단 3단계로 배스천 호스트로 네트워크 보호

단 3단계로 배스천 호스트로 네트워크 보호

외부 세계에서 액세스해야 하는 시스템이 내부 네트워크에 있습니까? 배스천 호스트를 네트워크의 게이트키퍼로 사용하는 것이 솔루션이 될 수 있습니다.





배스천 호스트란?

Bastion은 문자 그대로 요새화된 장소로 번역됩니다. 컴퓨터 용어로 네트워크에서 들어오는 연결과 나가는 연결의 게이트키퍼가 될 수 있는 시스템입니다.



인터넷에서 들어오는 연결을 수락하는 유일한 시스템으로 배스천 호스트를 설정할 수 있습니다. 그런 다음 네트워크에 있는 다른 모든 시스템이 배스천 호스트에서 들어오는 연결만 수신하도록 설정합니다. 이것은 어떤 이점이 있습니까?





무엇보다도 보안. 배스천 호스트는 이름에서 알 수 있듯이 보안이 매우 엄격할 수 있습니다. 침입자에 대한 첫 번째 방어선이 되어 나머지 시스템을 보호할 수 있습니다.

또한 네트워크 설정의 다른 부분을 약간 더 쉽게 만듭니다. 라우터 수준에서 포트를 전달하는 대신 하나의 들어오는 포트를 배스천 호스트로 전달하기만 하면 됩니다. 거기에서 사설 네트워크에서 액세스해야 하는 다른 시스템으로 분기할 수 있습니다. 두려워하지 마십시오. 이것은 다음 섹션에서 다룰 것입니다.



다이어그램

이것은 일반적인 네트워크 설정의 예입니다. 외부에서 홈 네트워크에 액세스해야 하는 경우 인터넷을 통해 들어옵니다. 그러면 라우터가 해당 연결을 배스천 호스트로 전달합니다. 배스천 호스트에 연결되면 네트워크의 다른 컴퓨터에 액세스할 수 있습니다. 마찬가지로 인터넷에서 직접 배스천 호스트 이외의 컴퓨터에 액세스할 수 없습니다.

충분히 미루고, 요새를 사용할 시간입니다.



1. 동적 DNS

당신 중 똑똑한 사람은 인터넷을 통해 홈 라우터에 액세스하는 방법을 궁금해했을 것입니다. 대부분의 인터넷 서비스 제공업체(ISP)는 수시로 변경되는 임시 IP 주소를 할당합니다. ISP는 고정 IP 주소를 원할 경우 추가 요금을 부과하는 경향이 있습니다. 좋은 소식은 최신 라우터에는 동적 DNS가 설정에 포함되는 경향이 있다는 것입니다.

동적 DNS는 설정된 간격으로 새 IP 주소로 호스트 이름을 업데이트하여 항상 홈 네트워크에 액세스할 수 있도록 합니다. 해당 서비스를 제공하는 많은 공급자가 있으며 그 중 하나는 다음과 같습니다. 프리 티어가 있는 No-IP . 프리 티어에서는 30일에 한 번 호스트 이름을 확인해야 합니다. 어쨌든 하라고 상기시키는 10초의 과정입니다.



가입한 후 호스트 이름을 생성하기만 하면 됩니다. 호스트 이름은 고유해야 하며 그게 전부입니다. Netgear 라우터를 소유하고 있다면 월별 확인이 필요하지 않은 무료 동적 DNS를 제공합니다.

크롬은 램 많이 쓰나요?

이제 라우터에 로그인하고 동적 DNS 설정을 찾으십시오. 이것은 라우터마다 다르지만 고급 설정에 숨어 있지 않으면 제조업체의 사용 설명서를 확인하십시오. 일반적으로 입력해야 하는 네 가지 설정은 다음과 같습니다.

  1. 공급자
  2. 도메인 이름(방금 생성한 호스트 이름)
  3. 로그인 이름(동적 DNS를 만드는 데 사용되는 이메일 주소)
  4. 비밀번호

라우터에 동적 DNS 설정이 없는 경우 No-IP는 다음을 수행할 수 있는 소프트웨어를 제공합니다. 로컬 컴퓨터에 설치 동일한 결과를 얻기 위해. 동적 DNS를 최신 상태로 유지하려면 이 시스템이 온라인 상태여야 합니다.

2. 포트 포워딩 또는 리디렉션

라우터는 이제 들어오는 연결을 전달할 위치를 알아야 합니다. 들어오는 연결에 있는 포트 번호를 기반으로 이 작업을 수행합니다. 여기서 좋은 방법은 공용 포트에 대해 기본 SSH 포트인 22를 사용하지 않는 것입니다.

기본 포트를 사용하지 않는 이유는 해커가 전용 포트 스니퍼를 가지고 있기 때문입니다. 이러한 도구는 네트워크에서 열려 있을 수 있는 잘 알려진 포트를 지속적으로 확인합니다. 라우터가 기본 포트에서 연결을 수락하고 있음을 알게 되면 공통 사용자 이름과 암호를 사용하여 연결 요청을 보내기 시작합니다.

임의의 포트를 선택한다고 해서 악성 스니퍼가 완전히 중지되는 것은 아니지만 라우터에 들어오는 요청 수를 크게 줄일 수 있습니다. 라우터가 동일한 포트만 전달할 수 있는 경우 사용자 이름과 암호가 아닌 SSH 키 쌍 인증을 사용하도록 배스천 호스트를 설정해야 하므로 문제가 되지 않습니다.

