Proteja su red con un host bastión en solo 3 pasos

Proteja su red con un host bastión en solo 3 pasos

¿Tiene máquinas en su red interna a las que necesita acceder desde el mundo exterior? El uso de un host bastión como el guardián de su red puede ser la solución.





¿Qué es un bastión de acogida?

Bastión se traduce literalmente en un lugar fortificado. En términos informáticos, es una máquina en su red que puede ser el guardián de las conexiones entrantes y salientes.



Puede configurar su host bastión como la única máquina que acepta conexiones entrantes de Internet. Luego, a su vez, configure todas las demás máquinas de su red para que solo reciban conexiones entrantes de su host bastión. ¿Qué beneficios tiene esto?





Por encima de todo, seguridad. El host bastión, como su nombre lo indica, puede tener una seguridad muy estricta. Será la primera línea de defensa contra cualquier intruso y garantizará que el resto de sus máquinas estén protegidas.

También facilita un poco otras partes de la configuración de su red. En lugar de reenviar puertos a nivel de enrutador, solo necesita reenviar un puerto entrante a su host bastión. Desde allí, puede diversificarse a otras máquinas a las que necesite acceder en su red privada. No temas, esto se tratará en la siguiente sección.



El diagrama

Este es un ejemplo de una configuración de red típica. Si necesita acceder a su red doméstica desde el exterior, debe ingresar a través de Internet. Su enrutador luego reenviará esa conexión a su host bastión. Una vez conectado a su host bastión, podrá acceder a cualquier otra máquina en su red. Del mismo modo, no habrá acceso a máquinas que no sean el host bastión directamente desde Internet.

Suficiente dilación, es hora de usar bastión.



1. DNS dinámico

Es posible que los astutos se hayan estado preguntando cómo obtendrían acceso a su enrutador doméstico a través de Internet. La mayoría de los proveedores de servicios de Internet (ISP) le asignan una dirección IP temporal, que cambia de vez en cuando. Los ISP tienden a cobrar más si desea una dirección IP estática. La buena noticia es que los enrutadores de hoy en día tienden a tener un DNS dinámico integrado en su configuración.

El DNS dinámico actualiza su nombre de host con su nueva dirección IP a intervalos establecidos, lo que garantiza que siempre pueda acceder a su red doméstica. Son muchos los proveedores que ofrecen dicho servicio, uno de los cuales es Sin IP que incluso tiene un nivel gratuito . Tenga en cuenta que el nivel gratuito requerirá que confirme su nombre de host una vez cada 30 días. Es solo un proceso de 10 segundos, que recuerdan hacer de todos modos.



Una vez que se haya registrado, simplemente cree un nombre de host. Su nombre de host tendrá que ser único, y eso es todo. Si posee un enrutador Netgear, ofrecen un DNS dinámico gratuito que no requerirá una confirmación mensual.

transmitir desde el teléfono a la televisión usando usb

Ahora inicie sesión en su enrutador y busque la configuración de DNS dinámico. Esto diferirá de un enrutador a otro, pero si no lo encuentra al acecho en la configuración avanzada, consulte el manual del usuario del fabricante. Las cuatro configuraciones que normalmente necesita ingresar serán:

  1. El proveedor
  2. Nombre de dominio (el nombre de host que acaba de crear)
  3. Nombre de inicio de sesión (la dirección de correo electrónico utilizada para crear su DNS dinámico)
  4. Contraseña

Si su enrutador no tiene una configuración de DNS dinámica, No-IP proporciona software que puede instalar en su máquina local para lograr el mismo resultado. Esta máquina deberá estar en línea para mantener actualizado el DNS dinámico.

2. Reenvío o redirección de puertos

El enrutador ahora necesita saber dónde reenviar la conexión entrante. Lo hace en función del número de puerto que se encuentra en la conexión entrante. Una buena práctica aquí es no utilizar el puerto SSH predeterminado, que es el 22, para el puerto público.

La razón para no usar el puerto predeterminado es porque los piratas informáticos tienen rastreadores de puertos dedicados. Estas herramientas comprueban constantemente puertos conocidos que puedan estar abiertos en su red. Una vez que descubren que su enrutador acepta conexiones en un puerto predeterminado, comienzan a enviar solicitudes de conexión con nombres de usuario y contraseñas comunes.

Si bien elegir un puerto aleatorio no detendrá por completo a los rastreadores malignos, reducirá drásticamente la cantidad de solicitudes que llegan a su enrutador. Si su enrutador solo puede reenviar el mismo puerto, eso no es un problema, ya que debe configurar su host bastión para usar la autenticación de par de claves SSH y no los nombres de usuario y las contraseñas.

