הגן על הרשת שלך עם מארח Bastion ב -3 שלבים בלבד

הגן על הרשת שלך עם מארח Bastion ב -3 שלבים בלבד

האם יש לך מכונות ברשת הפנימית שאליהן עליך לגשת מהעולם החיצון? שימוש במארח מעוז כשומר הסף לרשת שלך עשוי להיות הפתרון.





מהו מארח בסטיון?

בסטיון מתרגם מילולית למקום מבוצר. במונחי מחשב, מדובר במכונה ברשת שלך שיכולה להיות שומר הסף לחיבורים נכנסים ויוצאים.



אתה יכול להגדיר את מארח המעוז שלך כמכונה היחידה שתקבל חיבורים נכנסים מהאינטרנט. לאחר מכן, בתורו, הגדר את כל המכונות האחרות ברשת שלך, לקבל רק חיבורים נכנסים ממארח ​​המעוז שלך. אילו יתרונות יש לזה?





מעל הכל, אבטחה. מארח המעוז, כשמו כן הוא, יכול להיות בעל אבטחה הדוקה מאוד. היא תהיה קו ההגנה הראשון מפני פולשים ותוודא ששאר המכונות שלך מוגנות.

זה גם מקל על חלקים אחרים בהגדרת הרשת שלך. במקום להעביר יציאות ברמת הנתב, אתה רק צריך להעביר יציאה אחת נכנסת למארח המעוז שלך. משם תוכל להסתעף למכונות אחרות שאליהן אתה צריך גישה ברשת הפרטית שלך. אל תפחד, זה יעסוק בפרק הבא.



הדיאגרמה

זוהי דוגמה להתקנת רשת טיפוסית. אם אתה צריך גישה לרשת הביתית שלך מבחוץ, היית נכנס דרך האינטרנט. הנתב שלך יעביר את החיבור למארח המעוז שלך. לאחר החיבור למארח המעוז שלך, תוכל לגשת לכל מכונות אחרות ברשת שלך. באותה מידה, לא תהיה גישה למכונות מלבד מארח המעוזים ישירות מהאינטרנט.

מספיק סחבת, זמן להשתמש במעוז.



1. DNS דינאמי

החכמים מביניכם אולי תהו כיצד תוכל לקבל גישה לנתב הביתי שלך באמצעות האינטרנט. רוב ספקי שירותי האינטרנט (ISP) מקצים לך כתובת IP זמנית, המשתנה מדי פעם. ספקי האינטרנט נוטים לגבות תשלום נוסף אם אתה רוצה כתובת IP סטטית. החדשות הטובות הן כי נתבים מודרניים נוטים לאכוף DNS דינאמי בהגדרות שלהם.

DNS דינאמי מעדכן את שם המארח שלך עם כתובת ה- IP החדשה שלך במרווחי זמן קבועים, ומבטיח שתמיד תוכל לגשת לרשת הביתית שלך. ישנם ספקים רבים המציעים שירות זה, אחד מהם No-IP שיש לו אפילו נדבך חינם . שים לב שהדרג החינמי יחייב אותך לאשר את שם המארח שלך אחת ל -30 יום. זה רק תהליך של 10 שניות, שהם מזכירים לעשות בכל זאת.



לאחר שנרשמת, פשוט צור שם מארח. שם המארח שלך יהיה חייב להיות ייחודי, וזהו. אם אתה הבעלים של נתב Netgear, הם מציעים DNS דינמי בחינם שאינו דורש אישור חודשי.

אתרי הזרמת סרטים בחינם ללא הרשמה

כעת היכנס לנתב שלך וחפש את הגדרת ה- DNS הדינמית. זה יהיה שונה מנתב לנתב, אך אם אינך מוצא אותו אורב בהגדרות מתקדמות, עיין במדריך למשתמש של היצרן שלך. ארבע ההגדרות שאתה בדרך כלל צריך להזין הן:

  1. הספק
  2. שם דומיין (שם המארח שיצרת זה עתה)
  3. שם התחברות (כתובת הדוא'ל המשמשת ליצירת ה- DNS הדינאמי שלך)
  4. סיסמה

אם לנתב שלך אין הגדרת DNS דינאמית, No-IP מספק תוכנה שתוכל להתקין במחשב המקומי שלך כדי להשיג את אותה התוצאה. מכונה זו תצטרך להיות מקוונת על מנת לשמור על ה- DNS הדינמי מעודכן.

2. העברת נמל או הפניה מחדש

הנתב צריך כעת לדעת לאן להעביר את החיבור הנכנס. הוא עושה זאת על סמך מספר היציאה הנמצא בחיבור הנכנס. מנהג טוב כאן הוא לא להשתמש ביציאת SSH המוגדרת כברירת מחדל, שהיא 22, לנמל הפונה לציבור.

הסיבה לאי שימוש ביציאת ברירת המחדל היא מכיוון שלאקרים יש לרחרח יציאות ייעודי. כלים אלה בודקים כל הזמן אם יש יציאות ידועות שעשויות להיות פתוחות ברשת שלך. ברגע שהם מגלים שהנתב שלך מקבל חיבורים ביציאת ברירת מחדל, הם מתחילים לשלוח בקשות חיבור עם שמות משתמש וסיסמאות נפוצים.

בעוד שבחירת יציאה אקראית לא תעצור את הרחרחים הממאירים לגמרי, היא תפחית באופן דרסטי את מספר הבקשות המגיעות לנתב שלך. אם הנתב שלך יכול להעביר רק את אותה יציאה, אין זו בעיה, מכיוון שעליך להגדיר את מארח המעוז שלך להשתמש באימות מקשים SSH ולא בשמות משתמש וסיסמאות.

