'IP del tuo host bastion)
  5. Porta privata (la porta SSH predefinita, che è 22)

Il bastione

L'unica cosa di cui il tuo bastione avrà bisogno è SSH. Se questo non è stato selezionato al momento dell'installazione, digita semplicemente:

sudo apt install OpenSSH-client sudo apt installa OpenSSH-server

Una volta installato SSH, assicurati di impostare il tuo server SSH per l'autenticazione con le chiavi invece delle password Come autenticare su SSH con le chiavi invece delle password Come autenticare su SSH con le chiavi invece delle password SSH è un ottimo modo per ottenere l'accesso remoto al tuo computer. Quando apri le porte sul tuo router (la porta 22 per l'esattezza) non puoi solo accedere al tuo server SSH dall'interno ... Ulteriori informazioni. Assicurati che l'IP dell'host del tuo bastione sia uguale a quello impostato nella precedente regola port forward.

Possiamo eseguire un test rapido per assicurarci che tutto funzioni. Per simulare l'essere al di fuori della rete domestica, puoi utilizzare il tuo dispositivo intelligente come hotspot Controllo hotspot: Usa il tuo Android come controllo Hotspot router wireless: Usa il tuo Android come router wireless Utilizzare il tuo dispositivo Android come hotspot è un ottimo modo per condividere i tuoi dati mobili con altri dispositivi come un laptop o un tablet - ed è semplicissimo! Leggi di più mentre è sui dati mobili. Apri un terminale e digita, sostituendo con il nome utente di un account sul tuo host bastione e con l'impostazione dell'indirizzo nel passaggio A sopra:

ssh -p 52739 @

Se tutto è stato configurato correttamente, ora dovresti vedere la finestra del terminale del tuo host bastion.

3. Tunneling

Puoi scavare qualsiasi cosa attraverso SSH (entro limiti ragionevoli). Ad esempio, se si desidera ottenere l'accesso a una condivisione SMB sulla rete domestica da Internet, connettersi al proprio host bastion e aprire un tunnel alla condivisione SMB. Realizza questa stregoneria semplicemente eseguendo questo comando:

ssh -L 15445:: 445 -p 52739 @

Un comando effettivo dovrebbe assomigliare a qualcosa:

ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected] 

Interrompere questo comando è facile. Questo si collega all'account sul tuo server tramite la porta SSH esterna del router 52739. Qualsiasi traffico locale inviato alla porta 15445 (una porta arbitraria) verrà inviato attraverso il tunnel, quindi inoltrato alla macchina con l'IP di 10.1.2.250 e la SMB. porta 445.

Se vuoi diventare davvero intelligente, possiamo creare l'alias dell'intero comando digitando:

alias sss = "ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected]"

Ora tutto ciò che devi digitare nel terminale sss, e Bob è tuo zio.

Una volta stabilita la connessione, è possibile accedere alla condivisione SMB con l'indirizzo:

smb: // localhost: 15445 

Ciò significa che potrai navigare su quella condivisione locale da Internet come se fossi sulla rete locale. Come già accennato, puoi inserire praticamente tutto in qualcosa con SSH. È possibile accedere anche a macchine Windows con desktop remoto abilitato tramite un tunnel SSH. Come eseguire il tunneling del traffico Web con SSH Secure Shell. Come eseguire il tunneling del traffico Web con SSH Secure Shell Ulteriori informazioni .

Ricapitolare

Questo articolo riguardava molto di più di un semplice host di bastioni, e hai fatto bene a farlo fin qui. Avere un host bastion significherà che gli altri dispositivi che hanno servizi esposti saranno protetti. Garantisce inoltre la possibilità di accedere a queste risorse da qualsiasi parte del mondo. Assicurati di festeggiare con caffè, cioccolato o entrambi. I passi fondamentali che abbiamo seguito sono stati:

  • Imposta il DNS dinamico
  • Inoltra una porta esterna a una porta interna
  • Creare un tunnel per accedere a una risorsa locale

Hai bisogno di accedere alle risorse locali da internet? Attualmente usi una VPN per raggiungere questo obiettivo? Hai già usato i tunnel SSH?

Immagine di credito: TopVectors / Depositphotos

Scopri di più su: Linux, sicurezza online.