Pagina principal Linux Proteja su red con un servidor Bastion en solo 3 pasos

Proteja su red con un servidor Bastion en solo 3 pasos

  • Gabriel Brooks
  • 0
  • 3529
  • 1009
Anuncio

¿Tiene máquinas en su red interna a las que necesita acceder desde el mundo exterior? La solución puede ser usar un servidor bastión como el guardián de su red.

¿Qué es un anfitrión de bastión??

Bastión se traduce literalmente en un lugar fortificado. En términos de computadora, es una máquina en su red que puede ser el guardián de las conexiones entrantes y salientes.

Puede configurar su servidor de bastión como la única máquina para aceptar conexiones entrantes de Internet. Luego, a su vez, configure todas las otras máquinas en su red, para recibir solo las conexiones entrantes de su servidor de bastión. ¿Qué beneficios tiene esto??

Más allá de todo lo demás, seguridad. El servidor bastión, como su nombre lo indica, puede tener una seguridad muy estricta. Será la primera línea de defensa contra intrusos y garantizará que el resto de sus máquinas estén protegidas..

También hace que otras partes de la configuración de su red sean un poco más fáciles. En lugar de reenviar puertos a nivel de enrutador, solo necesita reenviar un puerto entrante a su host de bastión. Desde allí, puede ramificarse a otras máquinas a las que necesita acceso en su red privada. No temas, esto se tratará en la siguiente sección.

El diagrama

Este es un ejemplo de una configuración de red típica. Si necesita acceso a su red doméstica desde el exterior, entraría a través de Internet. Su enrutador luego reenviará esa conexión a su host de bastión. Una vez conectado a su host de bastión, podrá acceder a cualquier otra máquina en su red. Del mismo modo, no habrá acceso a máquinas que no sean el host del bastión directamente desde Internet..

Dilación suficiente, tiempo de usar bastión.

1. DNS dinámico

El astuto entre ustedes puede haberse estado preguntando cómo obtendría acceso al enrutador de su hogar a través de Internet. La mayoría de los proveedores de servicios de Internet (ISP) le asignan una dirección IP temporal, que cambia cada cierto tiempo. Los ISP tienden a cobrar más si desea una dirección IP estática. La buena noticia es que los enrutadores modernos tienden a tener DNS dinámico integrado en su configuración.

El DNS dinámico actualiza su nombre de host con su nueva dirección IP a intervalos establecidos, asegurando que siempre pueda acceder a su red doméstica. Hay muchos proveedores que ofrecen dicho servicio, uno de los cuales es No-IP, que incluso tiene un nivel gratuito. Tenga en cuenta que el nivel gratuito requerirá que confirme su nombre de host una vez cada 30 días. Es solo un proceso de 10 segundos, que recuerdan hacer de todos modos.

Después de registrarte, simplemente crea un nombre de host. Su nombre de host tendrá que ser único, y eso es todo. Si posee un enrutador Netgear, ofrecen un DNS dinámico gratuito que no requerirá una confirmación mensual.

Ahora inicie sesión en su enrutador y busque la configuración dinámica de DNS. Esto diferirá de un enrutador a otro, pero si no lo encuentra al acecho en la configuración avanzada, consulte el manual del usuario del fabricante. Las cuatro configuraciones que normalmente necesita ingresar serán:

  1. El proveedor
  2. Nombre de dominio (el nombre de host que acaba de crear)
  3. Nombre de inicio de sesión (la dirección de correo electrónico utilizada para crear su DNS dinámico)
  4. Contraseña

Si su enrutador no tiene una configuración de DNS dinámica, No-IP proporciona un software que puede instalar en su máquina local para lograr el mismo resultado. Esta máquina tendrá que estar en línea para mantener actualizado el DNS dinámico..

2. Reenvío o redireccionamiento de puertos

El enrutador ahora necesita saber dónde reenviar la conexión entrante. Lo hace en función del número de puerto que se encuentra en la conexión entrante. Una buena práctica aquí es no usar el puerto SSH predeterminado, que es 22, para el puerto público.

La razón para no usar el puerto predeterminado es porque los piratas informáticos tienen rastreadores de puertos dedicados. Estas herramientas comprueban constantemente los puertos conocidos que pueden estar abiertos en su red. Una vez que descubren que su enrutador acepta conexiones en un puerto predeterminado, comienzan a enviar solicitudes de conexión con nombres de usuario y contraseñas comunes.

Si bien elegir un puerto aleatorio no detendrá por completo los rastreadores malignos, reducirá drásticamente la cantidad de solicitudes que llegan a su enrutador. Si su enrutador solo puede reenviar el mismo puerto, eso no es un problema, ya que debería configurar su host de bastión para usar la autenticación de par de claves SSH y no los nombres de usuario y contraseñas.

