W przypadku gdy administrator lub inna osoba upoważniona do zarządzania systemem znajduje się poza firmą/instytucją lub jest fizycznie oddalona, może zajść potrzeba połączenia się z urządzeniem poprzez globalną sieć Internet.
Proste podłączenie urządzenia do Internetu i przydzielenie publicznego adresu IP interfejsowi służącemu do zarządzania, zwykle sprawia że w krótkim czasie zostanie ono namierzone przez boty podejmujące się prób automatycznych włamań:
Na załączonym zrzucie ekranu widoczne są standardowe próby poszukiwania podatności przez skanowanie portów przypisanych znanym usługom.
W tym przypadku skaner sieci wykrył otwarty port 22, po czym bot usiłuje zalogować się do urządzenia przez otwartą usługę SSH używając najbardziej popularnych loginów i – prawdopodobnie – znanych lub fabrycznych haseł.
Komunikaty Event Log pozornie nie są niepokojące. System blokuje adres IP na 2 minuty po 3 nieudanych próbach logowania (te parametry możemy zmienić).
W przypadku użycia nietypowego loginu oraz silnego hasła, prawdopodobieństwo włamania przez bota jest zatem praktycznie zerowe; niemniej i takich komunikatów chcielibyśmy uniknąć.
Widoczność urządzenia wyeksponowana w ten sposób, może sprawić że może stać się ono celem cyberprzestępców np. usiłujących ataków DoS lub DDoS.
Aby umożliwić logowanie do urządzenia z zewnątrz przy zachowaniu większego bezpieczeństwa, ustawiamy „furtkę” do zarządzania według schematu:
ZAŁOŻENIA
I. Do urządzenia podłączamy modem z publicznym adresem IP (tu: „95.171.115.177”).
II. Do połączenia wybieramy wolny port, nieużywane przez żadną ze znanych aplikacji/usług (tu: „10012”).
III. Modem posiada funkcję translacji adresów sieciowych (NAT-owania).
1. Konfiguracja modemu (*)
Do niniejszego przykładu posłuży modem Alcatel LINKHUB HH40V.
Wprowadzamy do modemu profil użytkownika nadany przez operatora – dane dostarczane z umową/kartą SIM (tu: zakładka Settings -> Profile Management).
Konfigurujemy dostęp do sieci rozległej (WAN; tu: zakładka Settings -> WAN -> Configure WAN).
Adres zewnętrzny nadany jest przez operatora, zatem pozostajemy przy ustawieniach automatycznych (tu: DHCP; domyślne).
Konfigurujemy dostęp do sieci lokalnej (LAN; tu: zakładka Settings -> LAN).
Od strony sieci lokalnej, zgodnie z założeniami, modem będzie bramką o adresie IP „172.16.0.1”.
Ustawiamy maskę 24-bitową („255.255.255.0”) i statyczną adresację.
Ustawiamy przekierowanie/translację adresów sieciowych (NAT) oraz portów (PAT).
W prezentowanym urządzeniu należy w tym celu wybrać zakładkę Settings -> NAT -> Virtual server [1], nacisnąć znak plusa [+][2] i ustawić pola:
– Name [3] – nazwa usługi (obowiązkowa, tu: „https”)
– LAN IP Address [4] – adres IP hosta w sieci lokalnej, (tu: adres interfejsu do zarządzania urządzeniem Hillstone – „172.16.0.2”)
– LAN port [5] – numer portu, którym otwieramy dostęp do urządzeniu (tu: „443”; domyślny dla protokołu HTTPS)
– WAN port [6] – numer portu, który otwieramy na zewnątrz (tu: „10012”; powszechnie nieużywany)
– Protocol [7] – protokół komunikacyjny, HTTPS wymaga protokołu połączeniowego TCP
– Status [8] – włączamy przekierowanie („On”)
Ustawienia przekierowania zatwierdzamy przyciskiem Apply [9].
(*) – aby konfiguracja modemu GSM według powyższego schematu się powiodła, karta SIM od operatora powinna mieć przydzielony własny (rekomendowany statyczny), publiczny adres IP.
2. Konfiguracja Hillstone
Interfejs
Wybieramy zakładkę Network -> Interface [1], wskazujemy na interfejs (tu: „ethernet0/1”), naciskamy Edit i w oknie Ethernet Interface uzupełniamy pola:
– Binding Zone [2] – strefa powiązana – (tu, dla wszystkich: “Layer 3 Zone”)
– Zone [3] – “untrust”; domyślna niezaufana dla WAN
– Type – typ adresacji – “Static IP”
– IP Address/Netmask [4] – adres IP („172.16.0.2”) i maska sieciowa („255.255.255.0”; 24-bitowa)
– Management [5] – włączamy zarządzanie przez HTTPS
Konfigurację interfejsu zatwierdzamy, naciskając OK.
Routing
Wybieramy zakładkę Network -> Routing -> Destination Route, naciskamy New, a następnie w oknie Destination Route Configuration ustawiamy pola:
– Destination/Netmask [2] – dla adresu docelowego i maski sieciowej wpisujemy wartości zerowe (**)
– Next-hop [3] – wskazujemy interfejs jako następny przeskok – “Interface”
– Interface [4] –interfejs sieciowy realizujący routing (tu: “ethernet0/2”)
– Gateway [5] – adres bramy, wpisujemy adres modemu (tu: „172.16.0.1”)
Konfigurację interfejsu zatwierdzamy, naciskając OK.
(**) – routing na wszystkie możliwe adresy pozwala na zarządzanie zdalne z dowolnego hosta z dostępem do Internetu. Jeśli jego położenie jest ściśle określone i zaadresowane, również adresację routingu możemy odpowiednio zawęzić.
3. Logowanie do urządzenia.
Po wpisaniu do przeglądarki właściwego adresu IP oraz numeru portu, pojawia się panel Hillstone pytający o login i hasło: