Lindungi Jaringan Anda Dengan Host Bastion Hanya dalam 3 Langkah

Lindungi Jaringan Anda Dengan Host Bastion Hanya dalam 3 Langkah

Apakah Anda memiliki mesin di jaringan internal yang perlu Anda akses dari dunia luar? Menggunakan bastion host sebagai gatekeeper ke jaringan Anda mungkin bisa menjadi solusinya.





Apa Itu Bastion Host?

Bastion diterjemahkan secara harfiah menjadi tempat yang dibentengi. Dalam istilah komputer, ini adalah mesin di jaringan Anda yang dapat menjadi penjaga gerbang untuk koneksi masuk dan keluar.



Anda dapat mengatur bastion host Anda sebagai satu-satunya mesin yang menerima koneksi masuk dari internet. Kemudian, pada gilirannya, atur semua mesin lain di jaringan Anda, untuk hanya menerima koneksi masuk dari bastion host Anda. Apa manfaat yang dimiliki ini?





Di atas segalanya, keamanan. Bastion host, sesuai dengan namanya, bisa memiliki pengamanan yang sangat ketat. Ini akan menjadi garis pertahanan pertama melawan penyusup dan memastikan mesin Anda yang lain terlindungi.

Ini juga membuat bagian lain dari pengaturan jaringan Anda sedikit lebih mudah. Alih-alih meneruskan port di tingkat router, Anda hanya perlu meneruskan satu port masuk ke bastion host Anda. Dari sana, Anda dapat bercabang ke mesin lain yang perlu Anda akses di jaringan pribadi Anda. Jangan takut, ini akan dibahas di bagian selanjutnya.



Diagram

Ini adalah contoh pengaturan jaringan yang khas. Jika Anda memerlukan akses ke jaringan rumah Anda dari luar, Anda akan masuk melalui internet. Router Anda kemudian akan meneruskan koneksi itu ke host bastion Anda. Setelah terhubung ke bastion host Anda, Anda akan dapat mengakses mesin lain di jaringan Anda. Demikian pula, tidak akan ada akses ke mesin selain bastion host langsung dari internet.

Cukup menunda-nunda, saatnya menggunakan bastion.



1. DNS Dinamis

Yang cerdik di antara Anda mungkin bertanya-tanya bagaimana cara mendapatkan akses ke router rumah Anda melalui internet. Sebagian besar penyedia layanan internet (ISP) memberi Anda alamat IP sementara, yang sering berubah. ISP cenderung mengenakan biaya tambahan jika Anda menginginkan alamat IP statis. Kabar baiknya adalah bahwa router modern cenderung memiliki DNS dinamis yang dimasukkan ke dalam pengaturannya.

DNS Dinamis memperbarui nama host Anda dengan alamat IP baru Anda pada interval yang ditentukan, memastikan bahwa Anda selalu dapat mengakses jaringan rumah Anda. Ada banyak provider yang menawarkan layanan tersebut, salah satunya adalah No-IP yang bahkan memiliki tier gratis . Ketahuilah bahwa tingkat gratis akan meminta Anda untuk mengonfirmasi nama host Anda setiap 30 hari sekali. Ini hanya proses 10 detik, yang mereka ingatkan untuk tetap melakukannya.



Setelah Anda mendaftar, cukup buat nama host. Nama host Anda harus unik, dan hanya itu. Jika Anda memiliki router Netgear, mereka menawarkan DNS dinamis gratis yang tidak memerlukan konfirmasi bulanan.

bisakah kamu mendapatkan mode potret di iphone 7

Sekarang login ke router Anda, dan cari pengaturan DNS dinamis. Ini akan berbeda dari router ke router, tetapi jika Anda tidak menemukannya bersembunyi di bawah pengaturan lanjutan, periksa manual pengguna pabrikan Anda. Empat pengaturan yang biasanya perlu Anda masukkan adalah:

  1. Penyedia
  2. Nama domain (nama host yang baru saja Anda buat)
  3. Nama login (alamat email yang digunakan untuk membuat DNS dinamis Anda)
  4. Kata sandi

Jika router Anda tidak memiliki pengaturan DNS dinamis, No-IP menyediakan perangkat lunak yang dapat Anda instal di mesin lokal Anda untuk mencapai hasil yang sama. Mesin ini harus online, untuk menjaga agar DNS dinamis tetap mutakhir.

2. Penerusan atau Pengalihan Port

Router sekarang perlu tahu ke mana harus meneruskan koneksi yang masuk. Ini dilakukan berdasarkan nomor port yang ada pada koneksi masuk. Praktik yang baik di sini adalah tidak menggunakan port SSH default, yaitu 22, untuk port yang menghadap publik.

Alasan untuk tidak menggunakan port default adalah karena peretas memiliki port sniffer khusus. Alat-alat ini terus-menerus memeriksa port terkenal yang mungkin terbuka di jaringan Anda. Begitu mereka menemukan bahwa router Anda menerima koneksi pada port default, mereka mulai mengirim permintaan koneksi dengan nama pengguna dan kata sandi yang sama.

Meskipun memilih port acak tidak akan menghentikan sniffer ganas sama sekali, itu akan secara drastis mengurangi jumlah permintaan yang datang ke router Anda. Jika router Anda hanya dapat meneruskan port yang sama, itu tidak masalah, karena Anda harus mengatur bastion host Anda untuk menggunakan otentikasi keypair SSH dan bukan nama pengguna dan kata sandi.

