Έχετε μηχανές στο εσωτερικό σας δίκτυο που πρέπει να έχετε πρόσβαση από τον έξω κόσμο; Η χρήση ενός κεντρικού υπολογιστή μπάσων ως gatekeeper στο δίκτυό σας μπορεί να είναι η λύση.
Τι είναι ένας οικοδεσπότης Bastion;
Ο προμαχώνας μεταφράζεται κυριολεκτικά σε έναν οχυρωμένο χώρο. Από πλευράς υπολογιστή, είναι ένα μηχάνημα στο δίκτυό σας που μπορεί να είναι ο gatekeeper για εισερχόμενες και εξερχόμενες συνδέσεις.
Μπορείτε να ρυθμίσετε το host bastion ως το μοναδικό μηχάνημα για να δέχεστε εισερχόμενες συνδέσεις από το διαδίκτυο. Στη συνέχεια, με τη σειρά του, ρυθμίστε όλες τις άλλες μηχανές στο δίκτυό σας, για να λαμβάνετε μόνο εισερχόμενες συνδέσεις από τον κεντρικό υπολογιστή σας. Τι πλεονεκτήματα έχει αυτό;
Πάνω από οτιδήποτε άλλο, ασφάλεια. Ο ξενιστής των προμαχώνων, όπως υπονοεί το όνομα, μπορεί να έχει πολύ στενή ασφάλεια. Θα είναι η πρώτη γραμμή άμυνας εναντίον κάθε εισβολέα και θα εξασφαλίσει την προστασία των υπόλοιπων μηχανών σας.
Κάνει επίσης κάπως ευκολότερη την εγκατάσταση άλλων τμημάτων της εγκατάστασης του δικτύου σας. Αντί να προωθήσετε τις θύρες στο επίπεδο του δρομολογητή, απλά πρέπει να προωθήσετε μία εισερχόμενη θύρα στον κεντρικό υπολογιστή σας. Από εκεί, μπορείτε να δημιουργήσετε υποκατάστημα σε άλλα μηχανήματα στα οποία πρέπει να έχετε πρόσβαση στο ιδιωτικό σας δίκτυο. Δεν φοβάσαι, αυτό θα καλυφθεί στην επόμενη ενότητα.
Το Διάγραμμα
Αυτό είναι ένα παράδειγμα τυπικής ρύθμισης δικτύου. Εάν χρειάζεστε πρόσβαση στο οικιακό σας δίκτυο από έξω, θα μπείτε μέσω του Διαδικτύου. Στη συνέχεια, ο δρομολογητής σας θα προωθήσει αυτή τη σύνδεση στον κεντρικό υπολογιστή σας. Μόλις συνδεθείτε με τον κεντρικό υπολογιστή υποδοχής, θα μπορείτε να έχετε πρόσβαση σε οποιεσδήποτε άλλες συσκευές στο δίκτυό σας. Ομοίως, δεν θα υπάρχει πρόσβαση σε άλλες μηχανές εκτός από τον ξενώνα των προμαχώνων απευθείας από το διαδίκτυο.
Αρκετή αναβλητικότητα, χρόνος για να χρησιμοποιήσετε τον προμαχώνα.
1. Δυναμικό DNS
Οι έξυπνοι μεταξύ σας μπορεί να αναρωτιούνται πώς θα έχουν πρόσβαση στον οικιακό σας δρομολογητή μέσω του Διαδικτύου. Οι περισσότεροι πάροχοι υπηρεσιών διαδικτύου (ISP) σας εκχωρούν μια προσωρινή διεύθυνση IP, η οποία αλλάζει κάθε τόσο συχνά. Οι ISP τείνουν να χρεώνουν επιπλέον αν θέλετε μια στατική διεύθυνση IP. Τα καλά νέα είναι ότι οι σύγχρονοι δρομολογητές τείνουν να έχουν το δυναμικό DNS ψημένο στις ρυθμίσεις τους.
