Schützen Sie Ihr Netzwerk mit einem Bastion Host in nur 3 Schritten

Schützen Sie Ihr Netzwerk mit einem Bastion Host in nur 3 Schritten

Haben Sie Maschinen in Ihrem internen Netzwerk, auf die Sie von der Außenwelt zugreifen müssen? Die Verwendung eines Bastion-Hosts als Gatekeeper zu Ihrem Netzwerk kann die Lösung sein.





Was ist ein Bastionshost?

Bastion bedeutet wörtlich übersetzt einen Ort, der befestigt ist. Computertechnisch gesehen handelt es sich um eine Maschine in Ihrem Netzwerk, die als Gatekeeper für ein- und ausgehende Verbindungen dienen kann.



Sie können Ihren Bastion Host als einzigen Computer einrichten, der eingehende Verbindungen aus dem Internet akzeptiert. Stellen Sie dann wiederum alle anderen Maschinen in Ihrem Netzwerk so ein, dass nur eingehende Verbindungen von Ihrem Bastion-Host empfangen werden. Welche Vorteile hat das?





Vor allem Sicherheit. Der Bastionshost kann, wie der Name schon sagt, sehr strenge Sicherheitsvorkehrungen haben. Es ist die erste Verteidigungslinie gegen Eindringlinge und stellt sicher, dass der Rest Ihrer Maschinen geschützt ist.

Es macht auch andere Teile Ihrer Netzwerkeinrichtung etwas einfacher. Anstatt Ports auf Routerebene weiterzuleiten, müssen Sie nur einen eingehenden Port an Ihren Bastion-Host weiterleiten. Von dort aus können Sie zu anderen Computern verzweigen, auf die Sie in Ihrem privaten Netzwerk zugreifen müssen. Keine Angst, dies wird im nächsten Abschnitt behandelt.



Das Diagramm

Dies ist ein Beispiel für eine typische Netzwerkkonfiguration. Wenn Sie von außen Zugriff auf Ihr Heimnetzwerk benötigen, kommen Sie über das Internet. Ihr Router leitet diese Verbindung dann an Ihren Bastion-Host weiter. Sobald Sie mit Ihrem Bastion Host verbunden sind, können Sie auf alle anderen Maschinen in Ihrem Netzwerk zugreifen. Ebenso wird es keinen Zugriff auf andere Maschinen als den Bastion-Host direkt aus dem Internet geben.

Genug Aufschub, Zeit, Bastion zu benutzen.



1. Dynamisches DNS

Die Klugen unter Ihnen haben sich vielleicht gefragt, wie Sie über das Internet auf Ihren Heimrouter zugreifen können. Die meisten Internet Service Provider (ISP) weisen Ihnen eine temporäre IP-Adresse zu, die sich von Zeit zu Zeit ändert. ISPs berechnen in der Regel zusätzliche Gebühren, wenn Sie eine statische IP-Adresse wünschen. Die gute Nachricht ist, dass moderne Router dazu neigen, dynamisches DNS in ihre Einstellungen zu integrieren.

Dynamisches DNS aktualisiert Ihren Hostnamen in festgelegten Intervallen mit Ihrer neuen IP-Adresse, um sicherzustellen, dass Sie immer auf Ihr Heimnetzwerk zugreifen können. Es gibt viele Anbieter, die diesen Service anbieten, einer davon ist No-IP, das sogar eine kostenlose Stufe hat . Beachten Sie, dass Sie für die kostenlose Stufe alle 30 Tage Ihren Hostnamen bestätigen müssen. Es ist nur ein 10-Sekunden-Prozess, an den sie sowieso erinnern.



Nachdem Sie sich angemeldet haben, erstellen Sie einfach einen Hostnamen. Ihr Hostname muss eindeutig sein, und das war's. Wenn Sie einen Netgear-Router besitzen, bieten diese ein kostenloses dynamisches DNS an, für das keine monatliche Bestätigung erforderlich ist.

