Heeft u machines op uw interne netwerk die u moet openen vanuit de buitenwereld? Het gebruik van een bastionhost als poortwachter voor uw netwerk kan de oplossing zijn.
Wat is een Bastion-host?
Bastion vertaalt letterlijk naar een plaats die versterkt is. In computertermen is het een machine in uw netwerk die de poortwachter kan zijn voor inkomende en uitgaande verbindingen.
U kunt uw bastionhost instellen als de enige machine om binnenkomende verbindingen van internet te accepteren. Stel vervolgens op zijn beurt alle andere machines in uw netwerk in om alleen inkomende verbindingen van uw bastionhost te ontvangen. Welke voordelen heeft dit?
Behalve al het andere, veiligheid. De bastionhost, zoals de naam al aangeeft, kan een zeer strakke beveiliging hebben. Het is de eerste verdedigingslinie tegen indringers en zorgt ervoor dat de rest van uw machines wordt beschermd.
Het maakt ook andere delen van uw netwerkinstallatie iets eenvoudiger. In plaats van poorten op routerniveau door te sturen, hoeft u slechts één inkomende poort naar uw bastionhost door te sturen. Vanaf daar kunt u vertakken naar andere machines die u nodig hebt op uw privé-netwerk. Vrees niet, dit wordt behandeld in de volgende sectie.
Het diagram
Dit is een voorbeeld van een typische netwerkinstallatie. Als u van buitenaf toegang tot uw thuisnetwerk nodig heeft, komt u via internet. Uw router zal vervolgens die verbinding doorsturen naar uw bastionhost. Nadat u bent verbonden met uw bastionhost, heeft u toegang tot andere machines in uw netwerk. Evenmin zal er rechtstreeks vanaf internet toegang zijn tot andere machines dan de bastionhost.
Genoeg uitstelgedrag, tijd om bastion te gebruiken.
1. Dynamische DNS
De scherpzinnige onder u heeft zich misschien afgevraagd hoe via het internet toegang tot uw router zou krijgen. De meeste internetproviders (ISP) kennen u een tijdelijk IP-adres toe, dat af en toe verandert. ISP's hebben de neiging om extra kosten in rekening te brengen als u een statisch IP-adres wilde. Het goede nieuws is dat moderne routers meestal dynamische DNS hebben ingebakken in hun instellingen.
Dynamische DNS werkt uw hostnaam op gezette tijden bij met uw nieuwe IP-adres, zodat u altijd toegang heeft tot uw thuisnetwerk. Er zijn veel providers die genoemde service aanbieden, waarvan er één No-IP is die zelfs een gratis laag heeft. Houd er rekening mee dat u voor de gratis laag elke 30 dagen uw hostnaam moet bevestigen. Het is slechts een proces van 10 seconden, dat ze eraan herinneren om het toch te doen.
Nadat u zich hebt aangemeld, maakt u eenvoudig een hostnaam. Je hostnaam moet uniek zijn en dat is alles. Als u een Netgear-router bezit, bieden deze een gratis dynamische DNS waarvoor geen maandelijkse bevestiging vereist is.
Meld u nu aan bij uw router en zoek naar de dynamische DNS-instelling. Dit zal verschillen van router tot router, maar als u het niet op de loer vindt onder geavanceerde instellingen, raadpleegt u de gebruikershandleiding van uw fabrikant. De vier instellingen die u normaal moet invoeren, zijn:
- De provider
- Domeinnaam (de hostnaam die u zojuist hebt gemaakt)
- Aanmeldingsnaam (het e-mailadres dat is gebruikt om uw dynamische DNS te maken)
- Wachtwoord
Als uw router geen dynamische DNS-instelling heeft, levert No-IP software die u op uw lokale computer kunt installeren om hetzelfde resultaat te bereiken. Deze machine moet online zijn om de dynamische DNS up-to-date te houden.
2. Port Forwarding of Redirection
De router moet nu weten waar de binnenkomende verbinding naartoe moet worden gestuurd. Dit gebeurt op basis van het poortnummer dat op de inkomende verbinding staat. Een goed gebruik is hier om de standaard SSH-poort, die 22 is, niet te gebruiken voor de openbare poort.
De reden waarom de standaardpoort niet wordt gebruikt, is omdat hackers specifieke portsniffers hebben. Deze tools controleren voortdurend op bekende poorten die mogelijk open zijn op uw netwerk. Zodra ze vinden dat uw router verbindingen op een standaardpoort accepteert, beginnen ze verbindingsverzoeken met gemeenschappelijke gebruikersnamen en wachtwoorden te verzenden.
Hoewel het kiezen van een willekeurige poort de kwaadwillende sniffers helemaal niet stopt, zal het het aantal verzoeken dat naar uw router gaat drastisch verminderen. Als uw router alleen dezelfde poort kan doorsturen, is dat geen probleem, omdat u uw bastionhost moet instellen om SSH-sleutelpaarverificatie te gebruiken en geen gebruikersnamen en wachtwoorden.