La configuración de un enrutador debería ser similar a esta:

  1. El nombre del servicio que puede ser SSH
  2. Protocolo (debe establecerse en TCP)
  3. Puerto público (debe ser un puerto alto que no sea 22, use 52739)
  4. IP privada (la IP de su host bastión)
  5. Puerto privado (el puerto SSH predeterminado, que es 22)

El bastión

Lo único que necesitará su bastión es SSH. Si no se seleccionó en el momento de la instalación, simplemente escriba:

|_+_|

Una vez que SSH esté instalado, asegúrese de configurar su servidor SSH para que se autentique con claves en lugar de contraseñas. Asegúrese de que la IP de su host bastión sea la misma que la establecida en la regla de reenvío de puertos anterior.

Podemos ejecutar una prueba rápida para asegurarnos de que todo funciona. Para simular estar fuera de su red doméstica, puede use su dispositivo inteligente como un punto de acceso mientras está en datos móviles. Abra una terminal y escriba, reemplazando con el nombre de usuario de una cuenta en su host bastión y con la configuración de la dirección en el paso A anterior:

|_+_|

Si todo se configuró correctamente, ahora debería ver la ventana de terminal de su host bastión.

3. Túneles

Puede canalizar casi cualquier cosa a través de SSH (dentro de lo razonable). Por ejemplo, si desea obtener acceso a un recurso compartido SMB en su red doméstica desde Internet, conéctese a su host bastión y abra un túnel al recurso compartido SMB. Realice esta hechicería simplemente ejecutando este comando:

|_+_|

Un comando real se vería así:

|_+_|

Desglosar este comando es fácil. Esto se conecta a la cuenta en su servidor a través del puerto SSH externo 52739 de su enrutador. Cualquier tráfico local enviado al puerto 15445 (un puerto arbitrario) se enviará a través del túnel, luego se reenviará a la máquina con la IP de 10.1.2.250 y el SMB puerto 445.

Si quieres ser realmente inteligente, podemos aplicar un alias a todo el comando escribiendo:

|_+_|

Ahora todo lo que tienes que escribir en la terminal sss y Bob es tu tío.

Una vez realizada la conexión, puede acceder a su recurso compartido SMB con la dirección:

|_+_|

Esto significa que podrá navegar por ese recurso compartido local desde Internet como si estuviera en la red local. Como se mencionó, puedes hacer un túnel en cualquier cosa con SSH. Incluso se puede acceder a las máquinas Windows que tienen habilitado el escritorio remoto a través de un túnel SSH.

Resumen

Este artículo cubrió mucho más que un anfitrión bastión, y ha hecho bien en llegar hasta aquí. Tener un host bastión significará que los otros dispositivos que tienen servicios que están expuestos estarán protegidos. También garantiza que pueda acceder a estos recursos desde cualquier parte del mundo. Asegúrese de celebrarlo con café, chocolate o ambos. Los pasos básicos que cubrimos fueron:

  • Configurar DNS dinámico
  • Reenviar un puerto externo a un puerto interno
  • Crea un túnel para acceder a un recurso local.

¿Necesita acceder a recursos locales desde Internet? ¿Utiliza actualmente una VPN para lograr esto? ¿Ha utilizado túneles SSH antes?

Crédito de la imagen: TopVectors / Depositphotos

Cuota Cuota Pío Correo electrónico 3 formas de comprobar si un correo electrónico es real o falso

Si ha recibido un correo electrónico que parece un poco dudoso, siempre es mejor verificar su autenticidad. Aquí hay tres formas de saber si un correo electrónico es real.

Leer siguiente Temas relacionados
  • Linux
  • Seguridad
  • Seguridad en línea
  • Linux
Sobre el Autor Yusuf Limalia(49 Artículos publicados)

Yusuf quiere vivir en un mundo lleno de negocios innovadores, teléfonos inteligentes que vienen con café tostado oscuro y computadoras que tienen campos de fuerza hidrófobos que además repelen el polvo. Como analista de negocios y graduado de la Universidad Tecnológica de Durban, con más de 10 años de experiencia en una industria tecnológica en rápido crecimiento, disfruta ser el intermediario entre personas técnicas y no técnicas y ayudar a todos a ponerse al día con la tecnología de punta.

Más de Yusuf Limalia

Suscríbete a nuestro boletín

¡Únase a nuestro boletín de noticias para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!

Haga clic aquí para suscribirse