ปกป้องเครือข่ายคอมพิวเตอร์ของคุณด้วยโฮสต์ Bastion ในเวลาเพียง 3 ขั้นตอน

คุณมีคอมพิวเตอร์บนเครือข่ายท้องถิ่นที่ต้องการการเข้าถึงจากภายนอกหรือไม่? การใช้โฮสต์ป้อมปราการเป็น "ผู้เฝ้าประตู" สำหรับเครือข่ายของคุณอาจเป็นทางออกที่ดี

โฮสต์Bastion คืออะไร ?

Bastion แปลว่าสถานที่ที่มีป้อมปราการอย่างแท้จริง ในแง่คอมพิวเตอร์ มันเป็นเครื่องบนเครือข่ายที่สามารถเป็นผู้รักษาประตูสำหรับการเชื่อมต่อขาเข้าและขาออก

คำจำกัดความของวิกิพีเดีย: โฮสต์ป้อมปราการเป็นคอมพิวเตอร์ที่มีวัตถุประสงค์พิเศษบนเครือข่าย ซึ่งออกแบบและกำหนดค่าไว้เป็นพิเศษให้ต้านทานการโจมตี โดยทั่วไปเซิร์ฟเวอร์ป้อมปราการจะโฮสต์แอปพลิเคชันเดียวเท่านั้น เช่นพร็อกซีเซิร์ฟเวอร์บริการอื่นๆ จะถูกลบออกหรือจำกัดเพื่อลดภัยคุกคามต่อคอมพิวเตอร์ เหตุผลที่โฮสต์ป้อมปราการเป็นแบบเดินสายแบบถาวรก็เนื่องมาจากตำแหน่งและวัตถุประสงค์พิเศษ ซึ่งมักจะตั้งอยู่นอกไฟร์วอลล์หรือใน DMZ (พื้นที่เครือข่ายที่เป็นกลางระหว่างเครือข่ายภายในและอินเทอร์เน็ต) และมักจะเกี่ยวข้องกับการเข้าถึงจากเครือข่ายที่ไม่น่าเชื่อถือหรือ คอมพิวเตอร์

คุณสามารถตั้งค่าโฮสต์ป้อมปราการเป็นเครื่องเดียวที่ยอมรับการเชื่อมต่อจากอินเทอร์เน็ต จากนั้น ให้ตั้งค่าเครื่องอื่นๆ ทั้งหมดบนเครือข่ายให้รับเฉพาะการเชื่อมต่อขาเข้าจากโฮสต์ป้อมปราการนี้เท่านั้น

ประโยชน์ของการตั้งค่านี้คือความปลอดภัย โฮสต์ Bastion สามารถให้การรักษาความปลอดภัยที่เข้มงวดมาก มันจะเป็นด่านแรกในการรักษาความปลอดภัยต่อผู้บุกรุกและรับรองว่าคอมพิวเตอร์ที่เหลือได้รับการปกป้อง นอกจากนี้ยังทำให้การตั้งค่าเครือข่ายง่ายขึ้นอีกด้วย แทนที่จะส่งต่อพอร์ตบนเราเตอร์คุณเพียงแค่ต้องส่งต่อพอร์ตไปยังโฮสต์ Bation จากนั้นคุณสามารถแยกสาขาไปยังเครื่องอื่น ๆ ที่ต้องเข้าถึงเครือข่ายส่วนตัว รายละเอียดของปัญหาจะกล่าวถึงในหัวข้อถัดไป

แผนภาพการตั้งค่าเครือข่าย

นี่คือตัวอย่างการตั้งค่าเครือข่ายทั่วไป หากคุณต้องการเข้าถึงเครือข่ายภายในบ้านจากภายนอก คุณสามารถทำได้ผ่านทางอินเทอร์เน็ตเราเตอร์จะส่งต่อการเชื่อมต่อนั้นไปยังโฮสต์ป้อมปราการ เมื่อเชื่อมต่อกับโฮสต์ป้อมปราการแล้ว คุณจะสามารถเข้าถึงเครื่องอื่นๆ บนเครือข่ายได้ ในทำนองเดียวกัน จะไม่มีการเข้าถึงโดยตรงจากอินเทอร์เน็ตไปยังเครื่องอื่นนอกจากโฮสต์ป้อมปราการ

1. ระบบชื่อโดเมนไดนามิก ( Dynamic DNS )