הגדרות הנתב אמורות להיראות כך:

  1. שם השירות שיכול להיות SSH
  2. פרוטוקול (צריך להיות מוגדר כ- TCP)
  3. יציאה ציבורית (צריכה להיות יציאה גבוהה שאינה 22, השתמש ב- 52739)
  4. כתובת IP פרטית (כתובת ה- IP של מארח המעוז שלך)
  5. יציאה פרטית (יציאת ברירת המחדל של SSH, שהיא 22)

המעוז

הדבר היחיד שהמעוז שלך יזדקק לו הוא SSH. אם זה לא נבחר בזמן ההתקנה, פשוט הקלד:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

לאחר התקנת SSH, הקפד להגדיר את שרת ה- SSH שלך לאימות באמצעות מפתחות במקום סיסמאות. וודא שכתובת ה- IP של מארח המעוז שלך זהה לזו שנקבעה בכלל העברת הנמל למעלה.

אנו יכולים לבצע בדיקה מהירה כדי לוודא שהכל עובד. כדי לדמות להיות מחוץ לרשת הביתית שלך, אתה יכול השתמש במכשיר החכם שלך כנקודה חמה בזמן שהוא על נתונים ניידים. פתח מסוף והקלד, החלף בשם המשתמש של חשבון במארח המעוז שלך ובהגדרת הכתובת בשלב א 'למעלה:

ssh -p 52739 @

אם הכל הוגדר כהלכה, כעת אתה אמור לראות את חלון הטרמינל של מארח המעוז שלך.

3. מנהרות

אתה יכול להעביר כמעט כל דבר דרך SSH (בתוך סיבה). לדוגמה, אם רצית לקבל גישה לשיתוף SMB ברשת הביתית שלך מהאינטרנט, התחבר למארח המעוז שלך ופתח מנהרה לשיתוף SMB. השג את הכישוף הזה פשוט על ידי הפעלת פקודה זו:

ssh -L 15445::445 -p 52739 @

פקודה בפועל תיראה בערך כמו:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

פירוק פקודה זו קל. זה מתחבר לחשבון בשרת שלך דרך יציאת SSH החיצונית של הנתב שלך 52739. כל תעבורה מקומית שנשלחת ליציאה 15445 (יציאה שרירותית) תישלח דרך המנהרה, ואז תועבר למכונה עם ה- IP של 10.1.2.250 ו- SMB יציאה 445.

אם אתה רוצה להתחכם באמת, אנו יכולים לכנות את כל הפקודה על ידי הקלדה:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

עכשיו כל מה שאתה צריך להקליד מסוף sss ובוב הוא דוד שלך.

לאחר החיבור, תוכל לגשת לשיתוף ה- SMB שלך עם הכתובת:

smb://localhost:15445

המשמעות היא שתוכל לגלוש בשיתוף המקומי ההוא מהאינטרנט כאילו היית ברשת המקומית. כאמור, אתה יכול כמעט להתנהל לכל דבר עם SSH. ניתן לגשת אפילו למכונות Windows עם שולחן עבודה מרוחק באמצעות מנהרת SSH.

לסכם

מאמר זה כיסה הרבה יותר מסתם מארח מעוז, והצלחת להגיע עד לכאן. בעל מארח מעוזים פירושו שאר המכשירים שיש להם שירותים חשופים יהיו מוגנים. הוא גם מבטיח שתוכל לגשת למשאבים אלה מכל מקום בעולם. הקפידו לחגוג עם קפה, שוקולד או שניהם. השלבים הבסיסיים שסיקרנו היו:

  • הגדר DNS דינאמי
  • העבר יציאה חיצונית ליציאה פנימית
  • צור מנהרה לגישה למשאב מקומי

האם עליך לגשת למשאבים מקומיים מהאינטרנט? האם אתה משתמש כרגע ב- VPN כדי להשיג זאת? האם השתמשת בעבר במנהרות SSH?

קרדיט תמונה: TopVectors/ פיקדונות

לַחֲלוֹק לַחֲלוֹק צִיוּץ אימייל 3 דרכים לבדוק אם דוא'ל אמיתי או מזויף

אם קיבלת מייל שנראה קצת מפוקפק, תמיד עדיף לבדוק את האותנטיות שלו. להלן שלוש דרכים לדעת אם הודעת דוא'ל אמיתית.

קרא הבא נושאים קשורים
  • לינוקס
  • בִּטָחוֹן
  • אבטחה מקוונת
  • לינוקס
על הסופר יוסוף לימליה(49 מאמרים פורסמו)

יוסוף רוצה לחיות בעולם מלא עסקים חדשניים, סמארטפונים המגיעים עם קפה צלוי כהה ומחשבים בעלי שדות כוח הידרופוביים הדוחים בנוסף אבק. כאנליסט עסקי ובוגר אוניברסיטת הטכנולוגיה של דרבן, בעל ניסיון של למעלה מ -10 שנים בתעשיית הטכנולוגיה הצומחת במהירות, הוא נהנה להיות איש הביניים בין אנשים טכניים לא טכניים ומסייע לכולם להתקדם עם טכנולוגיה מתקדמת.

עוד מאת יוסוף לימליה

הירשם לניוזלטר שלנו

הצטרף לניוזלטר שלנו לקבלת טיפים, סקירות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!

לחצו כאן להרשמה