Sadece 3 Adımda Bir Bastion Host ile Ağınızı Koruyun

Sadece 3 Adımda Bir Bastion Host ile Ağınızı Koruyun

İç ağınızda dış dünyadan erişmeniz gereken makineleriniz var mı? Ağınızın bekçisi olarak bir kale ana bilgisayarı kullanmak çözüm olabilir.





Bastion Host Nedir?

Bastion, kelimenin tam anlamıyla tahkim edilmiş bir yere dönüşür. Bilgisayar terimleriyle, ağınızda gelen ve giden bağlantılar için ağ geçidi bekçisi olabilen bir makinedir.



Bastion sunucunuzu internetten gelen bağlantıları kabul eden tek makine olarak ayarlayabilirsiniz. Ardından, ağınızdaki diğer tüm makineleri, yalnızca kale sunucunuzdan gelen bağlantıları alacak şekilde ayarlayın. Bunun ne gibi faydaları var?





Her şeyin ötesinde, güvenlik. Bastion host, adından da anlaşılacağı gibi, çok sıkı bir güvenliğe sahip olabilir. Davetsiz misafirlere karşı ilk savunma hattı olacak ve makinelerinizin geri kalanının korunmasını sağlayacak.

Ayrıca ağ kurulumunuzun diğer kısımlarını biraz daha kolaylaştırır. Bağlantı noktalarını yönlendirici düzeyinde iletmek yerine, gelen bir bağlantı noktasını kale ana makinenize iletmeniz yeterlidir. Buradan, özel ağınızda erişmeniz gereken diğer makinelere dalabilirsiniz. Korkmayın, bu bir sonraki bölümde ele alınacaktır.



Şema

Bu, tipik bir ağ kurulumunun bir örneğidir. Ev ağınıza dışarıdan erişmeniz gerekiyorsa, internet üzerinden gelirsiniz. Yönlendiriciniz daha sonra bu bağlantıyı kale sunucunuza iletecektir. Bastion sunucunuza bağlandıktan sonra, ağınızdaki diğer makinelere erişebileceksiniz. Aynı şekilde, kale ana bilgisayarı dışındaki makinelere doğrudan internetten erişim olmayacak.

Yeterince erteleme, kaleyi kullanma zamanı.



1. Dinamik DNS

Aranızdaki zeka, internet üzerinden ev yönlendiricinize nasıl erişeceğinizi merak ediyor olabilir. Çoğu internet servis sağlayıcısı (ISS) size sık sık değişen geçici bir IP adresi atar. Statik bir IP adresi istiyorsanız, ISS'ler ekstra ücret alma eğilimindedir. İyi haber şu ki, günümüz yönlendiricileri, ayarlarına dinamik DNS ekleme eğilimindedir.

Dinamik DNS, ana bilgisayar adınızı belirli aralıklarla yeni IP adresinizle güncelleyerek ev ağınıza her zaman erişebilmenizi sağlar. Söz konusu hizmeti sunan birçok sağlayıcı var, bunlardan biri Ücretsiz bir katmanı bile olan No-IP . Ücretsiz katmanın, her 30 günde bir ana bilgisayar adınızı onaylamanızı gerektireceğini unutmayın. Yine de yapmayı hatırlattıkları sadece 10 saniyelik bir süreç.



Kaydolduktan sonra bir ana bilgisayar adı oluşturmanız yeterlidir. Ana bilgisayar adınızın benzersiz olması gerekecek, hepsi bu. Bir Netgear yönlendiriciniz varsa, aylık onay gerektirmeyen ücretsiz bir dinamik DNS sunarlar.

iphone ekranımı ucuza nereden sabitleyebilirim

Şimdi yönlendiricinize giriş yapın ve dinamik DNS ayarını arayın. Bu, yönlendiriciden yönlendiriciye farklılık gösterecektir, ancak gelişmiş ayarlar altında gizlendiğini görmüyorsanız, üreticinizin kullanım kılavuzuna bakın. Normalde girmeniz gereken dört ayar şunlar olacaktır:

  1. Sağlayan
  2. Alan adı (az önce oluşturduğunuz ana bilgisayar adı)
  3. Oturum açma adı (dinamik DNS'nizi oluşturmak için kullanılan e-posta adresi)
  4. Parola

Yönlendiricinizin dinamik bir DNS ayarı yoksa, No-IP, yapabileceğiniz bir yazılım sağlar. yerel makinenize yükleyin aynı sonucu elde etmek için. Dinamik DNS'yi güncel tutmak için bu makinenin çevrimiçi olması gerekir.

2. Port Yönlendirme veya Yönlendirme

Yönlendiricinin artık gelen bağlantıyı nereye ileteceğini bilmesi gerekiyor. Bunu gelen bağlantıdaki port numarasına göre yapar. Burada iyi bir uygulama, halka açık bağlantı noktası için 22 olan varsayılan SSH bağlantı noktasını kullanmamaktır.

Varsayılan bağlantı noktasının kullanılmamasının nedeni, bilgisayar korsanlarının özel bağlantı noktası algılayıcılarına sahip olmasıdır. Bu araçlar, ağınızda açık olabilecek iyi bilinen bağlantı noktalarını sürekli olarak kontrol eder. Yönlendiricinizin varsayılan bir bağlantı noktasındaki bağlantıları kabul ettiğini öğrendiklerinde, ortak kullanıcı adları ve parolalarla bağlantı istekleri göndermeye başlarlar.

Rastgele bir bağlantı noktası seçmek, kötü niyetli koklayıcıları tamamen durdurmazken, yönlendiricinize gelen isteklerin sayısını büyük ölçüde azaltacaktır. Yönlendiriciniz yalnızca aynı bağlantı noktasını iletebiliyorsa, bu bir sorun değildir, çünkü kale ana makinenizi kullanıcı adlarını ve parolaları değil, SSH anahtar çifti kimlik doğrulamasını kullanacak şekilde ayarlamanız gerekir.