Pengaturan router akan terlihat seperti ini:

  1. Nama layanan yang dapat berupa SSH
  2. Protokol (harus disetel ke TCP)
  3. Port publik (harus port tinggi yang bukan 22, gunakan 52739)
  4. Private IP (IP host benteng Anda)
  5. Port pribadi (port SSH default, yaitu 22)

Benteng

Satu-satunya hal yang dibutuhkan benteng Anda adalah SSH. Jika ini tidak dipilih pada saat instalasi, cukup ketik:

sudo apt install OpenSSH-client
sudo apt install OpenSSH-server

Setelah SSH diinstal, pastikan untuk mengatur server SSH Anda untuk mengautentikasi dengan kunci, bukan kata sandi . Pastikan IP bastion host Anda sama dengan yang ditetapkan dalam aturan port forward di atas.

Kami dapat menjalankan tes cepat untuk memastikan semuanya berfungsi. Untuk mensimulasikan berada di luar jaringan rumah Anda, Anda dapat gunakan perangkat pintar Anda sebagai hotspot saat menggunakan data seluler. Buka terminal dan ketik, ganti dengan nama pengguna akun di bastion host Anda dan dengan pengaturan alamat pada langkah A di atas:

ssh -p 52739 @

Jika semuanya telah diatur dengan benar, Anda sekarang akan melihat jendela terminal dari bastion host Anda.

3. Terowongan

Anda dapat melakukan tunnel apa saja melalui SSH (dengan alasan). Misalnya, jika Anda ingin mendapatkan akses ke share SMB di jaringan rumah Anda dari internet, sambungkan ke bastion host Anda dan buka terowongan ke share SMB. Selesaikan sihir ini hanya dengan menjalankan perintah ini:

ssh -L 15445::445 -p 52739 @

Perintah yang sebenarnya akan terlihat seperti:

ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net

Memecah perintah ini mudah. Ini terhubung ke akun di server Anda melalui port SSH eksternal router 52739. Setiap lalu lintas lokal yang dikirim ke port 15445 (port arbitrer) akan dikirim melalui terowongan, kemudian diteruskan ke mesin dengan IP 10.1.2.250 dan SMB pelabuhan 445.

Jika Anda ingin benar-benar pintar, kita bisa alias seluruh perintah dengan mengetik:

alias sss='ssh - L 15445:10.1.2.250:445 -p 52739 yusuf@makeuseof.ddns.net'

Sekarang Anda hanya perlu mengetik di terminal sss , dan bob adalah pamanmu.

Setelah koneksi dibuat, Anda dapat mengakses share SMB Anda dengan alamat:

smb://localhost:15445

Ini berarti Anda akan dapat menelusuri pembagian lokal itu dari internet seolah-olah Anda berada di jaringan lokal. Seperti yang disebutkan, Anda dapat melakukan banyak hal dengan SSH. Bahkan mesin Windows yang mengaktifkan desktop jarak jauh dapat diakses melalui terowongan SSH.

rekap

Artikel ini membahas lebih dari sekadar host bastion, dan Anda telah melakukannya dengan baik hingga sejauh ini. Memiliki bastion host berarti perangkat lain yang memiliki layanan yang terpapar akan terlindungi. Ini juga memastikan bahwa Anda dapat mengakses sumber daya ini dari mana saja di dunia. Pastikan untuk merayakannya dengan kopi, cokelat, atau keduanya. Langkah-langkah dasar yang telah kita bahas adalah:

  • Siapkan DNS dinamis
  • Meneruskan port eksternal ke port internal
  • Buat terowongan untuk mengakses sumber daya lokal

Apakah Anda perlu mengakses sumber daya lokal dari internet? Apakah Anda saat ini menggunakan VPN untuk mencapai ini? Pernahkah Anda menggunakan terowongan SSH sebelumnya?

Kredit Gambar: TopVectors/ foto deposit

Membagikan Membagikan Menciak Surel 3 Cara Mengecek Email Asli atau Palsu

Jika Anda menerima email yang terlihat agak meragukan, sebaiknya periksa keasliannya. Berikut adalah tiga cara untuk mengetahui apakah email itu asli.

Baca Selanjutnya Topik-topik yang berkaitan
  • Linux
  • Keamanan
  • Keamanan Daring
  • Linux
Tentang Penulis Yusuf Limalia(49 Artikel Diterbitkan)

Yusuf ingin hidup di dunia yang penuh dengan bisnis inovatif, smartphone yang dilengkapi dengan kopi panggang hitam dan komputer yang memiliki medan gaya hidrofobik yang juga dapat mengusir debu. Sebagai seorang analis bisnis dan lulusan Durban University of Technology, dengan pengalaman lebih dari 10 tahun di industri teknologi yang berkembang pesat, ia menikmati menjadi perantara antara orang-orang teknis dan non-teknis dan membantu semua orang mengikuti perkembangan teknologi mutakhir.

More From Yusuf Limalia

Berlangganan newsletter kami

Bergabunglah dengan buletin kami untuk kiat teknologi, ulasan, ebook gratis, dan penawaran eksklusif!

Klik di sini untuk berlangganan