ปกป้องเครือข่ายของคุณด้วย Bastion Host ใน 3 ขั้นตอน

ปกป้องเครือข่ายของคุณด้วย Bastion Host ใน 3 ขั้นตอน

คุณมีเครื่องในเครือข่ายภายในที่คุณต้องการเข้าถึงจากโลกภายนอกหรือไม่? การใช้โฮสต์ป้อมปราการเป็นผู้ดูแลเครือข่ายของคุณอาจเป็นวิธีแก้ปัญหา





Bastion Host คืออะไร?

Bastion แปลตามตัวอักษรว่าเป็นสถานที่ที่ได้รับการเสริมกำลัง ในแง่คอมพิวเตอร์ มันเป็นเครื่องบนเครือข่ายของคุณที่สามารถเป็นผู้รักษาประตูสำหรับการเชื่อมต่อขาเข้าและขาออก



คุณสามารถตั้งค่าโฮสต์ป้อมปราการของคุณเป็นเครื่องเดียวที่จะยอมรับการเชื่อมต่อขาเข้าจากอินเทอร์เน็ต จากนั้น ตั้งค่าเครื่องอื่นๆ ทั้งหมดในเครือข่ายของคุณ ให้รับเฉพาะการเชื่อมต่อขาเข้าจากโฮสต์ Bastion ของคุณเท่านั้น สิ่งนี้มีประโยชน์อะไร?





เหนือสิ่งอื่นใด ความปลอดภัย โฮสต์ป้อมปราการตามชื่อสามารถมีความปลอดภัยที่เข้มงวดมาก มันจะเป็นด่านแรกในการป้องกันผู้บุกรุกและดูแลให้เครื่องจักรที่เหลือของคุณได้รับการปกป้อง

นอกจากนี้ยังทำให้ส่วนอื่นๆ ของการตั้งค่าเครือข่ายของคุณง่ายขึ้นเล็กน้อย แทนที่จะส่งต่อพอร์ตที่ระดับเราเตอร์ คุณเพียงแค่ส่งต่อพอร์ตขาเข้าหนึ่งพอร์ตไปยังโฮสต์ Bastion ของคุณ จากที่นั่น คุณสามารถแยกสาขาไปยังเครื่องอื่นๆ ที่คุณต้องการเข้าถึงบนเครือข่ายส่วนตัวของคุณได้ ไม่ต้องกลัว สิ่งนี้จะกล่าวถึงในหัวข้อถัดไป



ไดอะแกรม

นี่คือตัวอย่างการตั้งค่าเครือข่ายทั่วไป หากคุณต้องการเข้าถึงเครือข่ายภายในบ้านของคุณจากภายนอก คุณจะต้องเข้ามาทางอินเทอร์เน็ต เราเตอร์ของคุณจะส่งต่อการเชื่อมต่อนั้นไปยังโฮสต์ป้อมปราการของคุณ เมื่อเชื่อมต่อกับโฮสต์ Bastion แล้ว คุณจะสามารถเข้าถึงเครื่องอื่นๆ ในเครือข่ายของคุณได้ เช่นเดียวกัน จะไม่สามารถเข้าถึงเครื่องจักรอื่นนอกเหนือจากโฮสต์ของป้อมปราการได้โดยตรงจากอินเทอร์เน็ต

ผัดวันประกันพรุ่งพอได้เวลาใช้ปราการ



1. DNS แบบไดนามิก

ผู้เชี่ยวชาญในหมู่คุณอาจสงสัยว่าจะเข้าถึงเราเตอร์ที่บ้านของคุณผ่านทางอินเทอร์เน็ตได้อย่างไร ผู้ให้บริการอินเทอร์เน็ต (ISP) ส่วนใหญ่กำหนดที่อยู่ IP ชั่วคราวให้คุณ ซึ่งมีการเปลี่ยนแปลงบ่อยๆ ผู้ให้บริการอินเทอร์เน็ตมักจะคิดค่าใช้จ่ายเพิ่มเติมหากคุณต้องการที่อยู่ IP แบบคงที่ ข่าวดีก็คือเราเตอร์ยุคใหม่มักจะมี DNS แบบไดนามิกในการตั้งค่า

