Ana Sayfa Linux Ağınızı bir Bastion Host ile Sadece 3 Adımda Koruyun

Ağınızı bir Bastion Host ile Sadece 3 Adımda Koruyun

  • Michael Cain
  • 0
  • 1697
  • 379
reklâm

İç ağınızda dış dünyadan erişmeniz gereken makineler var mı? Ağınıza ağ geçidi bekçisi olarak bir bastion host kullanmak çözüm olabilir.

Bir Bastion Host Nedir??

Bastion, kelimenin tam anlamıyla takviye edilmiş bir yere tercüme ediyor. Bilgisayar açısından, ağınızdaki gelen ve giden bağlantılar için kapı bekçisi olabilecek bir makinedir..

Bastion hostunuzu internetten gelen bağlantıları kabul edecek tek makine olarak ayarlayabilirsiniz. Ardından, ağınızdaki diğer tüm makineleri, yalnızca ana bilgisayar sunucunuzdan gelen bağlantıları alacak şekilde ayarlayın. Bunun ne gibi yararları var?

Her şeyin üstünde ve üstünde, güvenlik. Bastion host, adından da anlaşılacağı gibi, çok sıkı bir güvenlik olabilir. Davetsiz misafirlere karşı ilk savunma hattı olacak ve makinelerinizin geri kalanının korunmasını sağlayacak.

Ayrıca ağınızın diğer bölümlerinin kurulumunu da biraz kolaylaştırır. Yönlendirici düzeyinde bağlantı noktaları iletmek yerine, yalnızca bir gelen bağlantı noktasını bastion sunucunuza iletmeniz yeterlidir. Oradan, özel ağınızda erişmeniz gereken diğer makinelere dalabilirsiniz. Korkma, bu bir sonraki bölümde ele alınacaktır..

Şema

Bu tipik bir ağ kurulumuna bir örnektir. Ev ağınıza dışarıdan erişmeniz gerekirse, internet üzerinden gelirsiniz. Yönlendiriciniz bu bağlantıyı ana sunucunuza iletir. Temel sunucuya bağlandıktan sonra, ağınızdaki diğer tüm makinelere erişebileceksiniz. Aynı şekilde, ana bilgisayar dışındaki makinelere doğrudan internetten erişim sağlanmayacaktır..

Yeterli erteleme, bastion kullanma zamanı.

1. Dinamik DNS

Aranızdaki zeki, ev yönlendiricinize internet üzerinden nasıl erişeceğinizi merak ediyor olabilirsiniz. İnternet servis sağlayıcılarının çoğu (ISS) size sık sık değişen geçici bir IP adresi atar. Statik bir IP adresi istiyorsanız ISS'ler ekstra ücretlendirme eğilimindedir. İyi haber şu ki, günümüz yönlendiricileri ayarlarında dinamik DNS oluşturma eğiliminde..

Dinamik DNS, ana bilgisayar adınızı yeni IP adresinizle belirli aralıklarla güncelleyerek ev ağınıza her zaman erişebilmenizi sağlar. Sözü edilen hizmeti sunan, biri ücretsiz IP'ye sahip olan No-IP olan birçok sağlayıcı var. Ücretsiz seviyenin, ana bilgisayar adınızı her 30 günde bir doğrulamanızı isteyeceğini unutmayın. Bu sadece 10 saniyelik bir süreç, yine de yapmaları gerektiğini hatırlatıyorlar..

Kaydolduktan sonra, sadece bir ana bilgisayar adı oluşturun. Ana bilgisayar adınızın benzersiz olması gerekir ve bu kadar. Bir Netgear yönlendiricisine sahipseniz, aylık onay gerektirmeyen ücretsiz bir dinamik DNS sunarlar.

