Avez-vous des machines sur votre réseau interne auxquelles vous devez accéder depuis le monde extérieur ? L'utilisation d'un hôte bastion comme portier de votre réseau peut être la solution.
Bastion se traduit littéralement par un lieu fortifié. En termes informatiques, il s'agit d'une machine de votre réseau qui peut être le gardien des connexions entrantes et sortantes.
Vous pouvez définir votre hôte bastion comme la seule machine à accepter les connexions entrantes provenant d'Internet. Ensuite, configurez à votre tour toutes les autres machines de votre réseau pour qu'elles ne reçoivent que les connexions entrantes de votre hôte bastion. Quels sont les avantages ?
Au-delà de tout le reste, la sécurité. L'hôte bastion, comme son nom l'indique, peut avoir une sécurité très stricte. Ce sera la première ligne de défense contre tout intrus et assurera la protection du reste de vos machines.
Cela facilite également légèrement les autres parties de la configuration de votre réseau. Au lieu de rediriger les ports au niveau du routeur, il vous suffit de rediriger un port entrant vers votre hôte bastion. À partir de là, vous pouvez vous connecter à d'autres machines auxquelles vous avez besoin d'accéder sur votre réseau privé. N'ayez crainte, cela sera couvert dans la section suivante.
Ceci est un exemple d'une configuration réseau typique. Si vous avez besoin d'accéder à votre réseau domestique de l'extérieur, vous entrerez via Internet. Votre routeur transmettra ensuite cette connexion à votre hôte bastion. Une fois connecté à votre hôte bastion, vous pourrez accéder à toutes les autres machines de votre réseau. De même, il n'y aura pas d'accès aux machines autres que l'hôte bastion directement depuis Internet.
Assez de procrastination, il est temps d'utiliser le bastion.
Les astucieux d'entre vous se sont peut-être demandé comment accéder à votre routeur domestique via Internet. La plupart des fournisseurs de services Internet (FAI) vous attribuent une adresse IP temporaire, qui change de temps en temps. Les FAI ont tendance à facturer des frais supplémentaires si vous vouliez une adresse IP statique. La bonne nouvelle est que les routeurs modernes ont tendance à avoir un DNS dynamique intégré à leurs paramètres.
Le DNS dynamique met à jour votre nom d'hôte avec votre nouvelle adresse IP à des intervalles définis, garantissant que vous pouvez toujours accéder à votre réseau domestique. Il existe de nombreux fournisseurs qui offrent ce service, dont l'un est No-IP qui a même un niveau gratuit. Sachez que le niveau gratuit vous demandera de confirmer votre nom d'hôte une fois tous les 30 jours. C'est juste un processus de 10 secondes, qu'ils rappellent de faire de toute façon.
Après vous être inscrit, créez simplement un nom d'hôte. Votre nom d'hôte devra être unique, et c'est tout. Si vous possédez un routeur Netgear, ils offrent un DNS dynamique gratuit qui ne nécessitera pas de confirmation mensuelle.
Connectez-vous maintenant à votre routeur et recherchez le paramètre DNS dynamique. Cela diffère d'un routeur à l'autre, mais si vous ne le trouvez pas caché dans les paramètres avancés, consultez le manuel d'utilisation de votre fabricant. Les quatre paramètres que vous devez généralement saisir seront :
Si votre routeur n'a pas de paramètre DNS dynamique, No-IP fournit un logiciel que vous pouvez installer sur votre machine locale pour obtenir le même résultat. Cette machine devra être en ligne, afin de maintenir à jour le DNS dynamique.
Le routeur doit maintenant savoir où transférer la connexion entrante. Il le fait en fonction du numéro de port qui se trouve sur la connexion entrante. Une bonne pratique consiste à ne pas utiliser le port SSH par défaut, qui est 22, pour le port public.
La raison de ne pas utiliser le port par défaut est que les pirates ont des renifleurs de port dédiés. Ces outils vérifient en permanence les ports bien connus qui peuvent être ouverts sur votre réseau. Une fois qu'ils constatent que votre routeur accepte les connexions sur un port par défaut, ils commencent à envoyer des demandes de connexion avec des noms d'utilisateur et des mots de passe communs.
Bien que le choix d'un port aléatoire n'arrête pas complètement les renifleurs malveillants, cela réduira considérablement le nombre de requêtes arrivant à votre routeur. Si votre routeur ne peut rediriger que le même port, ce n'est pas un problème, car vous devez configurer votre hôte bastion pour qu'il utilise l'authentification par paire de clés SSH et non les noms d'utilisateur et les mots de passe.
Les paramètres d'un routeur doivent ressembler à ceci :
La seule chose dont votre bastion aura besoin est SSH. Si cela n'a pas été sélectionné au moment de l'installation, tapez simplement :
sudo apt install OpenSSH-client
sudo apt install OpenSSH-server
Une fois SSH installé, assurez-vous de configurer votre serveur SSH pour qu'il s'authentifie avec des clés au lieu de mots de passe. Assurez-vous que l'adresse IP de votre hôte bastion est la même que celle définie dans la règle de transfert de port ci-dessus.
Nous pouvons effectuer un test rapide pour nous assurer que tout fonctionne. Pour simuler l'extérieur de votre réseau domestique, vous pouvez utiliser votre appareil intelligent comme point d'accès lorsqu'il utilise des données mobiles. Ouvrez un terminal et tapez, en remplaçant
ssh -p 52739 @
Si tout a été correctement configuré, vous devriez maintenant voir la fenêtre du terminal de votre hôte bastion.
Vous pouvez tunneliser à peu près n'importe quoi via SSH (dans des limites raisonnables). Par exemple, si vous souhaitez accéder à un partage SMB sur votre réseau domestique à partir d'Internet, connectez-vous à votre hôte bastion et ouvrez un tunnel vers le partage SMB. Accomplissez cette sorcellerie simplement en exécutant cette commande :
ssh -L 15445::445 -p 52739 @
Une commande réelle ressemblerait à :
ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]
Décomposer cette commande est facile. Cela se connecte au compte sur votre serveur via le port SSH externe 52739 de votre routeur. Tout trafic local envoyé au port 15445 (un port arbitraire) sera envoyé via le tunnel, puis transmis à la machine avec l'IP de 10.1.2.250 et le SMB port 445.
Si vous voulez devenir vraiment intelligent, nous pouvons aliaser la commande entière en tapant :
alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 [email protected]'
Maintenant, tout ce que vous avez à taper dans le terminal en sss , et bob est ton oncle.
Une fois la connexion établie, vous pouvez accéder à votre partage SMB avec l'adresse :
smb://localhost:15445
Cela signifie que vous pourrez parcourir ce partage local à partir d'Internet comme si vous étiez sur le réseau local. Comme mentionné, vous pouvez à peu près n'importe quoi avec SSH. Même les machines Windows sur lesquelles le bureau à distance est activé sont accessibles via un tunnel SSH.
Cet article couvrait bien plus qu'un simple hôte bastion, et vous avez bien fait d'aller jusqu'ici. Avoir un hôte bastion signifie que les autres appareils qui ont des services exposés seront protégés. Il garantit également que vous pouvez accéder à ces ressources de n'importe où dans le monde. Assurez-vous de célébrer avec du café, du chocolat ou les deux. Les étapes de base que nous avons couvertes étaient :
Avez-vous besoin d'accéder à des ressources locales sur Internet ? Utilisez-vous actuellement un VPN pour y parvenir ? Avez-vous déjà utilisé des tunnels SSH ?
Crédit d'image :TopVectors/Depositphotos