Proteja sua rede com um Bastion Host em apenas 3 etapas

Proteja sua rede com um Bastion Host em apenas 3 etapas

Você tem máquinas em sua rede interna que precisa acessar do mundo externo? Usar um host bastião como o porteiro de sua rede pode ser a solução.





O que é um Bastion Host?

Bastião se traduz literalmente em um lugar que é fortificado. Em termos de computador, é uma máquina em sua rede que pode ser o guardião das conexões de entrada e saída.



Você pode definir seu Bastion Host como a única máquina que aceita conexões de entrada da Internet. Então, por sua vez, configure todas as outras máquinas em sua rede para receber apenas conexões de entrada de seu host bastião. Que benefícios isso traz?





Acima de tudo, segurança. O host bastião, como o nome indica, pode ter uma segurança muito rígida. Será a primeira linha de defesa contra qualquer intruso e garantirá a proteção do restante de suas máquinas.

Também torna outras partes da configuração da rede um pouco mais fáceis. Em vez de encaminhar portas no nível do roteador, você só precisa encaminhar uma porta de entrada para o host bastião. A partir daí, você pode ramificar para outras máquinas às quais precisa acessar em sua rede privada. Não tenha medo, isso será abordado na próxima seção.



O diagrama

Este é um exemplo de configuração de rede típica. Se precisar acessar sua rede doméstica de fora, você entrará pela Internet. O roteador encaminhará essa conexão para o host bastião. Depois de conectado ao host bastião, você poderá acessar qualquer outra máquina da rede. Da mesma forma, não haverá acesso a outras máquinas além do host bastião diretamente da Internet.

Chega de procrastinação, hora de usar o bastião.



1. DNS dinâmico

Os astutos entre vocês devem estar se perguntando como obter acesso ao seu roteador doméstico pela Internet. A maioria dos provedores de serviços de Internet (ISP) atribuem a você um endereço IP temporário, que muda de vez em quando. Os ISPs tendem a cobrar mais se você quiser um endereço IP estático. A boa notícia é que os roteadores modernos tendem a ter DNS dinâmico embutido em suas configurações.

O DNS dinâmico atualiza seu nome de host com seu novo endereço IP em intervalos definidos, garantindo que você sempre possa acessar sua rede doméstica. Existem muitos provedores que oferecem esse serviço, um dos quais é No-IP, que tem até um nível gratuito . Esteja ciente de que o nível gratuito exigirá que você confirme seu nome de host uma vez a cada 30 dias. É apenas um processo de 10 segundos, que eles lembram de fazer de qualquer maneira.



Depois de se inscrever, basta criar um nome de host. Seu nome de host terá que ser único, e é isso. Se você possui um roteador Netgear, eles oferecem um DNS dinâmico gratuito que não requer confirmação mensal.

jogos sem flash player e plugin

Agora faça login em seu roteador e procure a configuração de DNS dinâmico. Isso será diferente de roteador para roteador, mas se você não achar que está escondido nas configurações avançadas, verifique o manual do usuário do fabricante. As quatro configurações que você normalmente precisa inserir são:

  1. O provedor
  2. Nome do domínio (o nome do host que você acabou de criar)
  3. Nome de login (o endereço de e-mail usado para criar seu DNS dinâmico)
  4. Senha

Se o seu roteador não tiver uma configuração DNS dinâmica, o No-IP fornece um software que você pode instale na sua máquina local para alcançar o mesmo resultado. Esta máquina terá que estar online, a fim de manter o DNS dinâmico atualizado.

2. Encaminhamento ou redirecionamento de porta

O roteador agora precisa saber para onde encaminhar a conexão de entrada. Ele faz isso com base no número da porta da conexão de entrada. Uma boa prática aqui é não usar a porta SSH padrão, que é 22, para a porta voltada para o público.

A razão para não usar a porta padrão é porque os hackers têm farejadores de porta dedicados. Essas ferramentas verificam constantemente as portas conhecidas que podem estar abertas em sua rede. Depois de descobrirem que seu roteador está aceitando conexões em uma porta padrão, eles começam a enviar solicitações de conexão com nomes de usuário e senhas comuns.

Embora a escolha de uma porta aleatória não pare totalmente os sniffers malignos, ela reduzirá drasticamente o número de solicitações que chegam ao seu roteador. Se o seu roteador só pode encaminhar a mesma porta, isso não é um problema, pois você deve configurar o seu host bastião para usar a autenticação de par de chaves SSH e não nomes de usuário e senhas.

