Создание бастионного хоста

Если вы когда-нибудь интересовались строительством древних фортификационных сооружений, то слово «бастион» должно быть вам знакомо. Бастионом назывался элемент внешней стены крепости, выступающий за ее основной контур. Как и средневековые крепости, компьютерные сети нуждаются в многоуровневой защите от внешнего вторжения. Роль бастионов в сетях выполняют так называемые бастионные хосты, образующие часть сетевого периметра.

Бастионный хост — это виртуальная машина, которой присваивается публичный IP-адрес для доступа по протоколу SSH. Настроив бастионный хост, вы получаете своего рода джамп-сервер, который позволяет установить защищенное соединение с виртуальными машинами, не имеющими публичных IP-адресов. В этом руководстве вы узнаете о том, как можно развернуть бастионный хост и защитить доступ к удаленным виртуальным машинам, расположенным внутри вашего виртуального частного облака.

Таким образом, создание бастионного хоста позволит вам снизить уязвимость серверов в своем виртуальном частном облаке. При этом административные задачи на конкретных серверах будут выполняться в рамках прокси-соединения через бастионный хост по SSH.

Чтобы создать бастионный хост:

1. Подготовьте облако к работе.
2. Создайте пару ключей SSH.
3. Создайте сети.
4. Создайте группы безопасности.
5. Зарезервируйте статический публичный IP-адрес.
6. Создайте виртуальную машину для бастионного хоста.
7. Протестируйте бастионный хост.
8. Добавьте виртуальный сервер во внутренний сегмент бастионного хоста.
9. Подключитесь к созданной ВМ.

Если созданные ресурсы вам больше не нужны, удалите их.

Перед началом работы

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Необходимые платные ресурсы

В стоимость поддержки инфраструктуры входит:

• плата за диски и постоянно запущенные ВМ (см. тарифы Yandex Compute Cloud);
• плата за использование внешнего IP-адреса (см. тарифы Yandex Virtual Private Cloud).

Создайте пару ключей SSH

Чтобы подключаться к виртуальной машине по SSH, нужна пара ключей: открытый ключ размещается на ВМ, а закрытый ключ хранится у пользователя. Такой способ более безопасен, чем подключение по логину и паролю.

Роутер Cisco Cloud Services Router (CSR) 1000v поддерживает только ключи, сгенерированные по алгоритму RSA.

Чтобы создать пару ключей:

Создайте внешнюю и внутреннюю сети

Создайте внешнюю сеть и подсеть

Создайте внутреннюю сеть и подсеть

Создайте группы безопасности

Создайте группу безопасности бастионного хоста

Создайте группу безопасности и настройте правила для входящего трафика на бастионном хосте, чтобы обеспечить к нему доступ из интернета:

Создайте группу безопасности для внутренних хостов

Создайте группу безопасности и настройте правила для входящего трафика, идущего с бастионного хоста на внутренние хосты:

Зарезервируйте статический публичный IP-адрес

Для работы бастионному хосту потребуется статический публичный IP-адрес.

Создайте виртуальную машину для бастионного хоста

После того как вы создали подсеть и группу безопасности, перейдите к созданию виртуального сервера для бастионного хоста:

Протестируйте бастионный хост

После запуска бастионного хоста попробуйте подключиться к нему через SSH-клиент:

ssh -i ~/.ssh/<имя_файла_приватного_ключа> bastion@<публичный_IP_адрес_бастионного_хоста>

Добавьте виртуальный сервер во внутренний сегмент бастионного хоста

Для администрирования ваших серверов добавьте сетевой интерфейс во внутренний сетевой сегмент бастионного хоста — bastion-internal-segment.

Если у вас уже создана виртуальная машина, добавьте к ней дополнительный сетевой интерфейс. Если нет — создайте новую машину для тестирования конфигурации бастионного хоста:

Подключитесь к созданной ВМ

Подключаясь к ВМ по протоколу SSH через внутренний IP-адрес, вы будете использовать бастионный хост в роли джамп-хоста.

Для упрощения SSH-доступа и его настройки добавьте параметр -J (ProxyJump) в команду SSH:

ssh -i ~/.ssh/<имя_файла_приватного_ключа> -J bastion@<публичный_IP_адрес_бастионного_хоста> test@<внутренний_IP_адрес_виртуального_сервера>

SSH-клиент автоматически подключится к внутреннему серверу.

Флаг -J поддерживается в OpenSSH начиная с версии 7.3. В более ранних версиях -J недоступен. В таком случае самый безопасный и простой способ — это использовать перенаправление стандартного ввода-вывода (флаг -W) для «проброса» соединения через бастионный хост. Например:

ssh -i ~/.ssh/<имя_файла_приватного_ключа> -o ProxyCommand="ssh -W %h:%p bastion@<публичный_IP_адрес_бастионного_хоста>" test@<внутренний_IP_адрес_виртуального_сервера>

Дополнительные опции подключения

Использование SSH-агента для подключения через бастионный хост

По умолчанию доступ к серверу настраивается только для аутентификации с помощью публичного SSH-ключа. Не рекомендуется хранить ключи на самих бастионных хостах (в особенности без кодовой фразы). Поэтому лучше использовать SSH-агент. В таком случае приватные SSH-ключи будут храниться только на вашем компьютере, и их можно будет безопасно использовать для аутентификации на следующем сервере.

