Bescherm uw netwerk met een Bastion Host in slechts 3 stappen

Bescherm uw netwerk met een Bastion Host in slechts 3 stappen

Heb je machines op je interne netwerk die je van buitenaf moet benaderen? Het gebruik van een bastionhost als poortwachter van uw netwerk kan de oplossing zijn.





Wat is een Bastion-host?

Bastion vertaalt zich letterlijk in een plaats die versterkt is. In computertermen is het een machine op uw netwerk die de poortwachter kan zijn voor inkomende en uitgaande verbindingen.



U kunt uw bastionhost instellen als de enige machine die inkomende verbindingen van internet accepteert. Stel vervolgens op uw beurt alle andere machines in uw netwerk in om alleen inkomende verbindingen van uw bastionhost te ontvangen. Welke voordelen heeft dit?





Boven alles, veiligheid. De bastionhost, zoals de naam al aangeeft, kan zeer streng worden beveiligd. Het is de eerste verdedigingslinie tegen indringers en zorgt ervoor dat de rest van uw machines wordt beschermd.

Het maakt ook andere delen van uw netwerkconfiguratie iets eenvoudiger. In plaats van poorten op routerniveau door te sturen, hoeft u slechts één inkomende poort door te sturen naar uw bastionhost. Van daaruit kunt u vertakken naar andere machines waartoe u toegang nodig hebt op uw privénetwerk. Vrees niet, dit komt in de volgende sectie aan de orde.



Het diagram

Dit is een voorbeeld van een typische netwerkconfiguratie. Als u van buitenaf toegang tot uw thuisnetwerk nodig heeft, komt u binnen via internet. Uw router stuurt die verbinding vervolgens door naar uw bastionhost. Eenmaal verbonden met uw bastion-host, hebt u toegang tot alle andere machines in uw netwerk. Evenmin is er rechtstreeks vanaf internet toegang tot andere machines dan de bastionhost.

Genoeg uitstel, tijd om bastion te gebruiken.



1. Dynamische DNS

De scherpzinnige onder jullie hebben zich misschien afgevraagd hoe je via internet toegang zou krijgen tot je thuisrouter. De meeste internetproviders (ISP) wijzen u een tijdelijk IP-adres toe, dat om de zoveel tijd verandert. ISP's hebben de neiging om extra kosten in rekening te brengen als u een statisch IP-adres wilt. Het goede nieuws is dat moderne routers vaak dynamische DNS in hun instellingen hebben ingebakken.

Dynamic DNS werkt uw hostnaam met vaste tussenpozen bij met uw nieuwe IP-adres, zodat u altijd toegang heeft tot uw thuisnetwerk. Er zijn veel providers die deze service aanbieden, waaronder: No-IP die zelfs een gratis laag heeft . Houd er rekening mee dat de gratis laag vereist dat u uw hostnaam eens in de 30 dagen bevestigt. Het is slechts een proces van 10 seconden, waar ze hoe dan ook aan herinneren.



Nadat u zich heeft aangemeld, maakt u eenvoudig een hostnaam aan. Uw hostnaam moet uniek zijn, en dat is alles. Als u een Netgear-router bezit, bieden ze een gratis dynamische DNS aan waarvoor geen maandelijkse bevestiging vereist is.

bestand overzetten van windows naar linux

Log nu in op uw router en zoek naar de dynamische DNS-instelling. Dit verschilt van router tot router, maar als je het niet op de loer vindt onder geavanceerde instellingen, raadpleeg dan de gebruikershandleiding van je fabrikant. De vier instellingen die u normaal gesproken moet invoeren, zijn:

  1. De provider
  2. Domeinnaam (de hostnaam die u zojuist heeft aangemaakt)
  3. Inlognaam (het e-mailadres dat is gebruikt om uw dynamische DNS aan te maken)
  4. Wachtwoord

Als uw router geen dynamische DNS-instelling heeft, biedt No-IP software waarmee u: installeren op uw lokale computer hetzelfde resultaat te bereiken. Deze machine zal online moeten zijn om de dynamische DNS up-to-date te houden.

2. Poort doorsturen of omleiden

De router moet nu weten waar de inkomende verbinding moet worden doorgestuurd. Dit doet het op basis van het poortnummer dat op de inkomende verbinding staat. Een goede gewoonte hier is om de standaard SSH-poort, die 22 is, niet te gebruiken voor de openbare poort.

De reden om de standaardpoort niet te gebruiken, is omdat hackers speciale poortsniffers hebben. Deze tools controleren constant op bekende poorten die mogelijk open zijn op uw netwerk. Zodra ze ontdekken dat uw router verbindingen op een standaardpoort accepteert, beginnen ze verbindingsverzoeken te verzenden met algemene gebruikersnamen en wachtwoorden.

Hoewel het kiezen van een willekeurige poort de kwaadaardige sniffers niet helemaal zal stoppen, zal het het aantal verzoeken dat naar uw router komt drastisch verminderen. Als uw router alleen dezelfde poort kan doorsturen, is dat geen probleem, aangezien u uw bastionhost moet instellen om SSH-sleutelpaarverificatie te gebruiken en geen gebruikersnamen en wachtwoorden.