หลายๆ คนคงสงสัยว่าจะเข้าถึงเราเตอร์ที่บ้านผ่านทางอินเทอร์เน็ตได้อย่างไร ผู้ให้บริการอินเทอร์เน็ต (ISP) ส่วนใหญ่กำหนดที่อยู่ IP ชั่วคราวให้กับผู้ใช้ซึ่งเปลี่ยนแปลงเป็นประจำ ผู้ให้บริการอินเทอร์เน็ตมักจะเรียกเก็บเงินเพิ่มเติมสำหรับที่อยู่ IP แบบคงที่ ข่าวดีก็คือว่าเราเตอร์ในปัจจุบันมักจะมีระบบชื่อโดเมนแบบไดนามิกในการตั้งค่า

ระบบชื่อโดเมนแบบไดนามิกจะอัพเดตชื่อโฮสต์ด้วยที่อยู่ IP ใหม่ในช่วงเวลาหนึ่ง เพื่อให้มั่นใจว่าผู้ใช้จะสามารถเข้าถึงเครือข่ายในบ้านได้ตลอดเวลา มีผู้ให้บริการหลายรายที่ให้บริการข้างต้น เช่น Noip.com ซึ่งมีระดับฟรีด้วย โปรดทราบว่า Free Tier จะต้องมีการยืนยันชื่อเซิร์ฟเวอร์ทุกๆ 30 วัน

เมื่อเข้าสู่ระบบแล้ว เพียงสร้างชื่อเซิร์ฟเวอร์ซึ่งจะต้องไม่ซ้ำกัน หากคุณเป็นเจ้าของเราเตอร์ Netgear เราเตอร์จะให้ บริการDNS แบบไดนามิกฟรี และไม่ต้องการการยืนยันรายเดือน

ตอนนี้เข้าสู่เราเตอร์ของคุณและค้นหาการตั้งค่า DNS แบบไดนามิก เราเตอร์ที่ต่างกันจะมีการตั้งค่าที่แตกต่างกัน โปรดดูวิธีการตั้งค่าในคู่มือผู้ใช้เราเตอร์ โดยทั่วไป คุณจะต้องป้อนข้อมูลในการตั้งค่าสี่รายการต่อไปนี้:

1. ผู้จัดหา
2. ชื่อโดเมน (ชื่อเซิร์ฟเวอร์เพิ่งสร้าง)
3. ชื่อผู้ใช้ (ที่อยู่อีเมลที่ใช้ในการสร้าง DNS แบบไดนามิก)
4. รหัสผ่าน

หากเราเตอร์ของคุณไม่มีการตั้งค่า DNS แบบไดนามิก No-IP จะมีซอฟต์แวร์ที่สามารถติดตั้งบนคอมพิวเตอร์ของคุณได้ โปรดทราบว่าคอมพิวเตอร์จะต้องออนไลน์อยู่เสมอเพื่ออัปเดต DNS แบบไดนามิก

2. ส่งต่อหรือเปลี่ยนเส้นทางพอร์ต

เราเตอร์ในปัจจุบันจำเป็นต้องรู้ว่าจะส่งต่อการเชื่อมต่อขาเข้าได้ที่ไหน โดยพิจารณาจากหมายเลขพอร์ตของการเชื่อมต่อขาเข้า ผู้ใช้ไม่ควรใช้ พอร์ต SSH เริ่มต้น ที่ 22 เนื่องจากแฮกเกอร์มีเครื่องมือที่สามารถตรวจสอบพอร์ตทั่วไปและสามารถเข้าถึงเครือข่ายในบ้านของคุณได้อย่างง่ายดาย เมื่อพวกเขารู้ว่าเราเตอร์ยอมรับการเชื่อมต่อบนพอร์ตเริ่มต้น พวกเขาจะเริ่มส่งคำขอการเชื่อมต่อด้วยชื่อผู้ใช้และรหัสผ่านทั่วไป

แม้ว่าการเลือกพอร์ตแบบสุ่มจะไม่สามารถป้องกันปัญหานี้ได้อย่างสมบูรณ์ แต่ก็สามารถลดจำนวนคำขอที่มาถึงเราเตอร์ได้ หากเราเตอร์ของคุณสามารถส่งต่อพอร์ตเดียวกันได้เท่านั้น คุณควรตั้งค่าโฮสต์ป้อมปราการให้ใช้การตรวจสอบสิทธิ์ด้วยคีย์ SSH ไม่ใช่ชื่อผู้ใช้และรหัสผ่าน

