अमेज़ॅन EC2 सिक्योरिटी ग्रुप एक गतिशील आईपी के साथ इनबाउंड नियम

13

मैं EC2 सुरक्षा समूहों के साथ संभावित समस्या के रूप में जो देख रहा हूं, उस पर स्पष्टीकरण की तलाश कर रहा हूं।

मैं Linux उदाहरणों से कनेक्ट करने के लिए एक सुरक्षा समूह स्थापित कर रहा हूं। मैंने HTTP और HTTPS एक्सेस के लिए "कहीं भी" नियम बनाए हैं।

मेरे SSH नियम के लिए, अमेज़ॅन ट्यूटोरियल का कहना है कि मुझे अपने सार्वजनिक आईपी पते की आवक सीमा को सीमित करना चाहिए ।

  1. अगर मेरा सार्वजनिक आईपी पता गतिशील है तो मुझे क्या नहीं मिलेगा?

  2. मेरा आईपी पता गतिशील है, इसलिए क्या होता है जब मेरा आईएसपी मेरा सार्वजनिक आईपी बदलता है और मैं अब अपने उदाहरण में नहीं बता सकता हूं?

मेरे द्वारा उपयोग किए जा रहे सेटअप गाइड का लिंक: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/get-up-up-for-amazon-ec2.html (चरण 7 का एक सुरक्षा समूह बनाएँ) 'जो मुझे समस्याग्रस्त लगता है)

ssh  amazon-ec2  amazon-web-services 
विल बायर्न
स्रोत

जवाबों:

6

अगर मेरा सार्वजनिक आईपी पता गतिशील है तो मुझे क्या नहीं मिलेगा?

यह समाधान काम कर सकता है यदि आप पाते हैं कि आपका आईपी अक्सर नहीं बदलता है, या यदि आपको केवल थोड़े समय के लिए एक्सेस की आवश्यकता है। यह सुरक्षा की एक अतिरिक्त परत जोड़ता है क्योंकि SSH आपके द्वारा आपूर्ति की जाने वाली CIDR के बाहर ट्रैफ़िक के संपर्क में नहीं आता है।

यदि कोई विशिष्ट CIDR काम नहीं करता है, तो आप CIDR पर या उससे अधिक बोर्ड पर कोशिश कर सकते हैं, जो आपके ISP उपयोग करने की संभावना है, यह अभी भी इंटरनेट के एक बड़े प्रतिशत से पहुंच को सीमित करेगा, और यह सुरक्षा के लिए एक जीत है।

क्या होता है जब मेरा आईएसपी मेरा सार्वजनिक आईपी बदल देता है और मैं अब अपने उदाहरण में नहीं बता सकता हूं?

आप एडब्ल्यूएस कंसोल पर लॉगिन कर सकते हैं, या फ्लाई पर सुरक्षा समूह नियम को अपडेट करने के लिए सीएलआई का उपयोग कर सकते हैं।

आप एक स्क्रिप्ट लिख सकते हैं जो सीधे सीएलआई के साथ बातचीत करती है। यह कुछ के रूप में सरल हो सकता है जो Port 22 ruleआपके वर्तमान आईपी के खिलाफ जांच करता है और अगर यह अलग है तो इसे अपडेट करता है। बेशक इस तरह की स्क्रिप्ट को चलाने से अधिक सुरक्षा के सवाल उठ सकते हैं :)

एक IP फ़ायरवॉल SSH को सुरक्षित करने का सबसे अच्छा तरीका है?

हालांकि, ssh ट्रैफ़िक को केवल विश्वसनीय IP स्रोतों तक सीमित करना अच्छा है जहाँ व्यावहारिक, ssh को सुरक्षित बनाने वाली चीज़ निजी कुंजी और संवेदी कॉन्फ़िगरेशन का उपयोग है।

विचार करने के लिए मुख्य आइटम:

  • अपनी SSH निजी कुंजी में एक पासफ़्रेज़ जोड़ें
  • SSH के पासवर्ड को अक्षम करें
  • SSH के लिए रूट लॉगिन को अक्षम करें
  • SSH सार्वजनिक कुंजी के लिए सभी उपयोगकर्ता खातों का ऑडिट करें

