わずか 3 ステップで Bastion ホストを使用してコンピュータ ネットワークを保護します

ローカル ネットワーク上に外部アクセスが必要なコンピュータはありますか?要塞ホストをネットワークの「ゲートキーパー」として使用することは、良い解決策となる可能性があります。

バスティオンホストとは何ですか?

バスティオンは文字通り要塞化された場所を意味します。コンピューター用語では、受信接続と送信接続のゲートキーパーとなるネットワーク上のマシンを指します。

Wikipedia の定義: 要塞ホストは、攻撃に耐えるように特別に設計および構成された、ネットワーク上の特殊な目的のコンピューターです。通常、要塞サーバーは単一のアプリケーション (プロキシ サーバーなど)のみをホストし、コンピューターに対する脅威を最小限に抑えるために他のサービスは削除または制限されます。要塞ホストが有線接続されている理由は、その特別な場所と目的のためであり、通常はファイアウォールの外側または DMZ (内部ネットワークとインターネットの間の中立ネットワーク領域) 内にあり、多くの場合、信頼できないネットワークやインターネットからのアクセスが含まれます。コンピューター。

要塞ホストを、インターネットからの接続を受け入れる唯一のマシンとして設定できます。次に、ネットワーク上の他のすべてのマシンを、この要塞ホストからの受信接続のみを受信するように設定します。

この設定の利点はセキュリティです。 Bastion ホストは非常に厳重なセキュリティを提供できます。これは、あらゆる侵入者に対するセキュリティ防御の最前線となり、残りのコンピューターが確実に保護されるようになります。さらに、ネットワークのセットアップも簡単になります。ルーターでポートを転送する代わりに、ポートを Bation ホストに転送するだけでよく、そこからプライベート ネットワークにアクセスする必要がある他のマシンに分岐できます。この問題の詳細については、次のセクションで説明します。

ネットワーク設定図

これは一般的なネットワーク設定の例です。外出先からホーム ネットワークにアクセスする必要がある場合は、インターネット経由でアクセスできます。ルーターはその接続を要塞ホストに転送します。要塞ホストに接続すると、ネットワーク上の他のマシンにアクセスできるようになります。同様に、インターネットから要塞ホスト以外のマシンに直接アクセスすることはできません。

1.ダイナミック ドメイン ネーム システム (ダイナミック DNS )

確かに多くの人が、インターネット経由で自宅のルーターにアクセスする方法を疑問に思っています。ほとんどのインターネット サービス プロバイダー (ISP) は、定期的に変更される一時的な IP アドレスをユーザーに割り当てます。インターネット サービス プロバイダーは、多くの場合、静的 IP アドレスに対して追加料金を請求します。良いニュースは、今日のルーターの設定には動的ドメイン名システムが組み込まれていることが多いということです。

動的ドメイン名システムは、一定の間隔でホスト名を新しい IP アドレスで更新し、ユーザーがいつでもホーム ネットワークにアクセスできるようにします。 Noip.com など、上記のサービスを提供するプロバイダーは数多くあり、無料利用枠もあります。無料利用枠では、30 日ごとにサーバー名の確認が必要になることに注意してください。

ログインしたら、サーバー名を作成するだけです。これは一意である必要があります。 Netgear ルーターを所有している場合は、無料のダイナミックDNSサービスが提供され、毎月の確認は必要ありません。

次に、ルーターにログインし、ダイナミック DNS 設定を探します。ルーターが異なれば設定も異なります。設定方法についてはルーターのユーザーマニュアルを参照してください。通常、次の 4 つの設定に情報を入力する必要があります。

1. サプライヤー
2. ドメイン名（作成したばかりのサーバー名）
3. ユーザー名 (ダイナミック DNS の作成に使用する電子メール アドレス)
4. パスワード

ルーターにダイナミック DNS 設定がない場合、No-IP はコンピュータにインストールできるソフトウェアを提供します。ダイナミック DNS を更新するには、コンピュータが常にオンラインである必要があることに注意してください。

2. ポートの転送またはリダイレクト

今日のルーターは、受信接続のポート番号に基づいて、受信接続をどこに転送するかを認識する必要があります。ハッカーは一般的なポートをチェックしてホーム ネットワークに簡単にアクセスできるツールを持っているため、ユーザーはデフォルトのSSHポート 22を使用しないでください。ルーターがデフォルト ポートでの接続を受け入れていることを認識すると、共通のユーザー名とパスワードを使用して接続要求の送信を開始します。

ランダムなポートを選択してもこの問題を完全に防ぐことはできませんが、ルーターに届くリクエストの数を減らすことができます。ルーターが同じポートのみを転送できる場合は、ユーザー名とパスワードではなく SSH キー認証を使用するように要塞ホストを設定する必要があります。

以下に示すようにルーターを設置します。

1. サービス名は SSH にすることができます
2. プロトコル (TCP に設定する必要があります)
3. パブリックポート (22 ではなく高いポートである必要があり、52739 を使用)
4. プライベート IP アドレス (Bastion ホストの IP)
5. プライベート ポート (デフォルトの SSH ポートは 22)

バスティオン

Bastion に必要なのは SSH だけです。インストール中に SSH が選択されなかった場合は、次のように入力します。

sudo apt install OpenSSHクライアント

sudo apt install OpenSSHサーバー

SSH がインストールされたら、パスワードではなくキーで認証するように SSH サーバーを設定してください。要塞ホストの IP アドレスは、上記の転送ルールで設定された IP アドレスと同じです。

簡単なテストを実行して、すべてが正常に動作することを確認できます。ホーム ネットワークの外側をシミュレートするには、モバイル データを使用してスマート デバイスをホットスポットとして使用できます。ターミナル ウィンドウを開いて入力し、要塞ホスト上のアカウントのユーザー名と上記の手順で設定したアドレスに置き換えます。

ssh -p 52739 @

すべてが正しく設定されている場合は、要塞ホストのターミナル ウィンドウが表示されます。

3.トンネルを作成する

SSH 経由でトンネルを作成します。たとえば、インターネットからホーム ネットワーク上の SMB 共有にアクセスする場合は、次のコマンドを実行して要塞ホストに接続し、SMB 共有へのトンネルを開きます。

ssh -L 15445::445 -p 52739 @

たとえば、上記のコマンドは機能します

ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]

上記のコマンドは、ルーターの外部 SSH ポート 52739 を介してサーバー上のアカウントに接続します。ポート 15445 (任意のポート) に送信されたトラフィックはすべて、トンネルを介して送信され、IP アドレス 10.1.2.250 および SMB ポート 445 のマシンに転送されます。 。

次のように入力して、コマンド全体を匿名化することもできます。

エイリアス sss='ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]'

接続すると、次のアドレスで SMB 共有にアクセスできます。

smb://ローカルホスト:15445

これは、ローカル ネットワーク上にいるかのように、インターネットからローカル共有を参照できることを意味します。

成功を祈っています！

続きを見る：

• 使用説明書と Wi-Fi ネットワークのセキュリティ
• ネットワークのセキュリティと知っておくべきこと
• WiFi ネットワークを KRACK から保護する方法に関する説明