Dynamic DNS จะอัปเดตชื่อโฮสต์ของคุณด้วยที่อยู่ IP ใหม่ตามช่วงเวลาที่กำหนด เพื่อให้แน่ใจว่าคุณสามารถเข้าถึงเครือข่ายในบ้านของคุณได้เสมอ มีผู้ให้บริการหลายรายที่ให้บริการดังกล่าว ซึ่งหนึ่งในนั้นคือ No-IP ที่มีระดับฟรี . โปรดทราบว่าระดับฟรีจะทำให้คุณต้องยืนยันชื่อโฮสต์ของคุณทุกๆ 30 วัน มันเป็นเพียงกระบวนการ 10 วินาทีที่พวกเขาเตือนให้ทำต่อไป



หลังจากที่คุณสมัครใช้งานแล้ว ให้สร้างชื่อโฮสต์ ชื่อโฮสต์ของคุณจะต้องไม่ซ้ำกัน แค่นั้นเอง หากคุณเป็นเจ้าของเราเตอร์ Netgear พวกเขาเสนอ DNS แบบไดนามิกฟรีซึ่งไม่จำเป็นต้องมีการยืนยันรายเดือน

ฉันจะลดขนาดไฟล์ jpeg ได้อย่างไร

ตอนนี้ลงชื่อเข้าใช้เราเตอร์ของคุณและค้นหาการตั้งค่า DNS แบบไดนามิก สิ่งนี้จะแตกต่างจากเราเตอร์กับเราเตอร์ แต่ถ้าคุณไม่พบมันที่ซ่อนอยู่ภายใต้การตั้งค่าขั้นสูง ให้ตรวจสอบคู่มือผู้ใช้ของผู้ผลิตของคุณ โดยทั่วไปการตั้งค่าสี่อย่างที่คุณต้องป้อนคือ:

  1. ผู้ให้บริการ
  2. ชื่อโดเมน (ชื่อโฮสต์ที่คุณเพิ่งสร้าง)
  3. ชื่อเข้าสู่ระบบ (ที่อยู่อีเมลที่ใช้สร้าง DNS แบบไดนามิกของคุณ)
  4. รหัสผ่าน

หากเราเตอร์ของคุณไม่มีการตั้งค่า DNS แบบไดนามิก No-IP จะจัดเตรียมซอฟต์แวร์ให้คุณ ติดตั้งบนเครื่องของคุณ เพื่อให้บรรลุผลเช่นเดียวกัน เครื่องนี้จะต้องออนไลน์ เพื่อให้ DNS แบบไดนามิกเป็นปัจจุบันอยู่เสมอ

2. การส่งต่อพอร์ตหรือการเปลี่ยนเส้นทาง

ตอนนี้เราเตอร์จำเป็นต้องทราบตำแหน่งที่จะส่งต่อการเชื่อมต่อขาเข้า โดยอิงตามหมายเลขพอร์ตที่อยู่ในการเชื่อมต่อขาเข้า แนวปฏิบัติที่ดีคืออย่าใช้พอร์ต SSH เริ่มต้น ซึ่งก็คือ 22 สำหรับพอร์ตสาธารณะ

เหตุผลที่ไม่ใช้พอร์ตเริ่มต้นเป็นเพราะแฮ็กเกอร์มีตัวดมกลิ่นพอร์ตโดยเฉพาะ เครื่องมือเหล่านี้ตรวจสอบพอร์ตที่รู้จักกันดีที่อาจเปิดอยู่บนเครือข่ายของคุณอย่างต่อเนื่อง เมื่อพบว่าเราเตอร์ของคุณยอมรับการเชื่อมต่อบนพอร์ตเริ่มต้น พวกเขาจะเริ่มส่งคำขอเชื่อมต่อด้วยชื่อผู้ใช้และรหัสผ่านทั่วไป

