Schützen Sie Ihr Computernetzwerk mit Bastion Host in nur 3 Schritten

Schützen Sie Ihr Computernetzwerk mit Bastion Host in nur 3 Schritten

Gibt es Computer in Ihrem lokalen Netzwerk, die externen Zugriff benötigen? Die Verwendung eines Bastion-Hosts als „Gatekeeper“ für Ihr Netzwerk kann eine gute Lösung sein.

Was ist Bastion Host ?

Bastion bedeutet wörtlich übersetzt „befestigter Ort“. In der Computersprache handelt es sich um eine Maschine in einem Netzwerk, die als Gatekeeper für ein- und ausgehende Verbindungen fungieren kann.

Wikipedia-Definition: Ein Bastion Host ist ein Spezialcomputer im Netzwerk, der speziell dafür konzipiert und konfiguriert ist, Angriffen standzuhalten. Ein Bastionserver hostet normalerweise nur eine einzige Anwendung, beispielsweise einen Proxyserver . Andere Dienste werden entfernt oder eingeschränkt, um Bedrohungen für den Computer zu minimieren. Der Grund dafür, dass der Bastion-Host fest verdrahtet ist, liegt in seinem besonderen Standort und Zweck, der sich normalerweise außerhalb der Firewall oder in der DMZ (einem neutralen Netzwerkbereich zwischen dem internen Netzwerk und dem Internet) befindet und oft den Zugriff von nicht vertrauenswürdigen Netzwerken beinhaltet Computers.

Sie können den Bastion Host als einzigen Computer einrichten, der Verbindungen aus dem Internet akzeptiert. Anschließend richten Sie wiederum alle anderen Maschinen im Netzwerk so ein, dass sie nur eingehende Verbindungen von diesem Bastion-Host empfangen.

Der Vorteil dieses Setups ist die Sicherheit. Bastion-Hosts können eine sehr strenge Sicherheit bieten. Es wird die erste Sicherheitslinie gegen Eindringlinge sein und sicherstellen, dass die verbleibenden Computer geschützt sind. Darüber hinaus erleichtert es auch die Netzwerkeinrichtung. Anstatt Ports am Router weiterzuleiten , müssen Sie lediglich einen Port an den Bation-Host weiterleiten. Von dort aus können Sie zu anderen Computern verzweigen, die auf das private Netzwerk zugreifen müssen. Einzelheiten zum Problem werden im nächsten Abschnitt erwähnt.

Netzwerk-Setup-Diagramm

Schützen Sie Ihr Computernetzwerk mit Bastion Host in nur 3 Schritten

Dies ist ein Beispiel für ein typisches Netzwerk-Setup. Wenn Sie von außen auf Ihr Heimnetzwerk zugreifen müssen, können Sie dies über das Internet tun. Der Router leitet diese Verbindung an den Bastion-Host weiter. Sobald Sie mit dem Bastion-Host verbunden sind, können Sie auf jeden anderen Computer im Netzwerk zugreifen. Ebenso wird es keinen direkten Zugriff aus dem Internet auf andere Maschinen als den Bastion-Host geben.

1. Dynamisches Domain Name System ( Dynamic DNS )

Sicherlich fragen sich viele, wie man zu Hause über das Internet auf den Router zugreifen kann. Die meisten Internetdienstanbieter (ISPs) weisen Benutzern eine temporäre IP-Adresse zu, die sich regelmäßig ändert. Internetanbieter verlangen oft einen Aufpreis für eine statische IP-Adresse . Die gute Nachricht ist, dass heutige Router oft über ein dynamisches Domain-Name-System in den Einstellungen verfügen.

Das dynamische Domain-Name-System aktualisiert Hostnamen in bestimmten Abständen mit neuen IP-Adressen und stellt so sicher, dass Benutzer jederzeit auf ihr Heimnetzwerk zugreifen können. Es gibt viele Anbieter mit dem oben genannten Service wie Noip.com, das sogar eine kostenlose Stufe anbietet. Beachten Sie, dass im kostenlosen Kontingent alle 30 Tage eine Bestätigung des Servernamens erforderlich ist.

Schützen Sie Ihr Computernetzwerk mit Bastion Host in nur 3 Schritten

Sobald Sie angemeldet sind, erstellen Sie einfach einen Servernamen, der eindeutig sein muss. Wenn Sie einen Netgear-Router besitzen, bietet dieser einen kostenlosen dynamischen DNS- Dienst und erfordert keine monatliche Bestätigung.