라우터 설정은 다음과 유사해야 합니다.

  1. SSH가 될 수 있는 서비스 이름
  2. 프로토콜(TCP로 설정해야 함)
  3. 공용 포트(22가 아닌 상위 포트여야 함, 52739 사용)
  4. 사설 IP(배스천 호스트의 IP)
  5. 개인 포트(기본 SSH 포트, 22)

요새

요새에 필요한 유일한 것은 SSH입니다. 설치 시 선택하지 않은 경우 다음을 입력하기만 하면 됩니다.

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

SSH가 설치되면 암호 대신 키로 인증하도록 SSH 서버를 설정해야 합니다. 배스천 호스트의 IP가 위의 포트 전달 규칙에 설정된 것과 동일한지 확인하십시오.

빠른 테스트를 실행하여 모든 것이 제대로 작동하는지 확인할 수 있습니다. 홈 네트워크 외부에 있는 것을 시뮬레이션하려면 다음을 수행할 수 있습니다. 스마트 장치를 핫스팟으로 사용 모바일 데이터에 있습니다. 터미널을 열고 배스천 호스트에 있는 계정의 사용자 이름과 위의 A 단계에서 설정한 주소로 바꾸십시오.

ssh -p 52739 @

모든 것이 올바르게 설정되었으면 이제 배스천 호스트의 터미널 창이 표시됩니다.

3. 터널링

SSH를 통해 거의 모든 것을 터널링할 수 있습니다(이유 내에서). 예를 들어 인터넷에서 홈 네트워크의 SMB 공유에 액세스하려면 배스천 호스트에 연결하고 SMB 공유에 대한 터널을 엽니다. 다음 명령을 실행하여 이 마법을 수행하십시오.

ssh -L 15445::445 -p 52739 @

실제 명령은 다음과 같습니다.

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

이 명령을 분해하는 것은 쉽습니다. 이것은 라우터의 외부 SSH 포트 52739를 통해 서버의 계정에 연결합니다. 포트 15445(임의 포트)로 전송된 모든 로컬 트래픽은 터널을 통해 전송된 다음 IP가 10.1.2.250이고 SMB인 머신으로 전달됩니다. 포트 445.

정말 똑똑해지고 싶다면 다음을 입력하여 전체 명령의 별칭을 지정할 수 있습니다.

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

이제 터미널에 입력하기만 하면 됩니다. sss , 그리고 밥은 당신의 삼촌입니다.

연결이 완료되면 다음 주소로 SMB 공유에 액세스할 수 있습니다.

smb://localhost:15445

즉, 로컬 네트워크에 있는 것처럼 인터넷에서 해당 로컬 공유를 탐색할 수 있습니다. 언급했듯이 SSH를 사용하면 거의 모든 항목에 터널링할 수 있습니다. 원격 데스크톱이 활성화된 Windows 시스템도 SSH 터널을 통해 액세스할 수 있습니다.

요약

이 기사는 단순한 배스천 호스트 그 이상을 다루었으며 여기까지 올 수 있었습니다. 배스천 호스트가 있다는 것은 노출된 서비스가 있는 다른 장치가 보호된다는 것을 의미합니다. 또한 전 세계 어디에서나 이러한 리소스에 액세스할 수 있습니다. 커피, 초콜릿 또는 둘 다로 축하하십시오. 우리가 다룬 기본 단계는 다음과 같습니다.

  • 동적 DNS 설정
  • 외부 포트를 내부 포트로 포워딩
  • 로컬 리소스에 액세스하기 위한 터널 생성

인터넷에서 로컬 리소스에 액세스해야 합니까? 이를 달성하기 위해 현재 VPN을 사용하고 있습니까? 이전에 SSH 터널을 사용한 적이 있습니까?

이미지 크레디트: TopVectors/ Depositphotos

공유하다 공유하다 트위터 이메일 이메일이 진짜인지 가짜인지 확인하는 3가지 방법

다소 의심스러운 이메일을 받았다면 항상 해당 이메일의 진위 여부를 확인하는 것이 가장 좋습니다. 이메일이 진짜인지 확인하는 세 가지 방법이 있습니다.

다음 읽기 관련 항목
  • 리눅스
  • 보안
  • 온라인 보안
  • 리눅스
저자 소개 유수프 리말리아(49개 기사 게재)

Yusuf는 혁신적인 비즈니스, 다크 로스트 커피가 번들로 제공되는 스마트폰, 추가로 먼지를 밀어내는 소수성 포스 필드가 있는 컴퓨터로 가득 찬 세상에서 살고 싶어합니다. 비즈니스 분석가이자 Durban University of Technology를 졸업한 그는 빠르게 성장하는 기술 산업에서 10년 이상의 경험을 가지고 있으며 기술 인력과 비기술 인력 사이의 중간 역할을 하고 모든 사람이 최첨단 기술에 빠르게 적응하도록 돕는 것을 즐깁니다.

Yusuf Limalia가 참여한 작품 더보기

뉴스레터 구독

뉴스레터에 가입하여 기술 팁, 리뷰, 무료 전자책 및 독점 거래를 확인하십시오!

구독하려면 여기를 클릭하세요.