So schließen Sie ein Hotmail-Konto

Melden Sie sich nun bei Ihrem Router an und suchen Sie nach der dynamischen DNS-Einstellung. Dies ist von Router zu Router unterschiedlich, aber wenn Sie nicht feststellen, dass es unter den erweiterten Einstellungen lauert, überprüfen Sie die Bedienungsanleitung Ihres Herstellers. Die vier Einstellungen, die Sie normalerweise eingeben müssen, sind:

  1. Der Provider
  2. Domainname (der gerade erstellte Hostname)
  3. Anmeldename (die E-Mail-Adresse, die zum Erstellen Ihres dynamischen DNS verwendet wird)
  4. Passwort

Wenn Ihr Router keine dynamische DNS-Einstellung hat, bietet No-IP Software, die Sie auf Ihrem lokalen Computer installieren um das gleiche Ergebnis zu erzielen. Dieser Computer muss online sein, um das dynamische DNS auf dem neuesten Stand zu halten.

2. Portweiterleitung oder -umleitung

Der Router muss nun wissen, wohin er die eingehende Verbindung weiterleiten soll. Dies geschieht basierend auf der Portnummer der eingehenden Verbindung. Hier empfiehlt es sich, nicht den standardmäßigen SSH-Port 22 für den öffentlich zugänglichen Port zu verwenden.

Der Grund für die Nichtverwendung des Standardports liegt darin, dass Hacker dedizierte Port-Sniffer haben. Diese Tools suchen ständig nach bekannten Ports, die in Ihrem Netzwerk möglicherweise geöffnet sind. Sobald sie feststellen, dass Ihr Router Verbindungen auf einem Standardport akzeptiert, beginnen sie, Verbindungsanfragen mit gemeinsamen Benutzernamen und Passwörtern zu senden.

Die Wahl eines zufälligen Ports wird zwar die bösartigen Schnüffler nicht vollständig stoppen, aber die Anzahl der Anfragen, die an Ihren Router gehen, drastisch reduzieren. Wenn Ihr Router nur denselben Port weiterleiten kann, ist das kein Problem, da Sie Ihren Bastion-Host so einstellen sollten, dass er SSH-Schlüsselpaar-Authentifizierung und keine Benutzernamen und Passwörter verwendet.

Die Einstellungen eines Routers sollten ungefähr so ​​aussehen:

  1. Der Dienstname, der SSH . sein kann
  2. Protokoll (sollte auf TCP eingestellt werden)
  3. Öffentlicher Port (sollte ein hoher Port sein, der nicht 22 ist, verwenden Sie 52739)
  4. Private IP (die IP Ihres Bastion-Hosts)
  5. Privater Port (der Standard-SSH-Port, der 22 ist)

Die Bastion

Das einzige, was Ihre Bastion braucht, ist SSH. Wenn dies bei der Installation nicht ausgewählt wurde, geben Sie einfach Folgendes ein:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

Stellen Sie nach der Installation von SSH sicher, dass Ihr SSH-Server so eingestellt ist, dass er sich mit Schlüsseln anstelle von Passwörtern authentifiziert . Stellen Sie sicher, dass die IP Ihres Bastion-Hosts mit der IP-Adresse übereinstimmt, die in der obigen Portweiterleitungsregel festgelegt wurde.

Wir können einen Schnelltest durchführen, um sicherzustellen, dass alles funktioniert. Um zu simulieren, dass Sie sich außerhalb Ihres Heimnetzwerks befinden, können Sie Verwenden Sie Ihr Smart-Gerät als Hotspot während es auf mobilen Daten ist. Öffnen Sie ein Terminal und geben Sie ein, ersetzen Sie es durch den Benutzernamen eines Kontos auf Ihrem Bastion-Host und durch die Adresseinrichtung in Schritt A oben:

ssh -p 52739 @

Wenn alles richtig eingerichtet wurde, sollten Sie jetzt das Terminalfenster Ihres Bastion Hosts sehen.

