מחפש פתרון לחסימת גישה לשרת AWS ללא IP קבוע

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.
RamiX (פותח השרשור)
חבר שרק התחיל
חבר שרק התחיל
הודעות: 5
הצטרף: יוני 2019
נתן תודות: 0
קיבל תודות: 0

מחפש פתרון לחסימת גישה לשרת AWS ללא IP קבוע

נושא שלא נקרא #1 

שלום לכם, זהו פוסט ראשון שלי כאן, לאחר שצפיתי ולמדתי המון מפורום זה.

שאלתי למקצוענים היא כך:
עד היום בחברה שלי היה IP קבוע אשר שימש אותי בפיירוול של AWS לחסימת גישה לשרתים. לשרתים שלנו (הפרודקשן) חייבים לגשת אך ורק מהחברה.
אתמול עברנו להוט 200 מגה, ולמרות שהבטיחו לי שיש אפשרות ל IP קבוע, מסתבר שזה סיפור. כך שהתעוררתי היום כאשר אין לי IP קבוע בחברה.
השאלה היא האם אפשר לחסום את הגישה לשרתים בצורה אחרת שלא מסתמכת על IP קבוע. כמובן שכיום הגישה לשרתים מוגנת בנוסף ב CERTIFICATES אך זה לא מספק.
או לחלופין, האם יש דרך בכל זאת להגדיר IP קבוע דרך הוט (הם הציעו לקחת ראוטר של FORTINET אך לא מתאים לי מאחר ובחברה יש תשתית קיימת עם ראוטר רציני מאוד)

תודה לעונים

ilane
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 584
הצטרף: אפריל 2006
נתן תודות: 10 פעמים
קיבל תודות: 132 פעמים

נושא שלא נקרא #2 

הפיתרון זה לקנות IP וקו "נל"ן" ולא להשתמש בחייגן

RamiX (פותח השרשור)
חבר שרק התחיל
חבר שרק התחיל
הודעות: 5
הצטרף: יוני 2019
נתן תודות: 0
קיבל תודות: 0

נושא שלא נקרא #3 

ilane כתב:הפיתרון זה לקנות IP וקו "נל"ן" ולא להשתמש בחייגן
...
·
מה זה קו נל"ן ?
הקו החדש של הוט הוא ללא חייגן, וזו עיקר הבעיה

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #4 

הפתרון המאובטח והיגיוני הוא להשתמש בערוץ VPN Site to Site ( מן הסתם ב OpenVPN ) מוצפן בין הרשת INTRANET וירטואלית שיצרתם בשרתים של AMAZONE , לבין רשת פיזית שלכם. כך לא יהיה משנה מה הכתובת החיצונית שספק מקצה לכם ( אם בכלל ), גם התעבורה לא תהייה גלוייה לכל, גם אך אחד אחר לא מהרשת פנימית שלכם לא יוכל להתחבר לשרתים וירטואליים שיצרתם או בכלל לרשת זו שיצרתם ב AMAZONE, וגם כל התקשורת בין השרתים וירטואליים והרשת LAN שלכם תהייה בתוך הרשת הפרטית שלכם. זה דבר שהוא א' ב' בתכנון של עבודה רשתית מול שרתים שנמצאים בחוות שרתים מרוחקת באחסון ובטח ובטח, אם מדובר על שרתים וירטואליים שם.

ilane
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 584
הצטרף: אפריל 2006
נתן תודות: 10 פעמים
קיבל תודות: 132 פעמים

נושא שלא נקרא #5 

אני לא מבין מספיק בVPN אבל לדעתי חלק מההגדרה של site to site הוא הIP של שני הצדדים, ואם הIP משתנה אז זה נראה לי בעייתי.

פיתרון אפשרי זה להריץ סקריפט בקרון שיזהה שינוי של הIP (למשל ידע לשלוף את IP מאתר כמו what is my IP ולהשוות אותו מול הבדיקה הקודמת)
במידה והIP השתנה להשתמש בaws cli כדי לעדכן את הsecurity groups

https://docs.aws.amazon.com/cli/latest/ ... gress.html

אני די בטוח שאפשר למצוא מימושים של זה בgithub...

eran405
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3388
הצטרף: פברואר 2012
נתן תודות: 380 פעמים
קיבל תודות: 790 פעמים

Re: מחפש פתרון לחסימת גישה לשרת AWS ללא IP קבוע

נושא שלא נקרא #6 

@RamiX
·

אני לא מכיר את ה-firewall של AWS אבל אם הוא משתמש ב-iptables אז זה באמת בעיה להשתמש ב-FQDN ישירות. במקרים כאלה הפתרון הכי פשוט הוא להריץ סקריפט פשוט שבודק האם ה-IP השתנה כל X זמן ואם צריך מעדכן את ה-iptables.

