わずか3ステップで要塞ホストを使用してネットワークを保護する

わずか3ステップで要塞ホストを使用してネットワークを保護する

内部ネットワーク上に、外部からアクセスする必要のあるマシンがありますか?ネットワークへのゲートキーパーとして要塞ホストを使用することが解決策になる場合があります。





要塞ホストとは何ですか?

バスティオンは文字通り要塞化された場所に翻訳されます。コンピューター用語では、着信接続と発信接続のゲートキーパーになることができるのはネットワーク上のマシンです。



要塞ホストを、インターネットからの着信接続を受け入れる唯一のマシンとして設定できます。次に、要塞ホストからの着信接続のみを受信するように、ネットワーク上の他のすべてのマシンを設定します。これにはどのような利点がありますか?





何よりも、セキュリティ。要塞ホストは、その名前が示すように、非常に厳しいセキュリティを持つことができます。これは、侵入者に対する最初の防衛線となり、残りのマシンが確実に保護されるようにします。

また、ネットワーク設定の他の部分も少し簡単になります。ルーターレベルでポートを転送する代わりに、1つの着信ポートを要塞ホストに転送する必要があります。そこから、プライベートネットワーク上でアクセスする必要のある他のマシンに分岐できます。恐れることはありません。これについては次のセクションで説明します。



ダイアグラム

これは、一般的なネットワーク設定の例です。外部からホームネットワークにアクセスする必要がある場合は、インターネット経由でアクセスします。その後、ルーターはその接続を要塞ホストに転送します。要塞ホストに接続すると、ネットワーク上の他のマシンにアクセスできるようになります。同様に、インターネットから直接要塞ホスト以外のマシンにアクセスすることはできません。

十分な先延ばし、要塞を使用する時間。



1.ダイナミックDNS

あなたの間の鋭敏さは、インターネットを介してあなたのホームルーターにどのようにアクセスするのか疑問に思っていたかもしれません。ほとんどのインターネットサービスプロバイダー(ISP)は、一時的なIPアドレスを割り当てますが、これは頻繁に変更されます。静的IPアドレスが必要な場合、ISPは追加料金を請求する傾向があります。幸いなことに、現代のルーターでは、ダイナミックDNSが設定に組み込まれている傾向があります。

ダイナミックDNSは、設定された間隔で新しいIPアドレスでホスト名を更新し、いつでもホームネットワークにアクセスできるようにします。上記のサービスを提供するプロバイダーはたくさんありますが、そのうちの1つは 無料枠もあるNo-IP 。無料利用枠では、30日に1回ホスト名を確認する必要があることに注意してください。それはたった10秒のプロセスであり、とにかく実行するように彼らに思い出させます。



サインアップしたら、ホスト名を作成するだけです。ホスト名は一意である必要があり、それだけです。 Netgearルーターを所有している場合は、毎月の確認を必要としない無料のダイナミックDNSを提供します。

私のps4コントローラーが機能しないのはなぜですか

次にルーターにログインし、ダイナミックDNS設定を探します。これはルーターごとに異なりますが、詳細設定で潜んでいることがわからない場合は、製造元のユーザーマニュアルを確認してください。通常入力する必要がある4つの設定は次のとおりです。

  1. プロバイダー
  2. ドメイン名(作成したばかりのホスト名)
  3. ログイン名(ダイナミックDNSの作成に使用される電子メールアドレス)
  4. パスワード

ルーターにダイナミックDNS設定がない場合、No-IPは次のことができるソフトウェアを提供します ローカルマシンにインストールする 同じ結果を達成するために。ダイナミックDNSを最新の状態に保つには、このマシンがオンラインである必要があります。

2.ポートフォワーディングまたはリダイレクション

ルーターは、着信接続をどこに転送するかを知る必要があります。これは、着信接続にあるポート番号に基づいて行われます。ここでの良い習慣は、公開ポートにデフォルトのSSHポートである22を使用しないことです。

デフォルトのポートを使用しない理由は、ハッカーが専用のポートスニファを持っているためです。これらのツールは、ネットワーク上で開いている可能性のある既知のポートを常にチェックします。ルーターがデフォルトのポートで接続を受け入れていることを検出すると、一般的なユーザー名とパスワードを使用して接続要求の送信を開始します。