3. Tunnelbau

Sie können so ziemlich alles über SSH tunneln (innerhalb eines vernünftigen Rahmens). Wenn Sie beispielsweise über das Internet auf eine SMB-Freigabe in Ihrem Heimnetzwerk zugreifen möchten, stellen Sie eine Verbindung zu Ihrem Bastion-Host her und öffnen Sie einen Tunnel zur SMB-Freigabe. Führen Sie diese Zauberei einfach durch, indem Sie diesen Befehl ausführen:

ssh -L 15445::445 -p 52739 @

Ein tatsächlicher Befehl würde ungefähr so ​​aussehen:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Das Aufschlüsseln dieses Befehls ist einfach. Dadurch wird eine Verbindung mit dem Konto auf Ihrem Server über den externen SSH-Port 52739 Ihres Routers hergestellt. Jeglicher lokaler Datenverkehr, der an Port 15445 (ein beliebiger Port) gesendet wird, wird durch den Tunnel gesendet und dann an den Computer mit der IP von 10.1.2.250 und dem SMB . weitergeleitet Port 445.

Wenn Sie wirklich clever werden möchten, können wir den gesamten Befehl mit einem Aliasnamen versehen, indem Sie Folgendes eingeben:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Jetzt müssen Sie nur noch das Terminal eintippen sss , und Bob ist dein Onkel.

Sobald die Verbindung hergestellt ist, können Sie mit der Adresse auf Ihre SMB-Freigabe zugreifen:

smb://localhost:15445

Dies bedeutet, dass Sie diese lokale Freigabe im Internet durchsuchen können, als ob Sie sich im lokalen Netzwerk befinden würden. Wie bereits erwähnt, können Sie mit SSH so ziemlich alles erreichen. Über einen SSH-Tunnel kann sogar auf Windows-Rechner mit aktiviertem Remote-Desktop zugegriffen werden.

Rekapitulieren

Dieser Artikel behandelte viel mehr als nur eine Bastion, und Sie haben es gut gemacht, bis hierher zu kommen. Ein Bastion-Host bedeutet, dass die anderen Geräte, die über Dienste verfügen, die exponiert sind, geschützt sind. Es stellt auch sicher, dass Sie von überall auf der Welt auf diese Ressourcen zugreifen können. Feiern Sie unbedingt mit Kaffee, Schokolade oder beidem. Die grundlegenden Schritte, die wir behandelt haben, waren:

  • Dynamisches DNS einrichten
  • Einen externen Port an einen internen Port weiterleiten
  • Erstellen Sie einen Tunnel, um auf eine lokale Ressource zuzugreifen

Müssen Sie über das Internet auf lokale Ressourcen zugreifen? Verwenden Sie derzeit ein VPN, um dies zu erreichen? Haben Sie schon einmal SSH-Tunnel verwendet?

Bildquelle: TopVectors/ Depositphotos

Teilen Teilen Tweet Email 3 Möglichkeiten, um zu überprüfen, ob eine E-Mail echt oder gefälscht ist

Wenn Sie eine E-Mail erhalten haben, die etwas zweifelhaft aussieht, ist es immer am besten, die Echtheit zu überprüfen. Hier sind drei Möglichkeiten, um festzustellen, ob eine E-Mail echt ist.

Weiter lesen Verwandte Themen
  • Linux
  • Sicherheit
  • Online-Sicherheit
  • Linux
Über den Autor Yusuf Limalia(49 Artikel veröffentlicht)

Yusuf möchte in einer Welt voller innovativer Unternehmen leben, Smartphones, die mit dunklem Röstkaffee gebündelt werden, und Computern mit hydrophoben Kraftfeldern, die zusätzlich Staub abstoßen. Als Business Analyst und Absolvent der Durban University of Technology mit über 10 Jahren Erfahrung in einer schnell wachsenden Technologiebranche genießt er es, der Mittelsmann zwischen technischen und nicht-technischen Leuten zu sein und jedem dabei zu helfen, sich mit modernster Technologie vertraut zu machen.

Mehr von Yusuf Limalia

Abonniere unseren Newsletter

Abonnieren Sie unseren Newsletter für technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote!

Klicken Sie hier, um zu abonnieren