Şimdi yönlendiricinize giriş yapın ve dinamik DNS ayarını arayın. Bu, yönlendiriciden yönlendiriciye farklılık gösterir, ancak gelişmiş ayarlar altında gizlenmiş bulmazsanız üreticinizin kullanım kılavuzuna bakın. Girmeniz gereken dört ayar aşağıdaki gibi olacaktır:

  1. Sağlayan
  2. Etki alanı adı (az önce oluşturduğunuz ana bilgisayar adı)
  3. Giriş adı (dinamik DNS'nizi oluşturmak için kullanılan e-posta adresi)
  4. Parola

Yönlendiricinizde dinamik bir DNS ayarı yoksa, No-IP aynı sonucu elde etmek için yerel makinenize yükleyebileceğiniz bir yazılım sunar. Dinamik DNS’i güncel tutmak için bu makinenin çevrimiçi olması gerekir.

2. Port Yönlendirme veya Yönlendirme

Yönelticinin şimdi gelen bağlantının nereye yönlendirileceğini bilmesi gerekir. Bunu, gelen bağlantıdaki port numarasına göre yapar. Burada iyi bir uygulama, kamuya açık liman için varsayılan 22 olan SSH portunu kullanmamaktır..

Varsayılan bağlantı noktasının kullanılmamasının nedeni, bilgisayar korsanlarının özel bağlantı noktası koklayıcıları olmasıdır. Bu araçlar, ağınızda açık olabilecek tanınmış bağlantı noktalarını sürekli olarak denetler. Yönlendiricinizin varsayılan bir bağlantı noktasındaki bağlantıları kabul ettiğini gördüklerinde, ortak kullanıcı adları ve şifrelerle bağlantı istekleri göndermeye başlarlar..

Rasgele bir bağlantı noktası seçmek, kötü huylu kokuları tamamen durduramazken, yönlendiricinize gelen istek sayısını büyük ölçüde azaltır. Yönlendiriciniz yalnızca aynı bağlantı noktasını yönlendirebiliyorsa, bu sorun değildir, çünkü ana bilgisayar sunucunuzu kullanıcı adlarını ve parolaları değil SSH keypair kimlik doğrulamasını kullanacak şekilde ayarlamanız gerekir..

Bir yönlendirici ayarları şuna benzemelidir:

  1. SSH olabilen servis adı
  2. Protokol (TCP olarak ayarlanmalıdır)
  3. Genel liman (22 olmayan yüksek liman olmalıdır, 52739 kullanın)
  4. Özel IP (temel sunucunuzun IP adresi)
  5. Özel port (22 olan varsayılan SSH portu)

Bastion

Asıl ihtiyacın olan tek şey SSH. Kurulum sırasında bu seçilmemişse, sadece şunu yazın:

sudo apt yüklemek OpenSSH-client sudo apt yüklemek OpenSSH-server

SSH kurulduktan sonra, SSH sunucunuzu şifreler yerine tuşlarla doğrulayacak şekilde ayarladığınızdan emin olun. Parolalar yerine tuşları ile SSH üzerinden doğrulama Nasıl Parolalar yerine tuşları ile SSH üzerinden kimlik doğrulaması SSH Parolalar yerine yerine tuşları ile SSH üzerinden doğrulama bilgisayar. Yönlendiricinizdeki bağlantı noktalarını açtığınızda (tam olarak 22 numaralı bağlantı noktası), yalnızca SSH sunucunuza… içinden erişemezsiniz. Temel sunucunuzun IP'sinin, yukarıdaki port ileri kuralında ayarlananla aynı olduğundan emin olun.

Her şeyin çalıştığından emin olmak için hızlı bir test yapabiliriz. Ev ağınızın dışında kalmayı benzetmek için, akıllı cihazınızı bir sıcak nokta olarak kullanabilirsiniz Hotspot Control: Androidinizi Kablosuz Yönlendirici Bir Nokta olarak kullanın Sıcak nokta kontrolü: Androidinizi Kablosuz Yönlendirici Olarak Kullanma Android cihazınızı bir sıcak nokta olarak kullanmak, paylaşmak için harika bir yoldur mobil verilerinizi bir dizüstü bilgisayar veya tablet gibi diğer cihazlarınızla - ve bu çok kolay! mobil veri üzerindeyken. Bastion hostunuzdaki bir hesabın kullanıcı adıyla ve yukarıdaki A adımındaki adres kurulumuyla değiştirerek bir terminal açın ve yazın:

ssh -p 52739 @

Her şey doğru ayarlandıysa, şimdi ana makinenizin terminal penceresini görmelisiniz..

