Sadece 3 Adımda Bastion Ana Bilgisayarıyla Ağınızı Koruyun

İlan

İç ağınızda dış dünyadan erişmeniz gereken makineler var mı? Ağınızda ağ geçidi denetleyicisi olarak bir bastion host kullanmak çözüm olabilir.

Bastion Host nedir?

Tabya, kelimenin tam anlamıyla güçlendirilmiş bir yere çevirir. Bilgisayar terimleriyle, ağınızdaki, gelen ve giden bağlantılar için ağ geçidi olabilecek bir makinedir.

Bastion hostunuzu internetten gelen bağlantıları kabul eden tek makine olarak ayarlayabilirsiniz. Ardından, ağınızdaki diğer tüm makineleri yalnızca bastion host'unuzdan gelen bağlantıları alacak şekilde ayarlayın. Bunun ne gibi faydaları var?

Her şeyin üstünde ve üstünde, güvenlik. Bastion hostu, adından da anlaşılacağı gibi, çok sıkı bir güvenliğe sahip olabilir. Davetsiz misafirlere karşı ilk savunma hattı olacak ve makinelerinizin geri kalanının korunmasını sağlayacaktır.

Ayrıca ağ kurulumunuzun diğer bölümlerini biraz daha kolay hale getirir. Bağlantı noktalarını yönlendirici düzeyinde iletmek yerine, gelen bir bağlantı noktasını bastion hostunuza yönlendirmeniz yeterlidir. Oradan, özel ağınızda erişmeniz gereken diğer makinelere gidebilirsiniz. Korkmayın, bu bir sonraki bölümde ele alınacaktır.

Şema

Bu tipik bir ağ kurulumunun bir örneğidir. Ev ağınıza dışarıdan erişmeniz gerekiyorsa, internet üzerinden gelirsiniz. Yönlendiriciniz daha sonra bu bağlantıyı bastion hostunuza iletecektir. Bastion host'unuza bağlandıktan sonra, ağınızdaki diğer makinelere erişebileceksiniz. Aynı şekilde, doğrudan internetten kaleme sunucusu dışında makinelere erişim olmayacaktır.

Yeterli erteleme, kaleyi kullanma zamanı.

1. Dinamik DNS

Aramızdaki zeki, ev yönlendiricinize internet üzerinden nasıl erişeceğinizi merak ediyor olabilirsiniz. Çoğu internet servis sağlayıcısı (İSS) size sık sık değişen geçici bir IP adresi atar. Statik bir IP adresi istiyorsanız ISS'ler fazladan ücretlendirme eğilimindedir. İyi haber şu ki, modern yönlendiriciler kendi ayarlarına dinamik DNS koyma eğilimindedir.

Dinamik DNS, ana bilgisayar adınızı belirli aralıklarla yeni IP adresinizle güncelleyerek ev ağınıza her zaman erişebilmenizi sağlar. Bu hizmeti sunan birçok sağlayıcı var, bunlardan biri Ücretsiz katmanı bile olan IP yok. Ücretsiz katmanın, her 30 günde bir ana makine adınızı onaylamanızı gerektireceğini unutmayın. Zaten yapmayı hatırlattıkları sadece 10 saniyelik bir süreç.

Kaydolduktan sonra bir ana bilgisayar adı oluşturmanız yeterlidir. Ana bilgisayar adınızın benzersiz olması gerekir ve hepsi bu kadar. Bir Netgear yönlendiriciniz varsa, aylık onay gerektirmeyen ücretsiz bir dinamik DNS sunar.

Şimdi yönlendiricinize giriş yapın ve dinamik DNS ayarını arayın. Bu, yönlendiriciden yönlendiriciye farklılık gösterir, ancak gelişmiş ayarlar altında gizlendiğini bulamazsanız, üreticinizin kullanım kılavuzunu kontrol edin. Genellikle girmeniz gereken dört ayar şunlardır:

1. Sağlayan
2. Alan adı (az önce oluşturduğunuz ana bilgisayar adı)
3. Giriş adı (dinamik DNS'nizi oluşturmak için kullanılan e-posta adresi)
4. Parola

Yönlendiricinizde dinamik bir DNS ayarı yoksa, No-IP şunları yapabileceğiniz bir yazılım sağlar: yerel makinenize kurun aynı sonucu elde etmek için. Dinamik DNS'yi güncel tutmak için bu makinenin çevrimiçi olması gerekir.

2. Bağlantı Noktası Yönlendirme veya Yönlendirme

Yönlendiricinin artık gelen bağlantının nereye yönlendirileceğini bilmesi gerekir. Bunu, gelen bağlantıdaki bağlantı noktası numarasına göre yapar. Burada iyi bir uygulama, halka açık port için 22 olan varsayılan SSH portunu kullanmamaktır.

Varsayılan bağlantı noktasını kullanmamanın nedeni, bilgisayar korsanlarının özel bağlantı noktası algılayıcılarına sahip olmalarıdır. Bu araçlar, ağınızda açık olabilecek iyi bilinen bağlantı noktalarını sürekli olarak kontrol eder. Yönlendiricinizin varsayılan bir bağlantı noktasındaki bağlantıları kabul ettiğini bulduklarında, yaygın kullanıcı adları ve parolalarla bağlantı istekleri göndermeye başlarlar.