ติดตั้งเราเตอร์ตามที่แสดงด้านล่าง:

1. ชื่อบริการสามารถเป็น SSH
2. โปรโตคอล (ควรตั้งค่าเป็น TCP)
3. พอร์ตสาธารณะ (ควรเป็นพอร์ตสูง ไม่ใช่ 22 ใช้ 52739)
4. ที่อยู่ IP ส่วนตัว (IP ของโฮสต์ Bastion)
5. พอร์ตส่วนตัว (พอร์ต SSH เริ่มต้นคือ 22)

ป้อมปราการ

สิ่งเดียวที่ป้อมปราการต้องการคือ SSH หากไม่ได้เลือก SSH ระหว่างการติดตั้ง เพียงพิมพ์:

sudo apt ติดตั้งไคลเอ็นต์ OpenSSH

sudo apt ติดตั้งเซิร์ฟเวอร์ OpenSSH

เมื่อติดตั้ง SSH แล้ว ตรวจสอบให้แน่ใจว่าได้ตั้งค่าเซิร์ฟเวอร์ SSH ให้ตรวจสอบสิทธิ์ด้วยคีย์แทนรหัสผ่าน ที่อยู่ IP ของโฮสต์ Bastion จะเหมือนกับที่อยู่ IP ที่ตั้งไว้ในกฎการส่งต่อด้านบน

คุณสามารถทำการทดสอบอย่างรวดเร็วเพื่อให้แน่ใจว่าทุกอย่างทำงานได้ดี หากต้องการจำลองภายนอกเครือข่ายในบ้าน คุณสามารถใช้อุปกรณ์อัจฉริยะเป็นฮอตสปอตโดยใช้ข้อมูลมือถือได้ เปิดหน้าต่างเทอร์มินัลแล้วเข้าไป โดยแทนที่ด้วยชื่อผู้ใช้ของบัญชีบนโฮสต์ป้อมปราการและด้วยการตั้งค่าที่อยู่ในขั้นตอนด้านบน:

ssh -p 52739 @

หากทุกอย่างได้รับการตั้งค่าอย่างถูกต้อง คุณจะเห็นหน้าต่างเทอร์มินัลโฮสต์ป้อมปราการ

3. สร้างอุโมงค์

คุณสร้างอุโมงค์ผ่าน SSH ตัวอย่างเช่น หากคุณต้องการเข้าถึงการแบ่งปัน SMB บนเครือข่ายในบ้านของคุณจากอินเทอร์เน็ต ให้เชื่อมต่อกับโฮสต์ป้อมปราการและเปิดช่องสัญญาณไปยังการแบ่งปัน SMB โดยเรียกใช้คำสั่งต่อไปนี้:

ssh -L 15445::445 -p 52739 @

ตัวอย่างเช่น คำสั่งดังกล่าวจะทำงานได้

ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]

คำสั่งข้างต้นเชื่อมต่อกับบัญชีบนเซิร์ฟเวอร์ของคุณผ่านพอร์ต SSH ภายนอกของเราเตอร์ 52739 การรับส่งข้อมูลใด ๆ ที่ส่งไปยังพอร์ต 15445 (พอร์ตที่กำหนดเอง) จะถูกส่งผ่านอุโมงค์ จากนั้นส่งต่อไปยังเครื่องที่มีที่อยู่ IP 10.1.2.250 และพอร์ต SMB 445 .

คุณยังสามารถไม่ระบุชื่อคำสั่งทั้งหมดได้โดยพิมพ์:

นามแฝง sss='ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]'

เมื่อเชื่อมต่อแล้ว คุณจะสามารถเข้าถึงการแชร์ SMB ด้วยที่อยู่:

smb://localhost:15445

ซึ่งหมายความว่าคุณจะสามารถเรียกดูการแบ่งปันในพื้นที่จากอินเทอร์เน็ตได้เหมือนกับว่าคุณอยู่ในเครือข่ายท้องถิ่น

ขอให้คุณประสบความสำเร็จ!

ดูเพิ่มเติม:

• คำแนะนำในการใช้งานและการรักษาความปลอดภัยเครือข่าย Wifi
• ความปลอดภัยของเครือข่ายและความจำเป็นที่ต้องรู้
• คำแนะนำเกี่ยวกับวิธีการปกป้องเครือข่าย WiFi จาก KRACK