3. Tünel açma

SSH ile hemen hemen her şeyi tünel edebilirsiniz (sebep dahilinde). Örneğin, ev ağınızdaki bir SMB paylaşımına internetten erişmek istiyorsanız, ana sunucunuza bağlanın ve SMB paylaşımına bir tünel açın. Bu büyüyü, sadece bu komutu çalıştırarak gerçekleştirin:

ssh -L 15445 :: 445 -p 52739 @

Gerçek bir komut şuna benzer:

ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected]

Bu komutu yıkmak kolaydır. Bu, yönlendiricinizin dış SSH bağlantı noktası 52739 üzerinden sunucunuzdaki hesaba bağlanır. 15445 numaralı bağlantı noktasına gönderilen herhangi bir yerel trafik (isteğe bağlı bir bağlantı noktası) tünel üzerinden gönderilir ve daha sonra 10.1.2.250 IP ve SMB ile makineye iletilir 445 numaralı bağlantı noktası.

Eğer gerçekten akıllı olmak istiyorsanız, şunu yazarak tüm komutu takma adlandırabiliriz:

takma ad sss = "ssh - L 15445: 10.1.2.250: 445-s 52739 [email protected]"

Şimdi tüm terminali yazmanız gerekir. sss, Bob senin amcan..

Bağlantı yapıldıktan sonra, SMB paylaşımınıza şu adresten erişebilirsiniz:

smb: // localhost: 15445

Bu, sanki yerel ağdaymış gibi internetten o yerel paylaşıma göz atabileceğiniz anlamına gelir. Belirtildiği gibi, SSH ile herhangi bir şeyin içine tünel açabilirsiniz. Uzak masaüstünün etkin olduğu Windows makinelerine bile SSH tüneli üzerinden erişilebilir. SSH Secure Shell ile Web Trafik Tünel Nasıl SSH Secure Shell ile Web Trafik Tünel Nasıl .

tekrarlamak

Bu makale bir bastion ana bilgisayarından çok daha fazlasını içeriyordu ve bu ana kadar yapmak için iyi yaptınız. Bir temel sunucuya sahip olmak, sunulan hizmetlere sahip olan diğer cihazların korunacağı anlamına gelir. Ayrıca, bu kaynaklara dünyanın her yerinden erişebilmenizi sağlar. Kahve, çikolata veya her ikisiyle de kutladığınızdan emin olun. Üstlendiğimiz temel adımlar şunlardı:

  • Dinamik DNS'yi ayarlayın
  • Harici bir bağlantı noktasını bir iç bağlantı noktasına ilet
  • Yerel bir kaynağa erişmek için bir tünel oluşturun

Yerel kaynaklara internetten erişmeniz mi gerekiyor? Bunu yapmak için şu anda bir VPN kullanıyor musunuz? Daha önce SSH tünellerini kullandın mı?

Resim Kredisi: TopVectors / Depositphotos




Henüz no comments

Otomatik Bir Ev için Arduino Projesi Fikirleri
DIY
Arduino Başlangıç ​​Kitinizde neler var? [Arduino Yeni Başlayanlar]
DIY
Bütçede Bir Makerspace? İşte İhtiyacınız Olan Ekipman
DIY
Modern teknoloji hakkında basit ve uygun fiyatlı.
Modern teknoloji dünyasında rehberiniz. Her gün bizi çevreleyen teknolojileri ve araçları nasıl kullanacağınızı ve Internet'te ilginç şeyleri nasıl keşfedeceğinizi öğrenin.