Proteja su red con un host Bastion en solo 3 pasos
¿Tiene máquinas en su red interna a las que necesita acceder desde el mundo exterior? El uso de un host bastion como el gatekeeper de su red puede ser la solución..
¿Qué es un host de bastión??
Bastión se traduce literalmente en un lugar que está fortificado. En términos informáticos, es una máquina en su red que puede ser el controlador de acceso para las conexiones entrantes y salientes..
Puede configurar su host de bastión como la única máquina para aceptar conexiones entrantes de Internet. Luego, a su vez, configure todas las demás máquinas de su red para que solo reciban las conexiones entrantes de su host bastion. ¿Qué beneficios tiene esto??
Por encima de todo lo demás, seguridad. El host bastion, como su nombre lo indica, puede tener una seguridad muy estricta. Será la primera línea de defensa contra cualquier intruso y garantizará que el resto de sus máquinas estén protegidas..
También hace que otras partes de la configuración de su red sean un poco más fáciles. En lugar de reenviar puertos a nivel de enrutador, solo necesita reenviar un puerto entrante a su host bastion. Desde allí, puede acceder a otras máquinas a las que necesita acceder en su red privada. No temas, esto será cubierto en la siguiente sección..
El diagrama
Este es un ejemplo de una configuración de red típica. Si necesita acceder a su red doméstica desde el exterior, entraría a través de Internet. Su enrutador luego reenviará esa conexión a su host de bastión. Una vez conectado a su host bastión, podrá acceder a cualquier otra máquina en su red. Igualmente, no habrá acceso a máquinas distintas del host del bastión directamente desde Internet.
Bastante dilación, es hora de usar bastión..
1. DNS dinámico
Es posible que el experto entre ustedes se haya estado preguntando cómo obtendría acceso a su enrutador doméstico a través de Internet. La mayoría de los proveedores de servicios de Internet (ISP) le asignan una dirección IP temporal, que cambia cada cierto tiempo. Los ISP tienden a cobrar más si querías una dirección IP estática. La buena noticia es que los enrutadores modernos tienden a tener DNS dinámicos incorporados en sus configuraciones.
DNS dinámico actualiza su nombre de host con su nueva dirección IP a intervalos establecidos, asegurándose de que siempre pueda acceder a su red doméstica. Hay muchos proveedores que ofrecen dicho servicio, uno de los cuales es No-IP que incluso tiene un nivel gratuito. Tenga en cuenta que la capa gratuita requerirá que confirme su nombre de host una vez cada 30 días. Es solo un proceso de 10 segundos, que recuerdan hacer de todos modos.
Después de que te hayas registrado, simplemente crea un nombre de host. Tu nombre de host tendrá que ser único, y eso es todo. Si posee un enrutador Netgear, ellos ofrecen un DNS dinámico gratuito que no requerirá una confirmación mensual.
Ahora inicie sesión en su enrutador y busque la configuración de DNS dinámico. Esto diferirá de un enrutador a otro, pero si no lo encuentra al acecho en la configuración avanzada, consulte el manual del usuario del fabricante. Las cuatro configuraciones que normalmente necesitas ingresar serán:
- El proveedor
- Nombre de dominio (el nombre de host que acaba de crear)
- Nombre de inicio de sesión (la dirección de correo electrónico utilizada para crear su DNS dinámico)
- Contraseña
Si su enrutador no tiene una configuración de DNS dinámica, No-IP proporciona un software que puede instalar en su máquina local para lograr el mismo resultado. Esta máquina deberá estar en línea para mantener actualizado el DNS dinámico..
2. Reenvío o redirección de puertos
El enrutador ahora necesita saber dónde reenviar la conexión entrante. Lo hace en función del número de puerto que se encuentra en la conexión entrante. Una buena práctica aquí es no usar el puerto SSH predeterminado, que es 22, para el puerto que mira al público.
La razón para no usar el puerto predeterminado es porque los hackers tienen rastreadores de puerto dedicados. Estas herramientas comprueban constantemente los puertos conocidos que pueden estar abiertos en su red. Una vez que descubren que su enrutador está aceptando conexiones en un puerto predeterminado, comienzan a enviar solicitudes de conexión con nombres de usuario y contraseñas comunes.