בנוסף שם לב שההגנה שציינת שכבר יש לך, בעזרת CERTIFICATES, היא הגנה אמיתית של אבטחת מידע ושווה הרבה יותר מאשר הגבלה לפי כתובת מקור (דבר שבכלל לא נחשב הגנה לפי אבטחת מידע). להגבלה לפי כתובת מקור יש די הרבה התקפות מהסוג של IP spoofing שבחלק המקרים לא כזה קשה לבצע. להגנה שמוגדרת היטב עם CERTIFICATES לא אמורה להיות התקפה בכח חישוב סביר. כמו שציינתי לעיל די בטוח שיש דרך פשוטה יחסית שתוכל להפעיל "הגנה" לפי IP דינמי אם זה באמת מרגיע אותכם (במעשי זה יכול להקשות על תוקפים, במיוחד עם התוקפים מחפשים מטרות קלות, אבל כאמור זאת לא באמת הגנה וכמעט זניח יחסית להגנה אמיתית עם CERTIFICATES).

אפשר גם לשקול את ההצעה לעיל של VPN Site to Site, ושה-VPN יהיה מוגן ע"י CERTIFICATES או מפתחות קריפטולוגיים בנוסף לכתובות של שני הצדדים. אלא אם יש בעיה במימוש של ההמגנון "הרגיל" של הגישה ל-AWS אני לא רואה למה שזה יתן יותר אבטחה אבל אולי זה פתרון יותר נח במקרה שלכם.

לגבי ה-VPN site to site:

א. OpenVPN שציון לעיל הוא באמת אופציה אחת אבל יש עוד הרבה כמו IKEv2 או WireGuard ועוד. תבדוק מה נתמך בצורה טובה ע"י AWS וע"י הציוד שיש בקצה שלכם.

ב. ההערה של @ilane לא נכונה כי בכל ה-VPNים שיצא לי לעבוד איתם אין שום בעיה להשתמש ב-FQDN ולכן אין שום בעיה עם ה-IP דינמי. יותר מזה אפשר אפילו לעשות site to site כאשר אחד הצדדים מאוחרי NAT ותמיד הצד השני הוא זה שיוזם את החיבור.

לבסוף הערה אחרונה לגבי "אם יש דרך בכל זאת להגדיר IP קבוע דרך הוט", למיטב ידעתי IP קבוע דרך הוט דורש חייגן L2TP ולמיטב הבנתי זה כרגיל פוגע בצורה יחסית משמעותית בקצב. אני חושב שהפגיעה בקצב תלויה גם בציוד שמריץ את החייגן בצד שלך ולכן מאד יתכן שאתה דווקא כן יכול לקבל IP קבוע ושהפגיעה במהירות תהיה כבילה. יש הרבה שירשורים בנושא כאן בפורום (עם הרבה דעות סותרות), כולל אנשים שהצליחו להפעיל IP קבוע מול הוט ללא ה-FORTINET.

כמו שניסיתי להסביר לעיל, בשביל להתחבר ל-AWS אין שום סיבה שתצטרך IP קבוע.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #7 

ilane כתב:אני לא מבין מספיק בVPN אבל לדעתי חלק מההגדרה של site to site הוא הIP של שני הצדדים, ואם הIP משתנה אז זה נראה לי בעייתי.