Το Dynamic DNS ανανεώνει το όνομα του κεντρικού υπολογιστή σας με τη νέα σας διεύθυνση IP σε καθορισμένα χρονικά διαστήματα, εξασφαλίζοντας ότι μπορείτε πάντα να έχετε πρόσβαση στο οικιακό σας δίκτυο. Υπάρχουν πολλοί πάροχοι υπηρεσιών που προσφέρουν την εν λόγω υπηρεσία, μία από τις οποίες είναι η No-IP η οποία έχει ακόμη και μια δωρεάν βαθμίδα. Έχετε υπόψη σας ότι η ελεύθερη βαθμίδα θα σας ζητήσει να επιβεβαιώσετε το όνομα του υπολογιστή σας μία φορά κάθε 30 ημέρες. Είναι μια διαδικασία 10 δευτερολέπτων, την οποία υπενθυμίζουν να το κάνει ούτως ή άλλως.
Αφού εγγραφείτε, απλά δημιουργήστε ένα όνομα κεντρικού υπολογιστή. Το όνομα του κεντρικού υπολογιστή σας θα πρέπει να είναι μοναδικό και αυτό είναι. Εάν διαθέτετε ένα δρομολογητή Netgear, προσφέρουν ένα δωρεάν δυναμικό DNS που δεν απαιτεί μηνιαία επιβεβαίωση.
Τώρα συνδεθείτε στο δρομολογητή σας και αναζητήστε τη δυναμική ρύθμιση DNS. Αυτό θα διαφέρει από το δρομολογητή στο δρομολογητή, αλλά εάν δεν βρίσκετε να παραμένει κάτω από τις προηγμένες ρυθμίσεις, ελέγξτε το εγχειρίδιο χρήσης του κατασκευαστή. Οι τέσσερις ρυθμίσεις που συνήθως πρέπει να πληκτρολογήσετε θα είναι:
- Ο παροχέας
- Όνομα τομέα (το όνομα κεντρικού υπολογιστή που μόλις δημιουργήσατε)
- Όνομα σύνδεσης (η διεύθυνση ηλεκτρονικού ταχυδρομείου που χρησιμοποιήσατε για τη δημιουργία του δυναμικού σας DNS)
- Κωδικός πρόσβασης
Εάν ο δρομολογητής σας δεν διαθέτει δυναμική ρύθμιση DNS, το No-IP παρέχει λογισμικό το οποίο μπορείτε να εγκαταστήσετε στο τοπικό σας μηχάνημα για να επιτύχετε το ίδιο αποτέλεσμα. Αυτό το μηχάνημα θα πρέπει να είναι συνδεδεμένο στο διαδίκτυο, προκειμένου να διατηρηθεί το δυναμικό DNS ενημερωμένο.
2. Προώθηση ή ανακατεύθυνση θύρας
Ο δρομολογητής πρέπει τώρα να γνωρίζει πού να προωθήσει την εισερχόμενη σύνδεση. Αυτό γίνεται με βάση τον αριθμό θύρας που βρίσκεται στην εισερχόμενη σύνδεση. Μια καλή πρακτική εδώ είναι να μην χρησιμοποιήσετε την προεπιλεγμένη θύρα SSH, η οποία είναι 22, για τη δημόσια θύρα.
Ο λόγος για τον οποίο δεν χρησιμοποιείται η προεπιλεγμένη θύρα είναι επειδή οι χάκερ έχουν αφιερωμένα θυλάκια θυρίδων. Αυτά τα εργαλεία ελέγχουν συνεχώς για γνωστές θύρες που ενδέχεται να είναι ανοικτές στο δίκτυό σας. Αφού διαπιστώσουν ότι ο δρομολογητής σας δέχεται συνδέσεις σε μια προεπιλεγμένη θύρα, αρχίζουν να στέλνουν αιτήματα σύνδεσης με κοινά ονόματα χρήστη και κωδικούς πρόσβασης.