De instellingen van een router moeten er ongeveer zo uitzien:
- De servicenaam die SSH kan zijn
- Protocol (moet worden ingesteld op TCP)
- Openbare poort (zou een hoge poort moeten zijn die geen 22 is, gebruik 52739)
- Private IP (het IP van uw bastionhost)
- Particuliere poort (de standaard SSH-poort, die 22 is)
Het Bastion
Het enige dat jouw bastion nodig zal hebben is SSH. Als dit niet was geselecteerd op het moment van installatie, typ dan gewoon:
sudo apt install OpenSSH-client sudo apt install OpenSSH-server Nadat SSH is geïnstalleerd, moet je je SSH-server instellen om te verifiëren met sleutels in plaats van wachtwoorden. Hoe te authenticeren via SSH met sleutels in plaats van wachtwoorden Hoe kan ik via SSH met sleutels worden geverifieerd In plaats van wachtwoorden SSH is een geweldige manier om toegang op afstand tot je te krijgen computer. Wanneer u de poorten op uw router opent (poort 22 om precies te zijn), hebt u niet alleen toegang tot uw SSH-server vanuit ... Lees meer. Zorg ervoor dat het IP-adres van je bastionhost dezelfde is als die hierboven is ingesteld in de bovenstaande poortvooruitregel.
We kunnen een snelle test uitvoeren om te controleren of alles werkt. Om te simuleren dat u buiten uw thuisnetwerk bent, kunt u uw smart-apparaat als een hotspot gebruiken Hotspot-besturing: gebruik uw Android als een draadloze router Hotspot-besturing: gebruik uw Android als een draadloze router Het gebruik van uw Android-apparaat als een hotspot is een geweldige manier om te delen uw mobiele gegevens met uw andere apparaten zoals een laptop of tablet - en het is supereenvoudig! Meer lezen terwijl het op mobiele gegevens staat. Open een terminal en type, vervang met de gebruikersnaam van een account op uw bastionhost en met de adresconfiguratie in stap A hierboven:
ssh -p 52739 @ Als alles correct was ingesteld, zou je nu het terminalvenster van je bastionhost moeten zien.
3. Tunneling
Je kunt zo ongeveer alles ontcijferen via SSH (binnen redelijke grenzen). Als u bijvoorbeeld via internet toegang wilt krijgen tot een SMB-share in uw thuisnetwerk, maakt u verbinding met uw bastionhost en opent u een tunnel naar de SMB-share. Voltooi deze toverij eenvoudig door het volgende commando uit te voeren:
ssh -L 15445::445 -p 52739 @ Een feitelijk commando zou er ongeveer zo uitzien:
ssh - L 15445:10.1.2.250:445 -p 52739 [email protected] Het onderbreken van deze opdracht is eenvoudig. Dit maakt verbinding met het account op uw server via de externe SSH-poort 52739 van uw router. Lokaal verkeer dat wordt verzonden naar poort 15445 (een willekeurige poort) wordt door de tunnel verzonden en vervolgens doorgestuurd naar de machine met het IP van 10.1.2.250 en het SMB poort 445.
Als je echt slim wilt worden, kunnen we de hele opdracht alias maken door te typen:
alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]' Nu hoef je alleen maar in terminal in sss te typen en Bob is je oom.
Nadat de verbinding tot stand is gebracht, hebt u toegang tot uw SMB-share met het adres:
smb://localhost:15445 
Dit betekent dat u die lokale share van internet kunt doorbladeren alsof u op het lokale netwerk bent. Zoals vermeld, kun je vrijwel alles ontcijferen met SSH. Zelfs Windows-machines waarop extern is ingeschakeld, zijn toegankelijk via een SSH-tunnel. Tunnelwebverkeer met SSH Secure Shell Tunnelverkeer met SSH Secure Shell Lees Meer.
Samenvatting
Dit artikel ging veel verder dan alleen een bastionhost, en je hebt er goed aan gedaan dit tot nu toe te maken. Het hebben van een bastionhost betekent dat de andere apparaten met services die worden weergegeven, worden beschermd. Het zorgt er ook voor dat u overal ter wereld toegang hebt tot deze bronnen. Zorg ervoor dat je viert met koffie, chocolade of beide. De basisstappen die we hebben behandeld, waren:
- Stel dynamische DNS in
- Stuur een externe poort door naar een interne poort
- Maak een tunnel om toegang te krijgen tot een lokale bron
Heeft u toegang tot lokale bronnen nodig van internet? Gebruik je momenteel een VPN om dit te bereiken? Heb je eerder SSH-tunnels gebruikt?
Beeldkrediet: TopVectors / Depositphotos