De instellingen van een router zouden er ongeveer zo uit moeten zien:

  1. De servicenaam die SSH . kan zijn
  2. Protocol (moet worden ingesteld op TCP)
  3. Openbare poort (moet een hoge poort zijn die geen 22 is, gebruik 52739)
  4. Private IP (het IP van uw bastionhost)
  5. Privépoort (de standaard SSH-poort, dat is 22)

het bastion

Het enige dat je bastion nodig heeft, is SSH. Als dit niet was geselecteerd op het moment van installatie, typt u gewoon:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

Nadat SSH is geïnstalleerd, moet u ervoor zorgen dat uw SSH-server wordt geverifieerd met sleutels in plaats van wachtwoorden. Zorg ervoor dat het IP-adres van uw bastion-host hetzelfde is als het IP-adres dat is ingesteld in de regel voor doorsturen van poorten hierboven.

We kunnen een snelle test uitvoeren om te controleren of alles werkt. Om te simuleren dat u zich buiten uw thuisnetwerk bevindt, kunt u: gebruik je smartapparaat als hotspot terwijl het op mobiele data staat. Open een terminal en typ, vervang door de gebruikersnaam van een account op uw bastionhost en met de adresinstelling in stap A hierboven:

ssh -p 52739 @

Als alles correct was ingesteld, zou je nu het terminalvenster van je bastionhost moeten zien.

3. Tunnelen

Je kunt zo ongeveer alles via SSH tunnelen (binnen redelijke grenzen). Als u bijvoorbeeld vanaf internet toegang wilt krijgen tot een SMB-share op uw thuisnetwerk, maakt u verbinding met uw bastionhost en opent u een tunnel naar de SMB-share. Voltooi deze tovenarij eenvoudig door deze opdracht uit te voeren:

ssh -L 15445::445 -p 52739 @

Een daadwerkelijke opdracht zou er ongeveer zo uitzien:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Het opsplitsen van deze opdracht is eenvoudig. Dit maakt verbinding met het account op uw server via de externe SSH-poort 52739 van uw router. Al het lokale verkeer dat naar poort 15445 (een willekeurige poort) wordt verzonden, wordt door de tunnel verzonden en vervolgens doorgestuurd naar de machine met het IP-adres van 10.1.2.250 en de SMB poort 445.

Als je echt slim wilt worden, kunnen we de hele opdracht een alias geven door te typen:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Nu hoef je alleen maar terminal in te typen sss , en Bob is je oom.

Zodra de verbinding tot stand is gebracht, hebt u toegang tot uw SMB-share met het adres:

smb://localhost:15445

Dit betekent dat u door die lokale share vanaf internet kunt bladeren alsof u zich op het lokale netwerk bevindt. Zoals gezegd kun je met SSH vrijwel alles tunnelen. Zelfs Windows-machines waarop extern bureaublad is ingeschakeld, zijn toegankelijk via een SSH-tunnel.

samenvatten

Dit artikel behandelde veel meer dan alleen een bastionhost, en je hebt er goed aan gedaan om zo ver te komen. Het hebben van een bastionhost betekent dat de andere apparaten met services die worden blootgesteld, worden beschermd. Het zorgt er ook voor dat u overal ter wereld toegang hebt tot deze bronnen. Zorg ervoor dat je het viert met koffie, chocolade of beide. De basisstappen die we hebben behandeld waren:

  • Dynamische DNS instellen
  • Een externe poort doorsturen naar een interne poort
  • Maak een tunnel om toegang te krijgen tot een lokale bron

Heeft u toegang nodig tot lokale bronnen vanaf internet? Gebruik je momenteel een VPN om dit te bereiken? Heb je al eerder SSH-tunnels gebruikt?

Afbeelding tegoed: TopVectors/ Depositphotos

Deel Deel Tweeten E-mail 3 manieren om te controleren of een e-mail echt of nep is

Als je een e-mail hebt ontvangen die er een beetje dubieus uitziet, is het altijd het beste om de authenticiteit ervan te controleren. Hier zijn drie manieren om te zien of een e-mail echt is.

Lees volgende Gerelateerde onderwerpen
  • Linux
  • Veiligheid
  • Online beveiliging
  • Linux
Over de auteur Yusuf Limalia(49 artikelen gepubliceerd)

Yusuf wil leven in een wereld vol innovatieve bedrijven, smartphones die worden geleverd met donkere koffie en computers met hydrofobe krachtvelden die bovendien stof afstoten. Als bedrijfsanalist en afgestudeerd aan de Durban University of Technology, met meer dan 10 jaar ervaring in een snelgroeiende technologische industrie, geniet hij ervan de tussenpersoon te zijn tussen technische en niet-technische mensen en iedereen te helpen op de hoogte te blijven van de nieuwste technologie.

Meer van Yusuf Limalia

Abonneer op onze nieuwsbrief

Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!

Klik hier om je te abonneren