แม้ว่าการเลือกพอร์ตแบบสุ่มจะไม่หยุดการดมกลิ่นที่ร้ายกาจโดยสิ้นเชิง แต่จะลดจำนวนคำขอที่ส่งถึงเราเตอร์ของคุณลงอย่างมาก หากเราเตอร์ของคุณสามารถส่งต่อพอร์ตเดียวกันได้เท่านั้น ก็ไม่เป็นปัญหา เพราะคุณควรตั้งค่าโฮสต์ bastion ของคุณให้ใช้การรับรองความถูกต้องของคู่คีย์ SSH ไม่ใช่ชื่อผู้ใช้และรหัสผ่าน

การตั้งค่าของเราเตอร์ควรมีลักษณะดังนี้:

  1. ชื่อบริการที่สามารถเป็น SSH
  2. โปรโตคอล (ควรตั้งค่าเป็น TCP)
  3. ท่าเรือสาธารณะ (ควรเป็นพอร์ตสูงที่ไม่ใช่ 22 ให้ใช้ 52739)
  4. IP ส่วนตัว (IP ของโฮสต์ป้อมปราการของคุณ)
  5. พอร์ตส่วนตัว (พอร์ต SSH เริ่มต้นคือ 22)

ป้อมปราการ

สิ่งเดียวที่ป้อมปราการของคุณต้องการคือ SSH หากไม่ได้เลือกไว้ในขณะที่ทำการติดตั้ง ให้พิมพ์:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

เมื่อติดตั้ง SSH แล้ว อย่าลืมตั้งค่าเซิร์ฟเวอร์ SSH ให้ตรวจสอบสิทธิ์ด้วยคีย์แทนรหัสผ่าน ตรวจสอบให้แน่ใจว่า IP ของโฮสต์ Bastion ของคุณเหมือนกับ IP ที่กำหนดไว้ในกฎการส่งต่อพอร์ตด้านบน

เราสามารถเรียกใช้การทดสอบอย่างรวดเร็วเพื่อให้แน่ใจว่าทุกอย่างใช้งานได้ เพื่อจำลองการอยู่นอกเครือข่ายในบ้านของคุณ คุณสามารถ ใช้อุปกรณ์สมาร์ทของคุณเป็นฮอตสปอต ในขณะที่ใช้ข้อมูลมือถือ เปิดเทอร์มินัลแล้วพิมพ์ แทนที่ด้วยชื่อผู้ใช้ของบัญชีบนโฮสต์ Bastion ของคุณและตั้งค่าที่อยู่ในขั้นตอน A ด้านบน:

ssh -p 52739 @

หากทุกอย่างได้รับการตั้งค่าอย่างถูกต้อง ตอนนี้คุณควรเห็นหน้าต่างเทอร์มินัลของโฮสต์ Bastion ของคุณ

3. อุโมงค์

คุณสามารถเจาะข้อมูลอะไรก็ได้ผ่าน SSH (ภายในเหตุผล) ตัวอย่างเช่น หากคุณต้องการเข้าถึงการแชร์ SMB บนเครือข่ายในบ้านของคุณจากอินเทอร์เน็ต ให้เชื่อมต่อกับโฮสต์ Bastion ของคุณและเปิดช่องสัญญาณเพื่อแชร์ SMB สำเร็จคาถานี้เพียงแค่รันคำสั่งนี้:

ssh -L 15445::445 -p 52739 @

คำสั่งจริงจะมีลักษณะดังนี้:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

การแยกคำสั่งนี้เป็นเรื่องง่าย การดำเนินการนี้จะเชื่อมต่อกับบัญชีบนเซิร์ฟเวอร์ของคุณผ่านพอร์ต SSH ภายนอกของเราเตอร์ 52739 การรับส่งข้อมูลภายในเครื่องใดๆ ที่ส่งไปยังพอร์ต 15445 (พอร์ตที่กำหนดเอง) จะถูกส่งผ่านอุโมงค์ข้อมูล จากนั้นส่งต่อไปยังเครื่องด้วย IP 10.1.2.250 และ SMB พอร์ต 445

หากคุณต้องการฉลาดจริงๆ เราสามารถตั้งชื่อแทนคำสั่งทั้งหมดได้โดยพิมพ์:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