Schützen Sie Ihr Computernetzwerk mit Bastion Host in nur 3 Schritten

Melden Sie sich nun bei Ihrem Router an und suchen Sie nach dynamischen DNS-Einstellungen. Verschiedene Router haben unterschiedliche Einstellungen. Informationen zur Einrichtung finden Sie im Benutzerhandbuch des Routers. Normalerweise müssen Sie in den folgenden vier Einstellungen Informationen eingeben:

  1. Anbieter
  2. Domänenname (soeben erstellter Servername)
  3. Benutzername (E-Mail-Adresse, die zum Erstellen von dynamischem DNS verwendet wird)
  4. Passwort

Wenn Ihr Router nicht über dynamische DNS-Einstellungen verfügt, stellt No-IP Software zur Verfügung, die auf Ihrem Computer installiert werden kann. Beachten Sie, dass der Computer immer online sein muss, um dynamisches DNS zu aktualisieren.

2. Ports weiterleiten oder umleiten

Heutige Router müssen anhand der Portnummer der eingehenden Verbindung wissen, wohin eingehende Verbindungen weitergeleitet werden sollen. Benutzer sollten nicht den Standard- SSH- Port 22 verwenden, da Hacker über Tools verfügen, mit denen sie gängige Ports überprüfen und problemlos auf Ihr Heimnetzwerk zugreifen können. Sobald sie feststellen, dass der Router Verbindungen über einen Standardport akzeptiert, beginnen sie, Verbindungsanfragen mit einem gemeinsamen Benutzernamen und Passwort zu senden.

Obwohl die Auswahl zufälliger Ports dieses Problem nicht vollständig verhindert, kann dadurch die Anzahl der beim Router eintreffenden Anfragen verringert werden. Wenn Ihr Router nur denselben Port weiterleiten kann, sollten Sie den Bastion Host so einstellen, dass er die SSH-Schlüsselauthentifizierung und nicht Benutzername und Passwort verwendet.

Installieren Sie den Router wie unten gezeigt:

Schützen Sie Ihr Computernetzwerk mit Bastion Host in nur 3 Schritten

  1. Der Dienstname kann SSH sein
  2. Protokoll (sollte auf TCP eingestellt sein)
  3. Öffentlicher Port (sollte ein hoher Port sein, nicht 22, verwenden Sie 52739)
  4. Private IP-Adresse (IP des Bastion-Hosts)
  5. Privater Port (Standard-SSH-Port ist 22)

Bastion

Das Einzige, was Bastion braucht, ist SSH. Wenn SSH während der Installation nicht ausgewählt wurde, geben Sie einfach Folgendes ein:

sudo apt installiert den OpenSSH-Client

sudo apt installiert den OpenSSH-Server

Stellen Sie nach der Installation von SSH sicher, dass Sie den SSH-Server so einrichten, dass er sich mit einem Schlüssel statt mit einem Passwort authentifiziert. Die IP-Adresse des Bastion-Hosts ist dieselbe wie die in der Weiterleitungsregel oben festgelegte IP-Adresse.

Sie können einen kurzen Test durchführen, um sicherzustellen, dass alles einwandfrei funktioniert. Um außerhalb Ihres Heimnetzwerks zu simulieren, können Sie Ihr Smart-Gerät mithilfe mobiler Daten als Hotspot verwenden. Öffnen Sie ein Terminalfenster und geben Sie Folgendes ein. Ersetzen Sie es durch den Benutzernamen eines Kontos auf dem Bastion-Host und durch die im obigen Schritt eingerichtete Adresse:

ssh -p 52739 @

Wenn alles korrekt eingerichtet wurde, sehen Sie das Bastion-Host-Terminalfenster.

3. Tunnel erstellen

Sie erstellen einen Tunnel über SSH. Wenn Sie beispielsweise über das Internet auf eine SMB-Freigabe in Ihrem Heimnetzwerk zugreifen möchten, stellen Sie eine Verbindung zum Bastion Host her und öffnen Sie einen Tunnel zur SMB-Freigabe, indem Sie den folgenden Befehl ausführen:

ssh -L 15445::445 -p 52739 @

Beispielsweise funktioniert der obige Befehl

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Der obige Befehl stellt über den externen SSH-Port 52739 des Routers eine Verbindung zum Konto auf Ihrem Server her. Jeglicher an Port 15445 (ein beliebiger Port) gesendete Datenverkehr wird durch den Tunnel gesendet und dann an den Computer mit der IP-Adresse 10.1.2.250 und dem SMB-Port 445 weitergeleitet .