Si bien la elección de un puerto aleatorio no detendrá por completo a los rastreadores malignos, reducirá drásticamente el número de solicitudes que llegan a su enrutador. Si su enrutador solo puede reenviar el mismo puerto, eso no es un problema, ya que debe configurar su host bastión para usar la autenticación de par de llaves SSH y no los nombres de usuario y las contraseñas.
La configuración de un enrutador debe ser similar a esto:
- El nombre del servicio que puede ser SSH.
- Protocolo (debe establecerse en TCP)
- Puerto público (debe ser un puerto alto que no sea 22, use 52739)
- IP privada (la IP de tu host bastion)
- Puerto privado (el puerto SSH predeterminado, que es 22)
El bastión
Lo único que necesitará tu bastión es SSH. Si no se seleccionó en el momento de la instalación, simplemente escriba:
sudo apt install OpenSSH-client sudo apt install OpenSSH-server
Una vez instalado SSH, asegúrese de configurar su servidor SSH para autenticarse con claves en lugar de contraseñas Cómo autenticar a través de SSH con claves en lugar de contraseñas Cómo autenticar a través de SSH con claves en lugar de contraseñas SSH es una excelente manera de obtener acceso remoto a su computadora. Cuando abre los puertos de su enrutador (el puerto 22 para ser exactos) no solo puede acceder a su servidor SSH desde ... Leer más. Asegúrese de que la IP de su bastión bastion sea la misma que la establecida en la regla de reenvío de puerto anterior.
Podemos realizar una prueba rápida para asegurarnos de que todo funciona. Para simular que está fuera de su red doméstica, puede usar su dispositivo inteligente como punto de acceso. Control de punto de acceso: use su Android como enrutador inalámbrico Control de punto de acceso: use su Android como enrutador inalámbrico Usar su dispositivo Android como punto de acceso es una excelente manera de compartir su información móvil con sus otros dispositivos, como una computadora portátil o tableta, ¡y es muy fácil! Lea más mientras está en datos móviles. Abre un terminal y teclea, reemplazando
ssh -p 52739 @
Si todo se configuró correctamente, ahora debería ver la ventana de terminal de su host bastion.
3. Tunneling
Puede canalizar casi cualquier cosa a través de SSH (dentro de lo razonable). Por ejemplo, si desea obtener acceso a un recurso compartido SMB en su red doméstica desde Internet, conéctese a su host bastión y abra un túnel para el recurso compartido SMB. Logre esta brujería simplemente ejecutando este comando:
ssh -L 15445:: 445 -p 52739 @
Un comando real se vería algo así como:
ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected]
Romper este comando es fácil. Esto se conecta a la cuenta en su servidor a través del puerto SSH externo 52739 de su enrutador. Cualquier tráfico local enviado al puerto 15445 (un puerto arbitrario) se enviará a través del túnel, luego se reenviará a la máquina con la IP de 10.1.2.250 y el SMB puerto 445.
Si desea ser realmente inteligente, podemos crear un alias de todo el comando escribiendo:
alias sss = "ssh - L 15445: 10.1.2.250: 445 -p 52739 [email protected]"
Ahora todo lo que tienes que escribir en la terminal sss, y Bob es tu tío.
Una vez que se realiza la conexión, puede acceder a su recurso compartido SMB con la dirección:
smb: // localhost: 15445
Esto significa que podrá navegar ese recurso compartido local desde Internet como si estuviera en la red local. Como se mencionó, puedes hacer un túnel en cualquier cosa con SSH. Incluso se puede acceder a las máquinas Windows que tienen el escritorio remoto habilitado a través de un túnel SSH Cómo canalizar el tráfico web con SSH Secure Shell Cómo canalizar el tráfico web con SSH Secure Shell Leer más .
Resumen
Este artículo cubrió mucho más que un host de bastión, y lo has hecho bien para llegar tan lejos. Tener un host de bastión significará que los otros dispositivos que tienen servicios que están expuestos estarán protegidos. También garantiza que pueda acceder a estos recursos desde cualquier lugar del mundo. Asegúrese de celebrar con café, chocolate o ambos. Los pasos básicos que hemos cubierto fueron:
- Configurar DNS dinámico
- Reenviar un puerto externo a un puerto interno
- Crea un túnel para acceder a un recurso local
¿Necesitas acceder a recursos locales desde internet? ¿Actualmente utilizas una VPN para lograr esto? ¿Has usado túneles SSH antes??
Crédito de la imagen: TopVectors / Depositphotos
Explorar más sobre: Linux, seguridad en línea.