Protégez votre réseau avec un hôte Bastion en seulement 3 étapes

Protégez votre réseau avec un hôte Bastion en seulement 3 étapes

Avez-vous des machines sur votre réseau interne auxquelles vous devez accéder depuis le monde extérieur ? L'utilisation d'un hôte bastion comme gardien de votre réseau peut être la solution.





Qu'est-ce qu'un hôte bastion ?

Bastion se traduit littéralement par un lieu fortifié. En termes informatiques, il s'agit d'une machine sur votre réseau qui peut être le gardien des connexions entrantes et sortantes.



Vous pouvez définir votre hôte bastion comme la seule machine à accepter les connexions entrantes depuis Internet. Ensuite, à son tour, configurez toutes les autres machines de votre réseau pour qu'elles ne reçoivent que les connexions entrantes de votre hôte bastion. Quels avantages cela a-t-il?





Au-delà de tout, la sécurité. L'hôte bastion, comme son nom l'indique, peut avoir une sécurité très stricte. Ce sera la première ligne de défense contre tout intrus et assurera la protection du reste de vos machines.

Cela facilite également légèrement d'autres parties de la configuration de votre réseau. Au lieu de transférer les ports au niveau du routeur, il vous suffit de transférer un port entrant vers votre hôte bastion. À partir de là, vous pouvez vous connecter à d'autres machines auxquelles vous avez besoin d'accéder sur votre réseau privé. N'ayez crainte, cela sera traité dans la section suivante.



Le diagramme

Ceci est un exemple de configuration réseau typique. Si vous avez besoin d'accéder à votre réseau domestique de l'extérieur, vous entreriez via Internet. Votre routeur transmettra ensuite cette connexion à votre hôte bastion. Une fois connecté à votre hôte bastion, vous pourrez accéder à toutes les autres machines de votre réseau. De même, il n'y aura pas d'accès aux machines autres que l'hôte bastion directement depuis Internet.

Assez de procrastination, il est temps d'utiliser le bastion.



1. DNS dynamique

Les astucieux d'entre vous se sont peut-être demandé comment accéder à votre routeur domestique via Internet. La plupart des fournisseurs de services Internet (FAI) vous attribuent une adresse IP temporaire, qui change de temps en temps. Les FAI ont tendance à facturer des frais supplémentaires si vous vouliez une adresse IP statique. La bonne nouvelle est que les routeurs modernes ont tendance à intégrer un DNS dynamique dans leurs paramètres.

Le DNS dynamique met à jour votre nom d'hôte avec votre nouvelle adresse IP à intervalles réguliers, garantissant que vous pouvez toujours accéder à votre réseau domestique. Il existe de nombreux fournisseurs qui offrent ce service, dont l'un est No-IP qui a même un niveau gratuit . Sachez que le niveau gratuit vous demandera de confirmer votre nom d'hôte une fois tous les 30 jours. C'est juste un processus de 10 secondes, qu'ils rappellent de faire de toute façon.



Après vous être inscrit, créez simplement un nom d'hôte. Votre nom d'hôte devra être unique, et c'est tout. Si vous possédez un routeur Netgear, ils offrent un DNS dynamique gratuit qui ne nécessitera pas de confirmation mensuelle.

comment créer une nouvelle adresse e-mail

Connectez-vous maintenant à votre routeur et recherchez le paramètre DNS dynamique. Cela diffère d'un routeur à l'autre, mais si vous ne le trouvez pas caché dans les paramètres avancés, consultez le manuel d'utilisation de votre fabricant. Les quatre paramètres que vous devez généralement saisir seront :

  1. Le fournisseur
  2. Nom de domaine (le nom d'hôte que vous venez de créer)
  3. Nom de connexion (l'adresse e-mail utilisée pour créer votre DNS dynamique)
  4. Mot de passe

Si votre routeur n'a pas de paramètre DNS dynamique, No-IP fournit un logiciel que vous pouvez installer sur votre machine locale pour arriver au même résultat. Cette machine devra être en ligne, afin de maintenir à jour le DNS dynamique.

2. Redirection ou redirection de port

Le routeur doit maintenant savoir où transférer la connexion entrante. Il le fait en fonction du numéro de port qui se trouve sur la connexion entrante. Une bonne pratique ici est de ne pas utiliser le port SSH par défaut, qui est 22, pour le port public.

La raison pour laquelle vous n'utilisez pas le port par défaut est que les pirates ont des renifleurs de port dédiés. Ces outils recherchent en permanence les ports connus susceptibles d'être ouverts sur votre réseau. Une fois qu'ils constatent que votre routeur accepte les connexions sur un port par défaut, ils commencent à envoyer des demandes de connexion avec des noms d'utilisateur et des mots de passe communs.