Rasgele bir bağlantı noktası seçmek, kötü huylu koklayıcıları tamamen durdurmazken, yönlendiricinize gelen isteklerin sayısını önemli ölçüde azaltacaktır. Yönlendiriciniz yalnızca aynı bağlantı noktasını iletebiliyorsa, bu sorun değildir, çünkü bastion barındırıcınızı kullanıcı adlarını ve şifreleri değil, SSH anahtar çifti kimlik doğrulamasını kullanacak şekilde ayarlamanız gerekir.

Bir yönlendiricinin ayarları aşağıdakine benzer olmalıdır:

1. SSH olabilen hizmet adı
2. Protokol (TCP olarak ayarlanmalıdır)
3. Genel bağlantı noktası (22 olmayan yüksek bir bağlantı noktası olmalıdır, 52739 kullanın)
4. Özel IP (burç sunucunuzun IP'si)
5. Özel bağlantı noktası (varsayılan SSH bağlantı noktası, 22'dir)

Tabya

Tablonuzun ihtiyaç duyacağı tek şey SSH. Kurulum sırasında bu seçilmemişse, şunu yazın:

sudo apt OpenSSH istemcisini kurun. sudo apt install OpenSSH sunucusu

SSH kurulduktan sonra, SSH sunucunuzu şifre yerine anahtarlarla kimlik doğrulaması SSH Üzerinden Kimlik DoğrulamaSSH, bilgisayarınıza uzaktan erişim sağlamanın harika bir yoludur. Yönlendiricinizdeki bağlantı noktalarını açtığınızda (tam olarak 22 numaralı bağlantı noktası) yalnızca SSH sunucunuza içeriden erişemezsiniz ... Daha fazla oku . Kalesi sunucunuzun IP'sinin yukarıdaki bağlantı noktası yönlendirme kuralında ayarlanan IP adresi ile aynı olduğundan emin olun.

Her şeyin çalıştığından emin olmak için hızlı bir test yapabiliriz. Ev ağınızın dışında olmayı simüle etmek için şunları yapabilirsiniz: akıllı cihazınızı etkin nokta olarak kullanma Hotspot Denetimi: Android'inizi Kablosuz Yönlendirici Olarak KullanınAndroid cihazınızı etkin nokta olarak kullanmak, mobil verilerinizi bir dizüstü bilgisayar veya tablet gibi diğer cihazlarınızla paylaşmanın harika bir yoludur ve çok kolaydır! Daha fazla oku mobil verilerdeyken. Bir terminal açın ve değiştirin bastion sunucunuzdaki bir hesabın kullanıcı adıyla ve yukarıdaki A adımında adres ayarı ile:

ssh -p 52739 @

Her şey doğru bir şekilde kurulmuşsa, şimdi bastion host'unuzun terminal penceresini görmelisiniz.

3. tünel açma

SSH üzerinden hemen hemen her şeyi tünelleyebilirsiniz (akıl içinde). Örneğin, ev ağınızdaki bir SMB paylaşımına internetten erişmek istiyorsanız, bastion hostunuza bağlanın ve SMB paylaşımına bir tünel açın. Bu büyücüyü basitçe şu komutu çalıştırarak gerçekleştirin:

ssh-L 15445:: 445 -p 52739 @

Gerçek bir komut şuna benzer:

ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected] 

Bu komutu yıkmak kolaydır. Bu, sunucunuzdaki hesaba yönlendiricinizin harici SSH bağlantı noktası 52739 üzerinden bağlanır. 15445 numaralı bağlantı noktasına (rasgele bir bağlantı noktası) gönderilen tüm yerel trafik tünelden gönderilir, daha sonra IP'ye 10.1.2.250 ve SMB bağlantı noktası 445 ile iletilir.

Gerçekten zeki olmak istiyorsanız, tüm komutu yazarak şöyle yazabiliriz:

takma ad sss = 'ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected]'

Şimdi tek yapmanız gereken terminali sssve bob amcan.

Bağlantı kurulduktan sonra, adresle KOBİ paylaşımınıza erişebilirsiniz:

smb: // localhost: 15445. 

Bu, yerel ağdaki sanki yerel paylaşıma internetten göz atabileceğiniz anlamına gelir. Belirtildiği gibi, SSH ile hemen hemen her şeye tünel oluşturabilirsiniz. Uzak masaüstünün etkin olduğu Windows makineleri bile bir SSH tüneli üzerinden erişilebilir Web Trafiğini SSH Güvenli Kabuk ile Tünel Oluşturma Daha fazla oku .

tekrarlamak

Bu makale sadece bir burç barındırıcısından çok daha fazlasını içeriyordu ve bunu bugüne kadar başarmışsınızdır. Bastion hostuna sahip olmak, hizmetleri verilen diğer cihazların korunacağı anlamına gelir. Ayrıca bu kaynaklara dünyanın herhangi bir yerinden erişmenizi sağlar. Kahve, çikolata veya her ikisiyle de kutlamayı unutmayın. Ele aldığımız temel adımlar:

• Dinamik DNS ayarlama
• Harici bağlantı noktasını dahili bağlantı noktasına iletme
• Yerel bir kaynağa erişmek için tünel oluşturma

Yerel kaynaklara internetten erişmeniz mi gerekiyor? Bunu başarmak için şu anda bir VPN kullanıyor musunuz? Daha önce SSH tünelleri kullandınız mı?

Resim Kredisi: TopVectors /Depositphotos