Proteggi la tua rete con un Bastion Host in soli 3 passaggi

Proteggi la tua rete con un Bastion Host in soli 3 passaggi

Hai macchine sulla tua rete interna a cui devi accedere dal mondo esterno? L'utilizzo di un bastion host come gatekeeper per la rete potrebbe essere la soluzione.





Che cos'è un bastione host?

Bastione si traduce letteralmente in un luogo fortificato. In termini informatici, è una macchina sulla rete che può fungere da gatekeeper per le connessioni in entrata e in uscita.



Puoi impostare il tuo bastion host come unico computer in grado di accettare connessioni in entrata da Internet. Quindi, a sua volta, imposta tutte le altre macchine sulla tua rete, per ricevere solo le connessioni in entrata dal tuo host bastion. Quali vantaggi ha questo?





Al di là di tutto, la sicurezza. Il bastion host, come suggerisce il nome, può avere una protezione molto stretta. Sarà la prima linea di difesa contro eventuali intrusi e assicurerà che il resto delle tue macchine sia protetto.

Inoltre, semplifica leggermente altre parti della configurazione di rete. Invece di inoltrare le porte a livello di router, devi solo inoltrare una porta in entrata al tuo host bastion. Da lì, puoi spostarti su altre macchine a cui hai bisogno di accedere sulla tua rete privata. Non temere, questo sarà trattato nella prossima sezione.



il diagramma

Questo è un esempio di una tipica configurazione di rete. Se hai bisogno di accedere alla tua rete domestica dall'esterno, entrerai tramite Internet. Il tuo router inoltrerà quella connessione al tuo bastion host. Una volta connesso al tuo bastion host, sarai in grado di accedere a qualsiasi altra macchina sulla tua rete. Allo stesso modo, non sarà possibile accedere a macchine diverse dal bastion host direttamente da Internet.

Basta procrastinare, è tempo di usare il bastione.



1. DNS dinamico

Gli astuti tra di voi potrebbero essersi chiesti come accedere al router di casa tramite Internet. La maggior parte dei provider di servizi Internet (ISP) ti assegna un indirizzo IP temporaneo, che cambia di tanto in tanto. Gli ISP tendono a addebitare un supplemento se si desidera un indirizzo IP statico. La buona notizia è che i router moderni tendono ad avere un DNS dinamico integrato nelle loro impostazioni.

Il DNS dinamico aggiorna il tuo nome host con il tuo nuovo indirizzo IP a intervalli prestabiliti, assicurandoti di poter sempre accedere alla tua rete domestica. Ci sono molti fornitori che offrono tale servizio, uno dei quali è No-IP che ha anche un livello gratuito . Tieni presente che il livello gratuito ti richiederà di confermare il tuo nome host una volta ogni 30 giorni. È solo un processo di 10 secondi, che ricordano di fare comunque.



Dopo esserti registrato, crea semplicemente un nome host. Il tuo nome host dovrà essere univoco, e basta. Se possiedi un router Netgear, offrono un DNS dinamico gratuito che non richiede una conferma mensile.

come organizzare le pagine in word

Ora accedi al tuo router e cerca l'impostazione DNS dinamica. Questo sarà diverso da router a router, ma se non lo trovi in ​​agguato nelle impostazioni avanzate, controlla il manuale utente del produttore. Le quattro impostazioni che in genere devi inserire saranno:

  1. Il fornitore
  2. Nome di dominio (il nome host appena creato)
  3. Nome di accesso (l'indirizzo email utilizzato per creare il tuo DNS dinamico)
  4. Parola d'ordine

Se il tuo router non ha un'impostazione DNS dinamica, No-IP fornisce un software che puoi installa sul tuo computer locale per ottenere lo stesso risultato. Questa macchina dovrà essere online per mantenere aggiornato il DNS dinamico.

2. Inoltro o reindirizzamento alla porta

Il router ora deve sapere dove inoltrare la connessione in entrata. Lo fa in base al numero di porta che si trova sulla connessione in entrata. Una buona pratica qui è quella di non utilizzare la porta SSH predefinita, che è 22, per la porta pubblica.

Il motivo per non utilizzare la porta predefinita è perché gli hacker hanno sniffer di porta dedicati. Questi strumenti controllano costantemente le porte note che potrebbero essere aperte sulla rete. Quando scoprono che il router accetta connessioni su una porta predefinita, iniziano a inviare richieste di connessione con nomi utente e password comuni.

Sebbene la scelta di una porta casuale non fermi del tutto gli sniffer maligni, ridurrà drasticamente il numero di richieste che arrivano al tuo router. Se il tuo router può inoltrare solo la stessa porta, non è un problema, poiché dovresti impostare il tuo bastion host per utilizzare l'autenticazione della coppia di chiavi SSH e non i nomi utente e le password.