ब्रूट बल के हमलों से जुड़े 'शोर' से छुटकारा पाने के लिए आप कुछ चीजें भी कर सकते हैं:

  • एक उच्च बंदरगाह पर ssh चलाएं
  • ऐसे सॉफ्टवेयर का उपयोग करें जैसे कि फेल 2 एबन जो गतिशील रूप से कई असफल प्रयास को लॉग करेगा और आईपी रेंज को निर्दिष्ट समय के लिए ब्लॉक करेगा
ड्रू खोरी
स्रोत
4

आईपी ​​पते द्वारा अपने एसएसएच सर्वर तक पहुंच को प्रतिबंधित करना ठीक है, लेकिन एसएसएच अपनी सुरक्षा के लिए उस पर भरोसा नहीं करता है। यदि आप पासवर्ड लॉगिन ( PasswordAUthentication no) को अक्षम करते हैं और केवल निजी कुंजी प्रमाणीकरण का उपयोग करते हैं, तो कोई भी आपकी निजी कुंजी के बिना नहीं मिल सकता है। यह सुरक्षित है।

दूसरे शब्दों में, यदि आप नहीं चाहते हैं तो आपको फ़ायरवॉल नियमों के बारे में चिंता करने की ज़रूरत नहीं है।

एंड्रयू शुलमैन
स्रोत
1
कुंजी फ़ाइल को हथियाने के लिए आपको अपने स्थानीय कंप्यूटर पर लक्षित हमले के बारे में चिंता करने की ज़रूरत है, लेकिन यदि आप कुछ ऐसा नहीं चला रहे हैं जो स्वास्थ्य देखभाल / क्रेडिट-कार्ड / सरकारी डेटा से संबंधित है, तो इसकी संभावना कम से कम है।
सिजॉयज
3

आप उस सुरक्षा समूह में CIDR रेंज जोड़ सकते हैं जो आपके ISP को आपके द्वारा आवंटित सभी IP के सुपरसेट का प्रतिनिधित्व करता है।

या तो, या अपने सुरक्षा समूह को गतिशील रूप से अपडेट करने के लिए AWS API का उपयोग करें।

dmourati
स्रोत
3

इस पुराने सवाल के कुछ और हालिया समाधान हैं:

AWS के अंदर से: AWS लैंबडा का उपयोग करके Amazon CloudFront और AWS WAF के लिए अपने सुरक्षा समूहों को स्वचालित रूप से कैसे अपडेट करें

डायनामिक स्रोत (नोड.जेएस स्क्रिप्ट) से दूरस्थ अद्यतन: aws-ec2-ssh-secgroup-update नोड स्क्रिप्ट

डायनामिक स्रोत (पायथन स्क्रिप्ट) से रिमोट अपडेट: विशिष्ट पोर्ट पर यातायात की अनुमति देने के लिए सुरक्षा समूह में स्वचालित रूप से वर्तमान सार्वजनिक आईपी जोड़ें

विल
स्रोत
0

आप AWS_ipadd कमांड को आसानी से अपडेट करने और प्रबंधित करने के लिए AWS सुरक्षा समूह के नियमों का उपयोग कर सकते हैं और जब भी यह परिवर्तित होता है तो अपने सार्वजनिक आईपी को पोर्ट के साथ सफ़ेद कर सकते हैं ।

$ aws_ipadd my_project_ssh
 Your IP 10.10.1.14/32 and Port 22 is whitelisted successfully.

$ aws_ipadd my_project_ssh
 Modifying existing rule...
 Removing old whitelisted IP '10.10.1.14/32'.
 Whitelisting new IP '10.4.10.16/32'.
 Rule successfully updated!
पीयूष सोनगरा
स्रोत
0

आप अपने सुरक्षा समूह में SSH के लिए गतिशील नियमों को जोड़ने / हटाने के लिए AWS CLI का उपयोग कर सकते हैं। कर रहे हैं अधिकृत-सुरक्षा-समूह-प्रवेश और निरस्त-सुरक्षा-समूह-प्रवेश उपलब्ध एपीआई तरीकों।

मैंने हाल ही में इस बारे में एक ब्लॉग पोस्ट प्रकाशित की है, जिसमें आपको चरण-दर-चरण स्पष्टीकरण की आवश्यकता है।

pawurb
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.