Bien que le choix d'un port aléatoire n'arrête pas complètement les renifleurs malveillants, cela réduira considérablement le nombre de requêtes envoyées à votre routeur. Si votre routeur ne peut transférer que le même port, ce n'est pas un problème, car vous devez configurer votre hôte bastion pour utiliser l'authentification par paire de clés SSH et non les noms d'utilisateur et les mots de passe.

Les paramètres d'un routeur devraient ressembler à ceci :

  1. Le nom du service qui peut être SSH
  2. Protocole (doit être défini sur TCP)
  3. Port public (devrait être un port haut qui n'est pas 22, utilisez 52739)
  4. IP privée (l'IP de votre hôte bastion)
  5. Port privé (le port SSH par défaut, qui est 22)

Le Bastion

La seule chose dont votre bastion aura besoin est SSH. Si cela n'a pas été sélectionné au moment de l'installation, tapez simplement :

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

Une fois SSH installé, assurez-vous de configurer votre serveur SSH pour qu'il s'authentifie avec des clés au lieu de mots de passe . Assurez-vous que l'adresse IP de votre hôte bastion est la même que celle définie dans la règle de redirection de port ci-dessus.

Nous pouvons effectuer un test rapide pour nous assurer que tout fonctionne. Pour simuler le fait d'être en dehors de votre réseau domestique, vous pouvez utilisez votre appareil intelligent comme point d'accès pendant qu'il est sur les données mobiles. Ouvrez un terminal et tapez, en remplaçant par le nom d'utilisateur d'un compte sur votre hôte bastion et par l'adresse configurée à l'étape A ci-dessus :

ssh -p 52739 @

Si tout a été configuré correctement, vous devriez maintenant voir la fenêtre de terminal de votre hôte bastion.

3. Tunneling

Vous pouvez tunneler à peu près n'importe quoi via SSH (dans des limites raisonnables). Par exemple, si vous souhaitez accéder à un partage SMB sur votre réseau domestique depuis Internet, connectez-vous à votre hôte bastion et ouvrez un tunnel vers le partage SMB. Accomplissez cette sorcellerie simplement en exécutant cette commande :

ssh -L 15445::445 -p 52739 @

Une commande réelle ressemblerait à quelque chose comme :

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Décomposer cette commande est facile. Celui-ci se connecte au compte sur votre serveur via le port SSH externe 52739 de votre routeur. Tout trafic local envoyé au port 15445 (un port arbitraire) sera envoyé via le tunnel, puis transmis à la machine avec l'IP de 10.1.2.250 et le SMB port 445.

Si vous voulez être vraiment intelligent, nous pouvons créer un alias pour toute la commande en tapant :

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Maintenant, tout ce que vous avez à taper dans le terminal sss , et Bob est ton oncle.

Une fois la connexion établie, vous pouvez accéder à votre partage SMB avec l'adresse :

smb://localhost:15445

Cela signifie que vous pourrez parcourir ce partage local depuis Internet comme si vous étiez sur le réseau local. Comme mentionné, vous pouvez pratiquement accéder à n'importe quoi avec SSH. Même les machines Windows sur lesquelles le bureau à distance est activé sont accessibles via un tunnel SSH.

résumer

Cet article couvrait bien plus qu'un simple hôte bastion, et vous avez bien fait d'aller jusqu'ici. Avoir un hôte bastion signifie que les autres appareils qui ont des services exposés seront protégés. Il garantit également que vous pouvez accéder à ces ressources de n'importe où dans le monde. Assurez-vous de célébrer avec du café, du chocolat ou les deux. Les étapes de base que nous avons couvertes étaient les suivantes :

  • Configurer un DNS dynamique
  • Transférer un port externe vers un port interne
  • Créer un tunnel pour accéder à une ressource locale

Avez-vous besoin d'accéder à des ressources locales à partir d'Internet ? Utilisez-vous actuellement un VPN pour y parvenir ? Avez-vous déjà utilisé des tunnels SSH ?

Crédit d'image : TopVectors/ Depositphotos

Partager Partager Tweeter E-mail 3 façons de vérifier si un e-mail est réel ou faux

Si vous avez reçu un e-mail qui vous semble un peu douteux, il est toujours préférable de vérifier son authenticité. Voici trois façons de savoir si un e-mail est réel.

Lire la suite Rubriques connexes
  • Linux
  • Sécurité
  • Sécurité en ligne
  • Linux
A propos de l'auteur Yusuf Limalia(49 articles publiés)

Yusuf veut vivre dans un monde rempli d'entreprises innovantes, de smartphones fournis avec du café torréfié foncé et d'ordinateurs dotés de champs de force hydrophobes qui repoussent en outre la poussière. En tant qu'analyste commercial et diplômé de l'Université de technologie de Durban, avec plus de 10 ans d'expérience dans une industrie technologique en croissance rapide, il aime être l'intermédiaire entre les personnes techniques et non techniques et aider tout le monde à se familiariser avec la technologie de pointe.

Plus de Yusuf Limalia

Abonnez-vous à notre newsletter

Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives !

Cliquez ici pour vous abonner