Bir yönlendiricinin ayarları şuna benzer görünmelidir:

  1. SSH olabilecek hizmet adı
  2. Protokol (TCP olarak ayarlanmalıdır)
  3. Genel bağlantı noktası (22 olmayan yüksek bir bağlantı noktası olmalıdır, 52739 kullanın)
  4. Özel IP (bastion sunucunuzun IP'si)
  5. Özel bağlantı noktası (22 olan varsayılan SSH bağlantı noktası)

kale

Kalenizin ihtiyaç duyacağı tek şey SSH. Kurulum sırasında bu seçilmediyse, şunu yazın:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

SSH yüklendikten sonra, SSH sunucunuzu parolalar yerine anahtarlarla kimlik doğrulaması yapacak şekilde ayarladığınızdan emin olun. Kale ana makinenizin IP'sinin, yukarıdaki bağlantı noktası iletme kuralında ayarlananla aynı olduğundan emin olun.

Her şeyin çalıştığından emin olmak için hızlı bir test yapabiliriz. Ev ağınızın dışında olmayı simüle etmek için şunları yapabilirsiniz: akıllı cihazınızı bir erişim noktası olarak kullanın mobil verideyken. Bir terminal açın ve kale sunucunuzdaki bir hesabın kullanıcı adıyla ve yukarıdaki A adımındaki adres kurulumuyla değiştirerek şunu yazın:

ssh -p 52739 @

Her şey doğru bir şekilde kurulmuşsa, artık kale sunucunuzun terminal penceresini görmelisiniz.

3. Tünel Açma

SSH aracılığıyla hemen hemen her şeyi tünelleyebilirsiniz (makul dahilinde). Örneğin, internetten ev ağınızdaki bir SMB paylaşımına erişmek istiyorsanız, kale sunucunuza bağlanın ve SMB paylaşımına bir tünel açın. Bu komutu çalıştırarak bu büyüyü gerçekleştirin:

ssh -L 15445::445 -p 52739 @

Gerçek bir komut şöyle görünür:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Bu komutu kırmak kolaydır. Bu, yönlendiricinizin harici SSH bağlantı noktası 52739 aracılığıyla sunucunuzdaki hesaba bağlanır. Bağlantı noktası 15445'e (isteğe bağlı bir bağlantı noktası) gönderilen herhangi bir yerel trafik, tünel aracılığıyla gönderilir ve ardından 10.1.2.250 IP'si ve SMB ile makineye iletilir. bağlantı noktası 445.

Gerçekten zeki olmak istiyorsanız, şunu yazarak komutun tamamına takma ad verebiliriz:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Şimdi terminalde yazmanız gereken tek şey sss , ve bob senin amcan.

Bağlantı kurulduktan sonra şu adresle SMB paylaşımınıza erişebilirsiniz:

smb://localhost:15445

Bu, yerel ağdaymış gibi internetten o yerel paylaşıma göz atabileceğiniz anlamına gelir. Belirtildiği gibi, SSH ile hemen hemen her şeye tünel açabilirsiniz. Uzak masaüstü etkinleştirilmiş Windows makinelerine bile bir SSH tüneli üzerinden erişilebilir.

Özet

Bu makale, bir kale ev sahibinden çok daha fazlasını kapsıyor ve bu noktaya kadar gelmekle iyi iş çıkardınız. Bir kale ana bilgisayarına sahip olmak, açıkta kalan hizmetleri olan diğer cihazların korunacağı anlamına gelir. Ayrıca bu kaynaklara dünyanın her yerinden erişebilmenizi sağlar. Kahve, çikolata veya her ikisiyle de kutladığınızdan emin olun. Ele aldığımız temel adımlar şunlardı:

  • Dinamik DNS'yi ayarlayın
  • Harici bir bağlantı noktasını dahili bir bağlantı noktasına iletin
  • Yerel bir kaynağa erişmek için bir tünel oluşturun

Yerel kaynaklara internetten erişmeniz mi gerekiyor? Bunu başarmak için şu anda bir VPN kullanıyor musunuz? Daha önce SSH tünellerini kullandınız mı?

Resim Kredisi: En İyi Vektörler/ Depositphotos

Paylaş Paylaş Cıvıldamak E-posta Bir E-postanın Gerçek mi Sahte mi Olduğunu Kontrol Etmenin 3 Yolu

Biraz şüpheli görünen bir e-posta aldıysanız, orijinalliğini kontrol etmek her zaman en iyisidir. İşte bir e-postanın gerçek olup olmadığını anlamanın üç yolu.

Sonrakini Oku İlgili konular
  • Linux
  • Güvenlik
  • Çevrimiçi Güvenlik
  • Linux
Yazar hakkında Yusuf Limalı(49 Makale Yayımlandı)

Yusuf, yenilikçi işletmeler, koyu kavrulmuş kahve ile birlikte gelen akıllı telefonlar ve ayrıca tozu iten hidrofobik güç alanlarına sahip bilgisayarlarla dolu bir dünyada yaşamak istiyor. Bir iş analisti ve Durban Teknoloji Üniversitesi mezunu olarak, hızla büyüyen bir teknoloji endüstrisinde 10 yılı aşkın deneyime sahip, teknik ve teknik olmayan kişiler arasında orta adam olmaktan ve herkesin son teknoloji ile hızlanmasına yardımcı olmaktan keyif alıyor.

Yusuf Limalia'dan Daha Fazla

Haber bültenimize abone ol

Teknik ipuçları, incelemeler, ücretsiz e-kitaplar ve özel fırsatlar için bültenimize katılın!

Abone olmak için buraya tıklayın