Ενώ η επιλογή μιας τυχαίας θύρας δεν θα σταματήσει εντελώς τα κακοήθη sniffers, θα μειώσει δραστικά τον αριθμό των αιτήσεων που έρχονται στο δρομολογητή σας. Εάν ο δρομολογητής σας μπορεί μόνο να προωθήσει την ίδια θύρα, αυτό δεν είναι πρόβλημα, καθώς θα έπρεπε να ρυθμίσετε τον κεντρικό υπολογιστή μπάσων για να χρησιμοποιήσετε τον έλεγχο ταυτότητας κλειδιού SSH και όχι τα ονόματα χρήστη και τους κωδικούς πρόσβασης.
Οι ρυθμίσεις του δρομολογητή θα πρέπει να μοιάζουν με αυτό:
- Το όνομα υπηρεσίας που μπορεί να είναι SSH
- Πρωτόκολλο (θα πρέπει να οριστεί σε TCP)
- Δημόσιο λιμάνι (πρέπει να είναι ένα υψηλό λιμάνι που δεν είναι 22, χρησιμοποιήστε 52739)
- Ιδιωτική διεύθυνση IP (η διεύθυνση IP του κεντρικού υπολογιστή σας)
- Ιδιωτική θύρα (η προεπιλεγμένη θύρα SSH, η οποία είναι 22)
Ο προμαχώνας
Το μόνο πράγμα που θα χρειαστεί ο προπύργος είναι η SSH. Εάν αυτό δεν είχε επιλεγεί κατά την εγκατάσταση, απλά πληκτρολογήστε:
sudo apt install OpenSSH-client sudo apt install OpenSSH-server
Μόλις εγκατασταθεί το SSH, βεβαιωθείτε ότι έχετε ρυθμίσει τον SSH server σας να πιστοποιήσει με κλειδιά αντί για κωδικούς πρόσβασης Πώς να επαληθεύσει SSH με τα πλήκτρα αντί των κωδικών πρόσβασης Πώς να πιστοποιήσετε SSH με κλειδιά αντί των κωδικών πρόσβασης SSH είναι ένας πολύ καλός τρόπος για να αποκτήσετε απομακρυσμένη πρόσβαση στο υπολογιστή. Όταν ανοίγετε τις θύρες στο δρομολογητή σας (η θύρα 22 είναι ακριβής), μπορείτε όχι μόνο να έχετε πρόσβαση στον διακομιστή SSH σας μέσα από ... Read More. Βεβαιωθείτε ότι η διεύθυνση IP του κεντρικού υπολογιστή του προασπίσματός σας είναι ίδια με αυτή που έχει οριστεί στον παραπάνω κανόνα προώθησης θύρας.
Μπορούμε να εκτελέσουμε μια γρήγορη δοκιμή για να βεβαιωθείτε ότι όλα λειτουργούν. Για να προσομοιώσετε το γεγονός ότι βρίσκεστε εκτός του οικιακού σας δικτύου, μπορείτε να χρησιμοποιήσετε την έξυπνη συσκευή σας ως ένα hotspot. Hotspot Control: Χρησιμοποιήστε το Android ως ασύρματο δρομολογητή. Έλεγχος Hotspot: Χρησιμοποιήστε το Android ως ασύρματο δρομολογητή Χρησιμοποιώντας τη συσκευή σας Android ως hotspot είναι ένας πολύ καλός τρόπος για να μοιραστείτε τα δεδομένα κινητής τηλεφωνίας σας με τις άλλες συσκευές σας, όπως ένα φορητό υπολογιστή ή tablet - και είναι εξαιρετικά εύκολο! Διαβάστε περισσότερα ενώ βρίσκεται σε δεδομένα για κινητά. Ανοίξτε ένα τερματικό και πληκτρολογήστε, αντικαθιστώντας με το όνομα χρήστη ενός λογαριασμού στο host υποδοχής σας και με τη ρύθμιση διευθύνσεων στο παραπάνω βήμα Α:
ssh -p 52739 @
Εάν τα πάντα ήταν σωστά ρυθμισμένα, θα πρέπει να δείτε το παράθυρο τερματικού του κεντρικού υπολογιστή σας.
