Sécurisez votre réseau domestique : Configurez un hôte bastion en 3 étapes simples

Accédez-vous à des machines de votre réseau interne depuis l'extérieur ? Un hôte bastion, véritable portier de votre infrastructure, est la solution idéale pour renforcer la sécurité.

Qu'est-ce qu'un hôte bastion ?

Le terme "bastion" évoque une fortification imprenable. En informatique, il désigne une machine dédiée de votre réseau, chargée de filtrer les connexions entrantes et sortantes.

Configurez votre hôte bastion comme unique point d'entrée pour les connexions Internet. Les autres machines de votre réseau n'acceptent alors que les connexions provenant de cet hôte bastion. Quels en sont les avantages ?

Principalement une sécurité accrue : cet hôte bastion, renforcé par des mesures strictes, constitue la première ligne de défense contre les intrusions, protégeant ainsi l'ensemble de votre réseau.

De plus, cela simplifie la configuration réseau. Au lieu de multiples redirections de ports sur le routeur, une seule suffit vers l'hôte bastion, qui relaie ensuite les accès internes. Détails à suivre.

Le schéma explicatif

Voici un exemple de configuration réseau typique. Pour accéder à votre réseau domestique depuis l'extérieur, la connexion Internet transite par le routeur vers l'hôte bastion. Une fois connecté à ce dernier, vous accédez aux autres machines. Aucune n'est directement exposée à Internet.

Passez à l'action avec ces trois étapes.

1. DNS dynamique

Comment atteindre votre routeur domestique via Internet ? La plupart des FAI attribuent une IP dynamique, changeante. Les IP statiques sont payantes, mais les routeurs modernes intègrent un DNS dynamique.

Ce service met à jour votre nom d'hôte avec la nouvelle IP à intervalles réguliers. Des fournisseurs comme No-IP offrent un niveau gratuit (confirmation mensuelle en 10 secondes). Les routeurs Netgear proposent un service gratuit sans confirmation.

Inscrivez-vous, créez un nom d'hôte unique.

Dans les paramètres du routeur (souvent avancés), saisissez :

1. Fournisseur
2. Nom de domaine (votre hôte)
3. Nom de connexion (e-mail)
4. Mot de passe

Sans option intégrée, installez le logiciel No-IP sur une machine toujours en ligne.

2. Redirection de port

Le routeur redirige les connexions entrantes selon le port. Évitez le port SSH par défaut (22) en externe pour contrer les scans automatisés des pirates.

Un port non standard réduit drastiquement les attaques. Utilisez l'authentification par clés SSH sur l'hôte bastion.

Configuration type du routeur :

1. Nom du service : SSH
2. Protocole : TCP
3. Port public : 52739 (élevé)
4. IP privée : IP de l'hôte bastion
5. Port privé : 22

Configurer l'hôte bastion

Installez SSH si nécessaire :

sudo apt install openssh-client
sudo apt install openssh-server

Activez l'authentification par clés SSH (pas mots de passe). Vérifiez l'IP.

Testez depuis un appareil mobile (données cellulaires) :

ssh -p 52739 <username>@<dynamicDNSaddress>

Vous devriez voir le terminal de l'hôte bastion.

3. Tunnellisation SSH

SSH permet de tunnelliser divers protocoles. Exemple pour un partage SMB :

ssh -L 15445:<IPAddressOfSMB>:445 -p 52739 <username>@<dynamicDNSAddress>

Exemple concret :

ssh -L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Trafic vers localhost:15445 est relayé vers 10.1.2.250:445 via tunnel.

Créez un alias :

alias sss='ssh -L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Accédez via smb://localhost:15445.

Appliquez à RDP, etc. Accès distant sécurisé comme en local.

Récapitulatif

Ce guide couvre la mise en place d'un hôte bastion : protection des services exposés et accès mondial sécurisé. Étapes clés :

• DNS dynamique
• Redirection de port
• Tunnel SSH

Accédez-vous à des ressources locales via Internet ? Utilisez-vous un VPN ? Avez-vous testé les tunnels SSH ?

Crédit image : TopVectors/Depositphotos