La configuración de un enrutador debería ser similar a esta:

  1. El nombre del servicio que puede ser SSH
  2. Protocolo (debe establecerse en TCP)
  3. Puerto público (debe ser un puerto alto que no sea 22, use 52739)
  4. IP privada (la IP de su servidor bastion)
  5. Puerto privado (el puerto SSH predeterminado, que es 22)

El bastión

Lo único que necesitará su bastión es SSH. Si no se seleccionó en el momento de la instalación, simplemente escriba:

sudo apt install OpenSSH-client sudo apt install OpenSSH-server

Una vez que SSH esté instalado, asegúrese de configurar su servidor SSH para que se autentique con claves en lugar de contraseñas Cómo autenticar a través de SSH con claves en lugar de contraseñas Cómo autenticar a través de SSH con claves en lugar de contraseñas SSH es una excelente manera de obtener acceso remoto a su computadora. Cuando abre los puertos en su enrutador (el puerto 22 para ser exactos) no solo puede acceder a su servidor SSH desde ... Asegúrese de que la IP del host de su bastión sea la misma que la establecida en la regla de reenvío de puertos anterior.

Podemos ejecutar una prueba rápida para asegurarnos de que todo funcione. Para simular estar fuera de su red doméstica, puede usar su dispositivo inteligente como punto de control de punto de acceso: use su Android como enrutador inalámbrico Control de punto de acceso: use su Android como enrutador inalámbrico Usar su dispositivo Android como punto de acceso es una excelente manera de compartir sus datos móviles con sus otros dispositivos, como una computadora portátil o tableta, ¡y es súper fácil! mientras está en datos móviles. Abra una terminal y escriba, reemplazando con el nombre de usuario de una cuenta en su host de bastión y con la configuración de la dirección en el paso A anterior:

ssh -p 52739 @

Si todo se configuró correctamente, ahora debería ver la ventana de terminal de su servidor bastión.

3. Túneles

Puede hacer un túnel casi cualquier cosa a través de SSH (dentro de lo razonable). Por ejemplo, si desea obtener acceso a un recurso compartido SMB en su red doméstica desde Internet, conéctese al host de su bastión y abra un túnel al recurso compartido SMB. Realice esta brujería simplemente ejecutando este comando:

ssh -L 15445 :: 445 -p 52739 @

Un comando real se vería así:

ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected]

Romper este comando es fácil. Esto se conecta a la cuenta en su servidor a través del puerto SSH externo de su enrutador 52739. Cualquier tráfico local enviado al puerto 15445 (un puerto arbitrario) se enviará a través del túnel, luego se enviará a la máquina con la IP de 10.1.2.250 y la SMB puerto 445.

Si desea ser realmente inteligente, podemos usar un alias para todo el comando escribiendo:

alias sss = "ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected]"

Ahora todo lo que tienes que escribir en la terminal sss, y Bob es tu tío.

Una vez que se realiza la conexión, puede acceder a su recurso compartido SMB con la dirección:

smb: // localhost: 15445

Esto significa que podrá navegar ese recurso compartido local desde Internet como si estuviera en la red local. Como se mencionó, puede prácticamente hacer un túnel en cualquier cosa con SSH. Se puede acceder incluso a las máquinas Windows que tienen el escritorio remoto habilitado a través de un túnel SSH Cómo hacer un túnel del tráfico web con SSH Secure Shell Cómo hacer un túnel del tráfico web con SSH Secure Shell .

Resumen

Este artículo cubrió mucho más que un simple servidor de bastión, y ha hecho bien en llegar hasta aquí. Tener un host de bastión significará que los otros dispositivos que tienen servicios expuestos estarán protegidos. También garantiza que pueda acceder a estos recursos desde cualquier parte del mundo. Asegúrese de celebrar con café, chocolate o ambos. Los pasos básicos que hemos cubierto fueron:

  • Configurar DNS dinámico
  • Reenviar un puerto externo a un puerto interno
  • Crear un túnel para acceder a un recurso local.

¿Necesita acceder a recursos locales desde internet? ¿Utiliza actualmente una VPN para lograr esto? ¿Has usado túneles SSH antes??

Haber de imagen: TopVectors / Depositphotos




Nadie ha comentado sobre este artículo todavía.

10 mejores casos de Raspberry Pi 2 que puedes conseguir ahora
Bricolaje
Guía de compra de Arduino ¿Qué placa debería obtener?
Bricolaje
Cómo construir un robot Arduino 4WD para principiantes
Bricolaje
Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.