Bảo vệ mạng của bạn với máy chủ lưu trữ Bastion Chỉ trong 3 bước

Bảo vệ mạng của bạn với máy chủ lưu trữ Bastion Chỉ trong 3 bước

Bạn có máy trong mạng nội bộ của mình mà bạn cần truy cập từ thế giới bên ngoài không? Sử dụng máy chủ pháo đài làm người gác cổng vào mạng của bạn có thể là giải pháp.





Máy chủ lưu trữ Bastion là gì?

Bastion dịch theo nghĩa đen là một nơi được củng cố. Theo thuật ngữ máy tính, nó là một máy trong mạng của bạn có thể là người gác cổng cho các kết nối đến và đi.



Bạn có thể đặt máy chủ pháo đài của mình làm máy duy nhất chấp nhận các kết nối đến từ internet. Sau đó, lần lượt, đặt tất cả các máy khác trên mạng của bạn, chỉ nhận các kết nối đến từ máy chủ pháo đài của bạn. Điều này có những lợi ích gì?





Hơn và trên tất cả mọi thứ khác, bảo mật. Máy chủ pháo đài, như tên của nó, có thể có bảo mật rất chặt chẽ. Nó sẽ là tuyến phòng thủ đầu tiên chống lại bất kỳ kẻ xâm nhập nào và đảm bảo phần còn lại của máy của bạn được bảo vệ.

Nó cũng làm cho các phần khác của thiết lập mạng của bạn dễ dàng hơn một chút. Thay vì chuyển tiếp các cổng ở cấp bộ định tuyến, bạn chỉ cần chuyển tiếp một cổng đến đến máy chủ pháo đài của mình. Từ đó, bạn có thể phân nhánh đến các máy khác mà bạn cần truy cập trên mạng riêng của mình. Đừng sợ, điều này sẽ được đề cập trong phần tiếp theo.



Sơ đồ

Đây là một ví dụ về thiết lập mạng điển hình. Nếu bạn cần truy cập vào mạng gia đình của mình từ bên ngoài, bạn sẽ truy cập qua internet. Sau đó, bộ định tuyến của bạn sẽ chuyển tiếp kết nối đó đến máy chủ pháo đài của bạn. Sau khi kết nối với máy chủ pháo đài của bạn, bạn sẽ có thể truy cập vào bất kỳ máy nào khác trong mạng của mình. Tương tự, sẽ không có quyền truy cập vào các máy khác ngoài máy chủ pháo đài trực tiếp từ internet.

Đủ thời gian trì hoãn, thời gian để sử dụng pháo đài.



1. DNS động

Chắc hẳn các bạn đang thắc mắc làm cách nào để có thể truy cập vào bộ định tuyến tại nhà của mình thông qua internet. Hầu hết các nhà cung cấp dịch vụ internet (ISP) chỉ định cho bạn một địa chỉ IP tạm thời, địa chỉ này thường xuyên thay đổi. Các ISP có xu hướng tính thêm phí nếu bạn muốn có một địa chỉ IP tĩnh. Tin tốt là các bộ định tuyến ngày nay có xu hướng tích hợp DNS động vào cài đặt của chúng.

DNS động cập nhật tên máy chủ bằng địa chỉ IP mới của bạn vào những khoảng thời gian đã định, đảm bảo rằng bạn luôn có thể truy cập vào mạng gia đình của mình. Có nhiều nhà cung cấp cung cấp dịch vụ nói trên, một trong số đó là No-IP thậm chí có một cấp miễn phí . Lưu ý rằng tầng miễn phí sẽ yêu cầu bạn xác nhận tên máy chủ của mình 30 ngày một lần. Đó chỉ là một quá trình kéo dài 10 giây, mà họ nhắc nhở họ phải làm.



Sau khi bạn đã đăng ký, chỉ cần tạo một tên máy chủ. Tên máy chủ của bạn sẽ phải là duy nhất, và thế là xong. Nếu bạn sở hữu bộ định tuyến Netgear, họ cung cấp DNS động miễn phí mà không yêu cầu xác nhận hàng tháng.

cách tạo blog tumblr

Bây giờ, hãy đăng nhập vào bộ định tuyến của bạn và tìm cài đặt DNS động. Điều này sẽ khác nhau giữa các bộ định tuyến, nhưng nếu bạn không tìm thấy nó ẩn trong cài đặt nâng cao, hãy kiểm tra hướng dẫn sử dụng của nhà sản xuất. Bốn cài đặt bạn thường cần nhập sẽ là:

  1. Nhà cung cấp
  2. Tên miền (tên máy chủ bạn vừa tạo)
  3. Tên đăng nhập (địa chỉ email được sử dụng để tạo DNS động của bạn)
  4. Mật khẩu

Nếu bộ định tuyến của bạn không có cài đặt DNS động, No-IP cung cấp phần mềm mà bạn có thể cài đặt trên máy cục bộ của bạn để đạt được kết quả tương tự. Máy này sẽ phải trực tuyến để giữ cho DNS động được cập nhật.

2. Chuyển tiếp hoặc chuyển hướng cổng

Bây giờ bộ định tuyến cần biết nơi để chuyển tiếp kết nối đến. Nó thực hiện điều này dựa trên số cổng có trên kết nối đến. Một thực tiễn tốt ở đây là không sử dụng cổng SSH mặc định, là 22, cho cổng công khai.

Lý do cho việc không sử dụng cổng mặc định là do tin tặc có các trình đánh hơi cổng chuyên dụng. Các công cụ này liên tục kiểm tra các cổng nổi tiếng có thể đang mở trên mạng của bạn. Khi họ nhận thấy rằng bộ định tuyến của bạn đang chấp nhận các kết nối trên một cổng mặc định, họ sẽ bắt đầu gửi các yêu cầu kết nối với tên người dùng và mật khẩu phổ biến.

Mặc dù việc chọn một cổng ngẫu nhiên sẽ không ngăn chặn hoàn toàn những kẻ dò tìm ác tính, nhưng nó sẽ làm giảm đáng kể số lượng yêu cầu đến với bộ định tuyến của bạn. Nếu bộ định tuyến của bạn chỉ có thể chuyển tiếp cùng một cổng thì đó không phải là vấn đề, vì bạn nên đặt máy chủ lưu trữ pháo đài của mình để sử dụng xác thực cặp khóa SSH chứ không phải tên người dùng và mật khẩu.

Cài đặt của bộ định tuyến sẽ trông giống như sau:

  1. Tên dịch vụ có thể là SSH
  2. Giao thức (nên được đặt thành TCP)
  3. Cổng công cộng (phải là cổng cao không phải là 22, sử dụng 52739)
  4. IP riêng (IP của máy chủ pháo đài của bạn)
  5. Cổng riêng (cổng SSH mặc định, là 22)

Căn cứ

Thứ duy nhất mà pháo đài của bạn cần là SSH. Nếu điều này không được chọn tại thời điểm cài đặt, chỉ cần nhập:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

Sau khi SSH được cài đặt, hãy đảm bảo đặt máy chủ SSH của bạn để xác thực bằng khóa thay vì mật khẩu. Đảm bảo rằng IP của máy chủ pháo đài của bạn giống với IP được đặt trong quy tắc chuyển tiếp cổng ở trên.

Chúng tôi có thể chạy thử nghiệm nhanh để đảm bảo mọi thứ đang hoạt động. Để mô phỏng việc ở bên ngoài mạng gia đình của bạn, bạn có thể sử dụng thiết bị thông minh của bạn làm điểm phát sóng trong khi đó là dữ liệu di động. Mở một thiết bị đầu cuối và nhập, thay thế bằng tên người dùng của tài khoản trên máy chủ pháo đài của bạn và bằng thiết lập địa chỉ ở bước A ở trên:

ssh -p 52739 @

Nếu mọi thứ đã được thiết lập chính xác, bây giờ bạn sẽ thấy cửa sổ đầu cuối của máy chủ pháo đài của bạn.