Le impostazioni di un router dovrebbero essere simili a questa:

  1. Il nome del servizio che può essere SSH
  2. Protocollo (dovrebbe essere impostato su TCP)
  3. Porta pubblica (dovrebbe essere una porta alta che non sia 22, usa 52739)
  4. IP privato (l'IP del tuo bastion host)
  5. Porta privata (la porta SSH predefinita, che è 22)

Il Bastione

L'unica cosa di cui il tuo bastione avrà bisogno è SSH. Se questo non è stato selezionato al momento dell'installazione, digitare semplicemente:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

Una volta installato SSH, assicurati di impostare il tuo server SSH per l'autenticazione con chiavi anziché password . Assicurati che l'IP del tuo bastion host sia lo stesso di quello impostato nella regola di port forwarding sopra.

Possiamo eseguire un test rapido per assicurarci che tutto funzioni. Per simulare di essere fuori dalla rete domestica, puoi usa il tuo dispositivo smart come hotspot mentre è su dati mobili. Apri un terminale e digita, sostituendo con il nome utente di un account sul tuo bastion host e con l'impostazione dell'indirizzo nel passaggio A sopra:

ssh -p 52739 @

Se tutto è stato impostato correttamente, ora dovresti vedere la finestra del terminale del tuo bastion host.

3. Tunneling

Puoi eseguire il tunneling di qualsiasi cosa tramite SSH (entro limiti ragionevoli). Ad esempio, se desideri accedere a una condivisione SMB sulla tua rete domestica da Internet, connettiti al tuo bastion host e apri un tunnel per la condivisione SMB. Realizza questa stregoneria semplicemente eseguendo questo comando:

ssh -L 15445::445 -p 52739 @

Un comando effettivo sarebbe simile a:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Scomporre questo comando è facile. Questo si connette all'account sul tuo server tramite la porta SSH esterna 52739 del tuo router. Qualsiasi traffico locale inviato alla porta 15445 (una porta arbitraria) verrà inviato attraverso il tunnel, quindi inoltrato alla macchina con l'IP di 10.1.2.250 e SMB porta 445.

Se vuoi diventare davvero intelligente, possiamo alias l'intero comando digitando:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Ora tutto ciò che devi digitare nel terminale sss , e Bob è tuo zio.

Una volta stabilita la connessione, puoi accedere alla tua condivisione SMB con l'indirizzo:

smb://localhost:15445

Ciò significa che sarai in grado di navigare in quella condivisione locale da Internet come se fossi sulla rete locale. Come accennato, puoi praticamente scavare in qualsiasi cosa con SSH. È possibile accedere anche alle macchine Windows con desktop remoto abilitato tramite un tunnel SSH.

Ricapitolare

Questo articolo ha trattato molto di più di un semplice host di bastioni e hai fatto bene ad arrivare fino a qui. Avere un host bastion significherà che gli altri dispositivi che hanno servizi esposti saranno protetti. Garantisce inoltre che tu possa accedere a queste risorse da qualsiasi parte del mondo. Assicurati di festeggiare con caffè, cioccolato o entrambi. I passaggi di base che abbiamo trattato sono stati:

  • Imposta DNS dinamico
  • Inoltra una porta esterna a una porta interna
  • Crea un tunnel per accedere a una risorsa locale

Hai bisogno di accedere a risorse locali da Internet? Utilizzi attualmente una VPN per raggiungere questo obiettivo? Hai usato i tunnel SSH prima?

Credito immagine: TopVectors/ Depositphotos

Condividere Condividere Tweet E-mail 3 modi per verificare se un'e-mail è reale o falsa

Se hai ricevuto un'email che sembra un po' dubbia, è sempre meglio verificarne l'autenticità. Ecco tre modi per sapere se un'e-mail è reale.

Leggi Avanti Argomenti correlati
  • Linux
  • Sicurezza
  • Sicurezza online
  • Linux
Circa l'autore Yusuf Limalia(49 articoli pubblicati)

Yusuf vuole vivere in un mondo pieno di attività innovative, smartphone forniti in bundle con caffè tostato scuro e computer dotati di campi di forza idrofobici che respingono inoltre la polvere. In qualità di analista aziendale e laureato alla Durban University of Technology, con oltre 10 anni di esperienza in un settore tecnologico in rapida crescita, gli piace essere l'uomo di mezzo tra le persone tecniche e non tecniche e aiutare tutti a mettersi al passo con la tecnologia all'avanguardia.

Altro da Yusuf Limalia

Iscriviti alla nostra Newsletter

Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!

Clicca qui per iscriverti