Добавить ключ в аутентификационный агент можно с помощью команды ssh-add. Если ключ хранится в файле ~/.ssh/id_rsa, он будет добавлен автоматически. Вы также можете указать, какой конкретно ключ нужно использовать, при помощи следующей команды:

ssh-add <путь_к_файлу_ключа>

Пользователи macOS могут настроить у себя файл ~/.ssh/config. Тогда ключи можно будет загрузить в агент при помощи следующей команды:

AddKeysToAgent yes

Эта команда подключения к бастионному хосту позволяет пробросить агент и войти на следующий сервер, передавая учетные данные с локальной машины:

ssh -A bastion@<публичный_IP_адрес_бастионного_хоста>

Пользователи Windows могут использовать агент Pageant и загрузить в него свой файл приватного ключа. Затем, чтобы обеспечить проброс агента, нужно в окне настроек PuTTY выбрать Соединение → SSH → Аутентификация.

Доступ к сервисам через SSH-туннели

Иногда одного SSH-доступа недостаточно для выполнения поставленной задачи. В таких ситуациях SSH-туннели дают возможность с легкостью подключаться к веб-приложениям и другим сервисам, обрабатывающим входящие подключения.

Основные типы SSH-туннелей — локальные, удаленные и динамические:

• Локальный туннель предоставляет открытый порт на локальном интерфейсе обратной связи, который подключается к адресу IP:порт на вашем SSH-сервере.

  Например, можно подключить локальный порт 8080 к адресу IP_адрес_веб_сервера:80, который доступен с вашего бастионного хоста, а затем в браузере открыть http://localhost:8080:

  ssh bastion@<публичный_IP_адрес_бастионного_хоста> -L 8080:<IP_адрес_веб_сервера>:80
  

• Удаленный туннель работает в обратном, по отношению к локальному туннелю, направлении, открывая локальный порт для подключения к удаленному серверу.

• Динамический туннель предоставляет SOCKS-прокси на локальном порту, при этом подключения устанавливаются с удаленного хоста. Например, можно настроить динамический туннель на порту 1080, а затем в браузере указать его как SOCKS-прокси. В итоге вы сможете подключаться ко всем ресурсам, которые доступны с вашего бастионного хоста и находятся в приватной подсети.

  ssh bastion@<публичный_IP_адрес_бастионного_хоста> -D 1080
  

Эти методики основаны на простой замене, при которой зачастую требуется VPN-подключение, а также сочетание с подключениями ProxyJump или ProxyCommand.

Пользователи Windows могут настроить туннели через PuTTY, выбрав Подключение → SSH → Туннели.

Для простого установления подключений к сервисам удаленного рабочего стола (Remote Desktop Services, RDS) — т.е. работающим хостам Windows в облаке — можно использовать переадресацию портов (в особенности, локальную) путем установления туннельного подключения на порт 3389 и последующего подключения к localhost через RDS-клиент. Если RDS уже ожидает подключения на локальной машине, вы можете выбрать другой порт, как показано в примере:

ssh bastion@<публичный_IP_адрес_бастионного_хоста> -L 3390:<IP_адрес_Windows_хоста>:3389

Передача файлов

Для клиентов и серверов Linux можно настроить протокол SCP для безопасной передачи файлов через бастионный хост на внутренние хосты и обратно. Для этого используются те же опции ProxyCommand и ProxyJump, указываемые в командной строке SSH. Например:

scp -o "ProxyJump bastion@<публичный_IP_адрес_бастионного_хоста>" <имя_файла> bastion@<внутренний_IP_адрес_виртуального_сервера>:<путь_к_файлу>

Если вы используете Windows-клиент, то одно из наиболее популярных SCP-приложений на Windows — это WinSCP. Чтобы передать файлы через бастионный хост на удаленную машину Linux, выполните следующие действия:

1. Создайте сеанс подключения к IP-адресу приватного хоста без пароля. Настройте SSH-ключ на машине Linux.
2. В меню навигации слева нажмите Дополнительно и выберите Туннель.
3. Введите IP-адрес и имя пользователя для вашего бастионного хоста. В поле Файл закрытого ключа выберите и установите файл закрытого ключа, который вы будете использовать для аутентификации на бастионном хосте.
4. В меню навигации слева в блоке SSH выберите Аутентификация.
5. Проверьте, что установлена опция Разрешить пересылку агента.
6. Выберите закрытый ключ для аутентификации на приватном хосте.

Такая настройка позволяет осуществлять непосредственную передачу файлов между машиной Windows и приватным хостом Linux. При этом соединение будет защищено бастионным хостом.

В случае хостов Windows, расположенных за бастионом Linux, передачу файлов можно осуществлять при помощи протокола RDP через туннель. Этот метод обеспечивает эффективную и безопасную передачу файлов.

Как удалить созданные ресурсы

Чтобы перестать платить за созданные ресурсы:

• удалите ВМ;
• удалите статический публичный IP-адрес.