3. Đào hầm

Bạn có thể đào bất cứ thứ gì thông qua SSH (trong phạm vi lý do). Ví dụ: nếu bạn muốn có quyền truy cập vào phần chia sẻ SMB trên mạng gia đình của mình từ internet, hãy kết nối với máy chủ pháo đài của bạn và mở một đường hầm đến phần chia sẻ SMB. Hoàn thành phép thuật này chỉ đơn giản bằng cách chạy lệnh sau:

ssh -L 15445::445 -p 52739 @

Một lệnh thực tế sẽ giống như sau:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Việc chia nhỏ lệnh này rất dễ dàng. Thao tác này kết nối với tài khoản trên máy chủ của bạn thông qua cổng SSH bên ngoài của bộ định tuyến 52739. Mọi lưu lượng cục bộ được gửi đến cổng 15445 (một cổng tùy ý) sẽ được gửi qua đường hầm, sau đó được chuyển tiếp đến máy có IP là 10.1.2.250 và SMB cổng 445.

Nếu bạn muốn thực sự thông minh, chúng tôi có thể đặt bí danh cho toàn bộ lệnh bằng cách gõ:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Bây giờ tất cả những gì bạn phải nhập thiết bị đầu cuối vào sss , và bob là chú của bạn.

Sau khi kết nối được thực hiện, bạn có thể truy cập phần chia sẻ SMB của mình bằng địa chỉ:

smb://localhost:15445

Điều này có nghĩa là bạn sẽ có thể duyệt chia sẻ cục bộ đó từ internet như thể bạn đang ở trên mạng cục bộ. Như đã đề cập, bạn có thể đi sâu vào bất cứ thứ gì với SSH. Ngay cả các máy Windows đã bật màn hình từ xa cũng có thể được truy cập thông qua đường hầm SSH.

tóm tắt lại

Bài viết này đề cập đến nhiều thứ không chỉ là một máy chủ pháo đài, và bạn đã làm rất tốt để đạt được điều này. Có một máy chủ pháo đài sẽ có nghĩa là các thiết bị khác có các dịch vụ bị lộ sẽ được bảo vệ. Nó cũng đảm bảo rằng bạn có thể truy cập các tài nguyên này từ mọi nơi trên thế giới. Hãy chắc chắn ăn mừng với cà phê, sô cô la hoặc cả hai. Các bước cơ bản mà chúng tôi đã đề cập là:

  • Thiết lập DNS động
  • Chuyển tiếp một cổng bên ngoài đến một cổng nội bộ
  • Tạo đường hầm để truy cập tài nguyên cục bộ

Bạn có cần truy cập tài nguyên địa phương từ internet không? Bạn hiện có sử dụng VPN để đạt được điều này không? Bạn đã sử dụng đường hầm SSH trước đây chưa?

Tín dụng hình ảnh: TopVectors / Tiền gửi

Đăng lại Đăng lại tiếng riu ríu E-mail 3 cách để kiểm tra xem một email là thật hay giả

Nếu bạn nhận được một email có vẻ hơi khó hiểu, tốt nhất bạn nên kiểm tra tính xác thực của nó. Dưới đây là ba cách để biết một email có phải là thật hay không.

Đọc tiếp Chủ đề liên quan
  • Linux
  • Bảo vệ
  • Bảo mật trực tuyến
  • Linux
Giới thiệu về tác giả Yusuf Limalia(49 bài báo đã xuất bản)

Yusuf muốn sống trong một thế giới tràn ngập các doanh nghiệp sáng tạo, điện thoại thông minh đi kèm với cà phê rang đậm và máy tính có trường lực kỵ nước giúp đẩy lùi bụi. Là một nhà phân tích kinh doanh và tốt nghiệp Đại học Công nghệ Durban, với hơn 10 năm kinh nghiệm trong ngành công nghệ đang phát triển nhanh chóng, anh ấy thích trở thành người trung gian giữa những người kỹ thuật và phi kỹ thuật và giúp mọi người bắt kịp với công nghệ tiên tiến.

Xem thêm từ Yusuf Limalia

Theo dõi bản tin của chúng tôi

Tham gia bản tin của chúng tôi để biết các mẹo công nghệ, đánh giá, sách điện tử miễn phí và các ưu đãi độc quyền!

Bấm vào đây để đăng ký