Gospodarz Bastion to komputer specjalnie przeznaczony do radzenia sobie z atakami o dużej przepustowości w Internecie i zapewnia dostęp do sieci prywatnej z sieci publicznej. Korzystanie z hosta bastion jest łatwe i bezpieczne i można go skonfigurować w środowisku AWS za pomocą instancji EC2. Host bastion jest ustawiony w AWS, ale po skonfigurowaniu wymaga regularnego łatania, konfiguracji i oceny.
W tym artykule omówimy, jak utworzyć hosta bastion w AWS przy użyciu zasobów AWS, takich jak VPC, podsieci, bramy i instancje.
Tworzenie gospodarza bastionu w AWS
Użytkownik musi skonfigurować niektóre ustawienia sieciowe przed utworzeniem instancji dla hosta Bastion. Zacznijmy od procesu konfigurowania bastion host w AWS od zera.
Krok 1: Utwórz nowy VPC
Aby utworzyć nowy VPC w konsoli AWS VPC, po prostu kliknij przycisk „Utwórz VPC”:
W ustawieniach VPC wybierz opcję „Tylko VPC” w zasobach, aby utworzyć. Następnie nazwij VPC i wpisz „10.0.0/16 ”jako IPv4 CIDR:
Kliknij przycisk „Utwórz VPC”:
Krok 2: Edytuj ustawienia VPC
Edytuj ustawienia VPC, najpierw wybierając nowo utworzoną VPC, a następnie wybierając „Edytuj ustawienia VPC” z rozwijania przycisku „Działania”:
Przewiń w dół i wybierz „Włącz nazwy hostów DNS”, a następnie kliknij przycisk „Zapisz”:
Krok 3: Utwórz podsieć
Utwórz podsieć powiązaną z VPC, wybierając opcję „Podsieci” z menu po lewej stronie:
Wybierz VPC, aby podłączyć podsieć do VPC:
Przewiń w dół i dodaj nazwę i strefę dostępności podsieci. Typ „10.0.0.1/24 ”w przestrzeni blokowej IPv4 CIDR, a następnie kliknij przycisk„ Utwórz podsieć ”:
Krok 4: Edytuj ustawienia podsieci
Teraz, gdy podsieć została utworzona, wybierz podsieć i kliknij przycisk „Actions”. W przypadku menu rozwijanego wybierz Ustawienia „Edytuj podsieć”:
Włącz automatyczne przywiązanie do publicznego adresu IPv4 i zapisz:
Krok 5: Utwórz nową podsieć
Teraz utwórz nową podsieć, wybierając przycisk „Utwórz podsieć”:
Połącz podsieć z VPC w taki sam sposób, jak z poprzednią podsiecią:
Wpisz inną nazwę dla tej podsieci i dodaj „10.0.2.0/24 ”jako blok IPv4 CIDR:
Kliknij przycisk „Utwórz podsieć”:
Krok 6: Utwórz bramę internetową
Teraz utwórz bramę internetową, po prostu wybierając opcję „Brama internetowa” z menu po lewej stronie, a następnie klikając przycisk „Utwórz bramę internetową”:
Wymień bramę. Następnie kliknij przycisk „Utwórz bramę internetową”:
Krok 7: Połącz bramę do VPC
Teraz ważne jest, aby dołączyć nowo utworzoną bramę internetową z VPC, którego używamy w tym procesie. Wybierz więc nowo utworzoną bramę internetową, a następnie kliknij przycisk „Actions” i z menu rozwijanego przycisku „Actions”, wybierz opcję „Załącz do VPC”:
Zaatakuj VPC i kliknij przycisk „Dołącz bramę internetową”:
Krok 8: Edytuj konfigurację tabeli tras
Wyświetl listę tabel tras utworzonych domyślnie, po prostu klikając opcję „Tabele trasy” z menu po lewej stronie. Wybierz tabelę trasy powiązaną z VPC używanym w tym procesie. Nazwaliśmy VPC „myDemovPC” i można go odróżnić od innych tabel tras, przeglądając kolumnę VPC:
Przewiń w dół do szczegółów wybranej tabeli tras i przejdź do sekcji „trasy”. Stamtąd kliknij opcję „Edytuj trasy”:
Kliknij „Dodaj trasy”:
Dodaj „0.0.0.0/0 ”jako IP docelowy i wybierz„ Gateway Internet ”z listy wyświetlonej dla„ Target ”:
Wybierz nowo utworzoną bramę jako cel:
Kliknij „Zapisz zmiany”:
Krok 9: Edytuj skojarzenia podsieci
Następnie przejdź do sekcji „Związki podsieciowe” i kliknij „Edytuj skojarzenia podsieci”:
Wybierz publiczną podsieć. Nazwaliśmy publiczną podsieć „myDemosubnet”. Kliknij przycisk „Zapisz skojarzenia”:
Krok 10: Utwórz bramę NAT
Teraz utwórz bramę NAT. W tym celu wybierz opcje „Nat Gateways” z menu, a następnie kliknij opcję „Utwórz Nat Gateway”:
Nazwij najpierw bramę NAT, a następnie skojarz VPC z bramą NAT. Ustaw typ łączności jako publiczny, a następnie kliknij „Allate Elastic IP”:
Kliknij „Utwórz Nat Gateway”:
Krok 11: Utwórz nową tabelę tras
Teraz użytkownik może również ręcznie dodać tabelę tras, a aby to zrobić, użytkownik musi kliknąć przycisk „Utwórz tabelę trasy”:
Nazwij tabelę tras. Następnie powiązaj VPC z tabelą tras, a następnie kliknij opcję „Utwórz tabelę trasy”:
Krok 12: Edytuj trasy
Po utworzeniu tabeli trasy przewijaj w dół do sekcji „trasy”, a następnie kliknij „Edytuj trasy”:
Dodaj nową trasę w tabeli tras z „Target” zdefiniowanym jako brama NAT utworzona w poprzednich krokach:
Kliknij opcje „Edytuj skojarzenia podsieci”:
Tym razem wybierz „prywatną podsieć”, a następnie kliknij „Zapisz skojarzenia”:
Krok 13: Utwórz grupę bezpieczeństwa
Grupa bezpieczeństwa jest zobowiązana do ustalenia i zdefiniowania reguł związanych i poza nimi:
Utwórz grupę bezpieczeństwa, najpierw dodając nazwę grupy bezpieczeństwa, dodając opis, a następnie wybierając VPC:
Dodaj „SSH” w typu dla nowych zasad związanych z Inn:
Krok 14: Uruchom nową instancję EC2
Kliknij przycisk „Instancja uruchom” w konsoli zarządzania EC2:
Nazwij instancję i wybierz AMI. Wybieramy „Amazon Linux” jako AMI dla instancji EC2:
Skonfiguruj „Ustawienia sieciowe”, dodając VPC i prywatną podsieć do IPv4 CIDR „10.0.2.0/24 ”:
Wybierz grupę bezpieczeństwa utworzoną dla hosta Bastion:
Krok 15: Uruchom nową instancję
Skonfiguruj ustawienia sieciowe, kojarząc VPC, a następnie dodając podsieć publiczną, aby użytkownik mógł użyć tej instancji do połączenia z komputerem lokalnym:
W ten sposób powstają oba instancje EC2. Jeden ma podsieć publiczną, a drugi ma prywatną podsieć:
Krok 16: Połącz się z komputerem lokalnym
W ten sposób host bastion jest tworzony w AWS. Teraz użytkownik może podłączyć komputer lokalny z instancjami za pośrednictwem SSH lub RDP:
Wklej skopiowane polecenie SSH do terminala z lokalizacją pliku pary klawisza prywatnego formatu „PEM”:
W ten sposób host bastion jest tworzony i używany w AWS.
Wniosek
Host bastion służy do ustanowienia bezpiecznego połączenia między sieciami lokalnymi i publicznymi oraz do zapobiegania atakom. Jest skonfigurowany w AWS przy użyciu instancji EC2, jeden powiązany z prywatną podsiecią, a drugi z podsiecią publiczną. Instancja EC2 z publiczną konfiguracją podsieci jest następnie wykorzystywana do budowy połączenia między siecią lokalną i publiczną. W tym artykule dobrze wyjaśniono, jak utworzyć gospodarza bastionu w AWS.