ตอนนี้สิ่งที่คุณต้องพิมพ์ในเทอร์มินัลใน sss และบ๊อบก็เป็นลุงของคุณ

เมื่อทำการเชื่อมต่อแล้ว คุณสามารถเข้าถึงการแชร์ SMB ของคุณด้วยที่อยู่:

smb://localhost:15445

ซึ่งหมายความว่าคุณจะสามารถเรียกดูการแชร์ในเครื่องจากอินเทอร์เน็ตได้เหมือนกับว่าคุณอยู่ในเครือข่ายท้องถิ่น ดังที่กล่าวไว้ คุณสามารถเจาะข้อมูลทุกอย่างด้วย SSH ได้ แม้แต่เครื่อง Windows ที่เปิดใช้งานเดสก์ท็อประยะไกลก็สามารถเข้าถึงได้ผ่านช่องสัญญาณ SSH

สรุป

บทความนี้ครอบคลุมมากกว่าแค่โฮสต์ในป้อมปราการ และคุณทำได้ดีมากในการมาไกลถึงขนาดนี้ การมีโฮสต์ป้อมปราการจะหมายความว่าอุปกรณ์อื่นๆ ที่มีบริการที่ถูกเปิดเผยจะได้รับการคุ้มครอง นอกจากนี้ยังช่วยให้แน่ใจว่าคุณสามารถเข้าถึงแหล่งข้อมูลเหล่านี้ได้จากทุกที่ในโลก อย่าลืมฉลองด้วยกาแฟ ช็อคโกแลต หรือทั้งสองอย่าง ขั้นตอนพื้นฐานที่เรากล่าวถึงคือ:

  • ตั้งค่า DNS แบบไดนามิก
  • ส่งต่อพอร์ตภายนอกไปยังพอร์ตภายใน
  • สร้างช่องสัญญาณเพื่อเข้าถึงทรัพยากรในพื้นที่

คุณต้องการเข้าถึงแหล่งข้อมูลในท้องถิ่นจากอินเทอร์เน็ตหรือไม่? คุณใช้ VPN เพื่อทำสิ่งนี้หรือไม่? คุณเคยใช้อุโมงค์ SSH มาก่อนหรือไม่?

เครดิตภาพ: TopVectors/ ฝากรูปถ่าย

แบ่งปัน แบ่งปัน ทวีต อีเมล 3 วิธีในการตรวจสอบว่าอีเมลจริงหรือปลอม

หากคุณได้รับอีเมลที่ดูน่าสงสัย คุณควรตรวจสอบความถูกต้องเสมอ ต่อไปนี้คือ 3 วิธีในการบอกได้ว่าอีเมลนั้นเป็นของจริงหรือไม่

อ่านต่อไป หัวข้อที่เกี่ยวข้อง
  • ลินุกซ์
  • ความปลอดภัย
  • ความปลอดภัยออนไลน์
  • ลินุกซ์
เกี่ยวกับผู้เขียน ยูซุฟ ลิมาเลีย(เผยแพร่บทความ 49 ฉบับ)

Yusuf ต้องการอยู่ในโลกที่เต็มไปด้วยธุรกิจนวัตกรรม สมาร์ทโฟนที่มาพร้อมกับกาแฟคั่วเข้ม และคอมพิวเตอร์ที่มีสนามพลังน้ำที่ขับไล่ฝุ่นเพิ่มเติม ในฐานะนักวิเคราะห์ธุรกิจและจบการศึกษาจากมหาวิทยาลัยเทคโนโลยีเดอร์บัน ด้วยประสบการณ์มากกว่า 10 ปีในอุตสาหกรรมเทคโนโลยีที่เติบโตอย่างรวดเร็ว เขาสนุกกับการเป็นคนกลางระหว่างคนสายเทคนิคและคนที่ไม่ใช่ด้านเทคนิค และช่วยให้ทุกคนก้าวทันเทคโนโลยีที่ล้ำหน้า

เพิ่มเติมจาก Yusuf Limalia

สมัครรับจดหมายข่าวของเรา

เข้าร่วมจดหมายข่าวของเราสำหรับเคล็ดลับทางเทคนิค บทวิจารณ์ eBook ฟรี และดีลพิเศษ!

คลิกที่นี่เพื่อสมัครสมาชิก