As configurações de um roteador devem ser semelhantes a estas:

  1. O nome do serviço, que pode ser SSH
  2. Protocolo (deve ser definido como TCP)
  3. Porta pública (deve ser uma porta alta que não seja 22, use 52739)
  4. IP privado (o IP do seu host bastião)
  5. Porta privada (a porta SSH padrão, que é 22)

The Bastion

A única coisa que seu bastião precisará é SSH. Se não foi selecionado no momento da instalação, basta digitar:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

Depois que o SSH estiver instalado, certifique-se de configurar seu servidor SSH para autenticar com chaves em vez de senhas. Certifique-se de que o IP do seu host bastião seja o mesmo definido na regra de encaminhamento de porta acima.

Podemos fazer um teste rápido para ter certeza de que tudo está funcionando. Para simular estar fora de sua rede doméstica, você pode use seu dispositivo inteligente como um ponto de acesso enquanto estiver em dados móveis. Abra um terminal e digite, substituindo pelo nome de usuário de uma conta em seu Bastion Host e pela configuração de endereço na etapa A acima:

ssh -p 52739 @

Se tudo foi configurado corretamente, agora você deve ver a janela do terminal do seu host bastião.

3. Tunelamento

Você pode encapsular praticamente qualquer coisa por meio de SSH (dentro do razoável). Por exemplo, se você deseja obter acesso a um compartilhamento SMB em sua rede doméstica da Internet, conecte-se ao host bastião e abra um túnel para o compartilhamento SMB. Realize esse feitiço simplesmente executando este comando:

ssh -L 15445::445 -p 52739 @

Um comando real seria semelhante a:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

É fácil quebrar esse comando. Isso se conecta à conta em seu servidor por meio da porta SSH externa 52739 do roteador. Qualquer tráfego local enviado para a porta 15445 (uma porta arbitrária) será enviado através do túnel e, em seguida, encaminhado para a máquina com o IP de 10.1.2.250 e o SMB porta 445.

Se você quiser ser realmente inteligente, podemos criar um alias para todo o comando digitando:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Agora tudo que você tem que digitar no terminal sss e Bob é seu tio.

Assim que a conexão for feita, você pode acessar seu compartilhamento SMB com o endereço:

smb://localhost:15445

Isso significa que você poderá navegar nesse compartilhamento local da Internet como se estivesse na rede local. Como mencionado, você pode fazer um túnel praticamente em qualquer coisa com SSH. Mesmo as máquinas Windows com área de trabalho remota habilitada podem ser acessadas por meio de um túnel SSH.

Recapitular

Este artigo abordou muito mais do que apenas um host bastião, e você fez bem em chegar até aqui. Ter um host bastião significa que os outros dispositivos que possuem serviços expostos estarão protegidos. Ele também garante que você possa acessar esses recursos de qualquer lugar do mundo. Não deixe de comemorar com café, chocolate ou ambos. As etapas básicas que cobrimos foram:

  • Configurar DNS dinâmico
  • Encaminhe uma porta externa para uma porta interna
  • Crie um túnel para acessar um recurso local

Você precisa acessar recursos locais da Internet? Atualmente, você usa uma VPN para fazer isso? Você já usou túneis SSH antes?

Crédito da imagem: TopVectors / Depositphotos

Compartilhado Compartilhado Tweet O email 3 maneiras de verificar se um e-mail é verdadeiro ou falso

Se você recebeu um e-mail que parece um pouco duvidoso, é sempre melhor verificar sua autenticidade. Aqui estão três maneiras de saber se um e-mail é real.

Leia a seguir Tópicos relacionados
  • Linux
  • Segurança
  • Segurança Online
  • Linux
Sobre o autor Yusuf Limalia(49 artigos publicados)

Yusuf quer viver em um mundo repleto de empresas inovadoras, smartphones que vêm com café torrado escuro e computadores com campos de força hidrofóbicos que também repelem a poeira. Como analista de negócios e graduado pela Universidade de Tecnologia de Durban, com mais de 10 anos de experiência em uma indústria de tecnologia em rápido crescimento, ele gosta de ser o intermediário entre o pessoal técnico e não técnico e ajudar todos a se familiarizarem com a tecnologia de ponta.

Mais de Yusuf Limalia

Assine a nossa newsletter

Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!

Clique aqui para se inscrever