ランダムなポートを選択しても、悪意のあるスニファを完全に停止することはできませんが、ルーターに送信されるリクエストの数を大幅に減らすことができます。ルーターが同じポートしか転送できない場合は、ユーザー名とパスワードではなくSSHキーペア認証を使用するように要塞ホストを設定する必要があるため、問題はありません。

ルーターの設定は次のようになります。

  1. SSHであることができるサービス名
  2. プロトコル(TCPに設定する必要があります)
  3. パブリックポート(22ではない高ポートである必要があります。52739を使用してください)
  4. プライベートIP(要塞ホストのIP)
  5. プライベートポート(デフォルトのSSHポートは22)

バスティオン

要塞に必要なのはSSHだけです。インストール時にこれが選択されていない場合は、次のように入力します。

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

SSHをインストールしたら、パスワードではなくキーで認証するようにSSHサーバーを設定してください。要塞ホストのIPが、上記のポート転送ルールで設定されているものと同じであることを確認してください。

簡単なテストを実行して、すべてが機能していることを確認できます。ホームネットワークの外にいることをシミュレートするために、次のことができます。 スマートデバイスをホットスポットとして使用する モバイルデータ上にある間。ターミナルを開いて入力し、要塞ホストのアカウントのユーザー名と上記の手順Aで設定したアドレスに置き換えます。

ssh -p 52739 @

すべてが正しくセットアップされていれば、要塞ホストのターミナルウィンドウが表示されます。

3.トンネリング

SSHを介して(理由の範囲内で)ほぼすべてをトンネリングできます。たとえば、インターネットからホームネットワーク上のSMB共有にアクセスしたい場合は、要塞ホストに接続し、SMB共有へのトンネルを開きます。このコマンドを実行するだけで、このソーサリーを達成できます。

ssh -L 15445::445 -p 52739 @

実際のコマンドは次のようになります。

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

このコマンドの分解は簡単です。これは、ルーターの外部SSHポート52739を介してサーバー上のアカウントに接続します。ポート15445(任意のポート)に送信されたローカルトラフィックは、トンネルを介して送信され、IPが10.1.2.250のマシンとSMBに転送されます。ポート445。

本当に賢くしたい場合は、次のように入力してコマンド全体のエイリアスを作成できます。

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

これで、ターミナルに入力する必要があるのは sss 、そしてボブはあなたのおじです。

接続が確立されると、次のアドレスでSMB共有にアクセスできます。

smb://localhost:15445

これは、ローカルネットワーク上にいるかのように、インターネットからそのローカル共有を閲覧できることを意味します。前述のように、SSHを使用すればほとんど何にでもトンネリングできます。リモートデスクトップが有効になっているWindowsマシンでも、SSHトンネルを介してアクセスできます。

要約

この記事では、要塞ホストだけでなく、これまでのところうまくやっています。要塞ホストがあるということは、公開されているサービスを持つ他のデバイスが保護されることを意味します。また、世界中のどこからでもこれらのリソースにアクセスできるようになります。コーヒー、チョコレート、またはその両方でお祝いしてください。ここで取り上げた基本的な手順は次のとおりです。

  • ダイナミックDNSを設定する
  • 外部ポートを内部ポートに転送する
  • ローカルリソースにアクセスするためのトンネルを作成する

インターネットからローカルリソースにアクセスする必要がありますか?現在、これを実現するためにVPNを使用していますか?以前にSSHトンネルを使用したことがありますか?

画像クレジット:TopVectors /

共有 共有 つぶやき Eメール メールが本物か偽物かを確認する3つの方法

少し疑わしいメールを受け取った場合は、その信頼性を確認することをお勧めします。メールが本物かどうかを判断する3つの方法があります。

次を読む 関連トピック
  • Linux
  • 安全
  • オンラインセキュリティ
  • Linux
著者について ユスフ・リマリア(49件の記事が公開されました)

ユスフは、革新的なビジネス、ダークローストコーヒーがバンドルされたスマートフォン、さらにほこりをはじく疎水性の力場を備えたコンピューターで満たされた世界に住みたいと考えています。ダーバン工科大学のビジネスアナリスト兼卒業生として、急速に成長するテクノロジー業界で10年以上の経験があり、技術者と非技術者の仲介役を務め、最先端のテクノロジーを誰もが理解できるよう支援しています。

ユスフ・リマリアのその他の作品

ニュースレターを購読する

ニュースレターに参加して、技術的なヒント、レビュー、無料の電子書籍、限定セールを入手してください。

購読するにはここをクリックしてください