Sie können den gesamten Befehl auch anonymisieren, indem Sie Folgendes eingeben:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Schützen Sie Ihr Computernetzwerk mit Bastion Host in nur 3 Schritten

Sobald die Verbindung hergestellt ist, können Sie mit der Adresse auf die SMB-Freigabe zugreifen:

smb://localhost:15445

Schützen Sie Ihr Computernetzwerk mit Bastion Host in nur 3 Schritten

Dies bedeutet, dass Sie die lokale Freigabe aus dem Internet durchsuchen können, als ob Sie sich im lokalen Netzwerk befänden.

Ich wünsche Ihnen viel Erfolg!

Mehr sehen:


So blockieren Sie den Internetzugriff mithilfe von Gruppenrichtlinien (GPO)

So blockieren Sie den Internetzugriff mithilfe von Gruppenrichtlinien (GPO)

In diesem Artikel erfahren Sie, wie Sie den Internetzugriff für Benutzer oder Computer im Active Directory-Gruppenrichtlinienobjekt blockieren. Lernen Sie effektive Methoden, moderne Sicherheitsprotokolle und Best Practices kennen.

Warum müssen wir USB formatieren? Wie formatiere ich USB?

Warum müssen wir USB formatieren? Wie formatiere ich USB?

Das Formatieren eines USB-Sticks ähnelt dem Formatieren jedes anderen Laufwerks. Hier erfahren Sie, warum und wie Sie USB formatieren sollten, um optimale Ergebnisse zu erzielen.

Beheben Sie den Fehler „Game Security Violation Detected“ in Windows 10

Beheben Sie den Fehler „Game Security Violation Detected“ in Windows 10

Wenn beim Starten eines Spiels unter Windows 10 der Fehler „Game Security Violation Detected“ angezeigt wird, sind die Lösungen einfach und effektiv. Hier erfahren Sie, wie Sie dieses Problem beheben können.

So wechseln Sie die Lautsprecher mit Tastenkombinationen unter Windows 10

So wechseln Sie die Lautsprecher mit Tastenkombinationen unter Windows 10

Wechseln Sie mühelos zwischen Audiogeräten unter Windows 10 mit Tastenkombinationen. Erfahren Sie, wie Sie den Audio-Umschalter effizient nutzen.

8 Möglichkeiten, MSConfig in Windows 11 zu öffnen

8 Möglichkeiten, MSConfig in Windows 11 zu öffnen

Entdecken Sie 8 einfache Möglichkeiten, MSConfig in Windows 11 zu öffnen, um zahlreiche Probleme effizient zu beheben.

4 gefälschte Viren, die zum Spaß Freunde trollen

4 gefälschte Viren, die zum Spaß Freunde trollen

Freunde und Familienmitglieder zu trollen macht Spaß mit diesen harmlosen gefälschten Viren. Hier sind vier kreative Ideen, um Ihre Freunde zum Lachen zu bringen.

Unterschied zwischen Virtualisierung und Emulation

Unterschied zwischen Virtualisierung und Emulation

Entdecken Sie die Unterschiede zwischen Virtualisierung und Emulation sowie deren Vor- und Nachteile. Erfahren Sie, wie diese Technologien in modernen IT-Umgebungen eingesetzt werden.

So aktivieren oder deaktivieren Sie Device Guard unter Windows 10

So aktivieren oder deaktivieren Sie Device Guard unter Windows 10

Device Guard ist ein wichtiges Sicherheitsfeature in Windows 10, das sicherstellt, dass nur vertrauenswürdige Anwendungen ausgeführt werden. So aktivieren oder deaktivieren Sie es.

So verwenden Sie vDOS, um alte DOS-Programme unter Windows 10 auszuführen

So verwenden Sie vDOS, um alte DOS-Programme unter Windows 10 auszuführen

Erfahren Sie, wie Sie vDOS verwenden, um alte DOS-Software unter Windows 10 auszuführen. Dieser Emulator ist ideal für die Nutzung älterer Programme, bietet jedoch keine optimale Lösung für Spiele.

3 Möglichkeiten, USB Selective Suspend in Windows 11 zu deaktivieren

3 Möglichkeiten, USB Selective Suspend in Windows 11 zu deaktivieren

Wenn Sie Probleme mit USB-Geräten auf Ihrem Windows 11-Computer haben, sollten Sie die Funktion „USB Selective Suspend“ deaktivieren.