3. Σήραγγα
Μπορείτε να κάνετε σήραγγες σχεδόν για οτιδήποτε μέσω SSH (εντός λογικής). Για παράδειγμα, εάν θέλετε να αποκτήσετε πρόσβαση σε ένα κοινόχρηστο στοιχείο SMB στο οικιακό σας δίκτυο από το διαδίκτυο, συνδεθείτε με τον κεντρικό υπολογιστή του προνομίου σας και ανοίξτε μια σήραγγα στο κοινόχρηστο στοιχείο SMB. Πραγματοποιήστε αυτή τη μαγεία απλά τρέχοντας αυτήν την εντολή:
ssh -L 15445::445 -p 52739 @
Μια πραγματική εντολή θα έμοιαζε σαν:
ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]
Η κατάργηση αυτής της εντολής είναι εύκολη. Αυτό συνδέεται στο λογαριασμό του διακομιστή σας μέσω της εξωτερικής θύρας SSH του δρομολογητή 52739. Οποιαδήποτε τοπική κίνηση που αποστέλλεται στη θύρα 15445 (μια αυθαίρετη θύρα) θα αποσταλεί μέσω της σήραγγας και θα προωθηθεί στο μηχάνημα με το IP του 10.1.2.250 και το SMB θύρα 445.
Εάν θέλετε να πάρετε πραγματικά έξυπνο, μπορούμε να ψευδώνουμε ολόκληρη την εντολή πληκτρολογώντας:
alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]'
Τώρα το μόνο που έχετε να πληκτρολογήσετε στο τερματικό στο sss, και bob ο θείος σας.
Μόλις γίνει η σύνδεση, μπορείτε να έχετε πρόσβαση στο μερίδιο SMB με τη διεύθυνση:
smb://localhost:15445
Αυτό σημαίνει ότι θα μπορείτε να περιηγείστε σε αυτό το τοπικό κοινόχρηστο στοιχείο από το διαδίκτυο, σαν να βρίσκεστε στο τοπικό δίκτυο. Όπως αναφέρθηκε, μπορείτε να κάνετε tunnel σε οτιδήποτε με SSH. Ακόμη και τα μηχανήματα των Windows που έχουν ενεργοποιημένη την απομακρυσμένη επιφάνεια εργασίας μπορούν να αποκτήσουν πρόσβαση μέσω μιας σήραγγας SSH Πώς να κάνετε σήραγγα Web Traffic με SSH Secure Shell Πώς να κάνετε σήραγγα Web Traffic με SSH Secure Shell Διαβάστε περισσότερα.
ανακεφαλαιώσουμε
Αυτό το άρθρο κάλυψε πολύ περισσότερα από ένα βασικό οικοδεσπότη, και το κάνατε πολύ καλά για να το φτάσετε μέχρι τώρα. Έχοντας έναν οικοδεσπότη μπάσων θα σημαίνει ότι οι άλλες συσκευές που έχουν εκτεθειμένες υπηρεσίες θα προστατεύονται. Εξασφαλίζει επίσης ότι μπορείτε να έχετε πρόσβαση σε αυτούς τους πόρους από οπουδήποτε στον κόσμο. Φροντίστε να γιορτάσετε με καφέ, σοκολάτα ή και τα δύο. Τα βασικά βήματα που καλύψαμε ήταν:
- Ρύθμιση δυναμικού DNS
- Προωθήστε μια εξωτερική θύρα σε μια εσωτερική θύρα
- Δημιουργήστε μια σήραγγα για να αποκτήσετε πρόσβαση σε έναν τοπικό πόρο
Χρειάζεται να έχετε πρόσβαση σε τοπικούς πόρους από το διαδίκτυο; Χρησιμοποιείτε αυτήν τη στιγμή ένα VPN για να το επιτύχετε αυτό; Έχετε χρησιμοποιήσει σήραγγες SSH πριν;
Πιστωτική εικόνα: TopVectors / Depositphotos