פיתרון אפשרי זה להריץ סקריפט בקרון שיזהה שינוי של הIP (למשל ידע לשלוף את IP מאתר כמו what is my IP ולהשוות אותו מול הבדיקה הקודמת)
במידה והIP השתנה להשתמש בaws cli כדי לעדכן את הsecurity groups

https://docs.aws.amazon.com/cli/latest/ ... gress.html

אני די בטוח שאפשר למצוא מימושים של זה בgithub...
...
·

כל הרעיון בתפיסה של VPN Site To Site הוא בזה שהאתר שמתחבר לאתר שנמצא בו שרת VPN זה, לא משנה מה כתובת WAN שהוא מקבל וכתבות זו יכולה להיות קבועה, משתנה או אפילו לא ציבורית ( מאחורי NAT ). בגלל זה בפתרון זה משתמשים מתאיגדי ענק ועד לסניפים מרוחקים של עסקים זעירים. גם הרמת אבטחה ונוחות שמקבלים בצורה כזו היא בסדרי גודל גבוההים יותר מכל פתרון אחר. כבר החלק הזה שהשרתים המרוחקים, שבפועל נמצאים באתר מרוחק ( ביבשה אחרת ), מתפקדים בתוך הרשת מקומית ואך אחד לא יכול לגשת עליהם מבחוץ, אלה, אם כן הוגדר אחרת בכללים של FIREWALL אירגוני, כבר החלק הזה נותן את כל התמונה של היתרונות הרבים שכלולים בתפיסה זו. גם מדובר על פתרון הכי תקני וטריוויאלי בנושא, שניתן לממש אותו גם עם כלים חינמיים ובדוקים, כאלה כמו PFSENSE למשל ( בשני הצדדים ), מה שכן, גם AMAZON תומכים ומנגישים אותו כך שניתן לפרוס את PFSENSE בצורה מהירה ופשוטה. גם האמינות ושרידות של מימוש זה הוכחה כבר מזה עשרות שנים וגם אני משתמש בזה בפרוייקטים רבים שאני מתכנן.

וכמובן שלצורך זה לא צריך שום סקריפטים או לחפש מימושים ב GITHUB, ובכלל לא צריך להמציא את הגלגל.

eran405
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3388
הצטרף: פברואר 2012
נתן תודות: 380 פעמים
קיבל תודות: 790 פעמים

נושא שלא נקרא #8 

sys_admin כתב: כל הרעיון בתפיסה של VPN Site To Site הוא בזה שהאתר שמתחבר לאתר שנמצא בו שרת VPN ....
...
·

אין דבר כזה "שרת" ב-Site to Site זה בדיוק למה שזה נקרא Site to Site VPN ולא remote access VPN (או לחילופין אפשר להגיד ששני הצדדים הם "שרת" VPN).

ההגדרות של Site to Site הם סימטריות ואין שום הגדרת שהופכת צד אחד ל"שרת" ואת השני ל"לקוח". ברב המקרים כל אחד מהצדדים יכול ליזום את החיבור ולהתחבר לצד השני. ברגע שאחד הצדדים הצליח ליצור חיבור אפשר כמובן להעביר עליו תקשורת לשני הכיוונים ולכן אכן אין שום בעיה אם לאחד הצדדים יש כתובת לא ציבורית ורק הוא יכול ליזום את החיבור לצד שני. כמובן אם לשני הצדדים אין כתובת ציבורית זה כבר בעיה.

כלומר צדקת בהכל חוץ מהטרמינולוגיה של ה-site to site. אפשר כמובן להתווכח עד מחר על טרמינולוגיה אבל ממנה שאני מכיר בציודים שונים ובמקורות באינטרנט תמיד Site to Site מדבר על מה שהסברתי לעיל:
https://ipwithease.com/site-to-site-vpn ... ccess-vpn/
https://openvpn.net/vpn-server-resource ... in-detail/
https://openvpn.net/for/remote-access/

RamiX (פותח השרשור)
חבר שרק התחיל
חבר שרק התחיל
הודעות: 5
הצטרף: יוני 2019
נתן תודות: 0
קיבל תודות: 0

נושא שלא נקרא #9 

הפתרון של ה VPN הוא רעיון מעולה.
אבל עכשיו שאני חושב על זה, היעדר IP קבוע גורם לי בעיה יותר חמורה, כרגע כל פעם שצריך להתחבר ל VPN לחברה ממקום מרוחק, צריך לשנות את ה IP (באיזור שלנו יש הרבה הפסקות חשמל כך שהסבירות שזה ישתנה גבוהה)
האם אפשר לחבר VPN לפי דומיין?

eran405
אחראי תחום רשתות
אחראי תחום רשתות
הודעות: 3388
הצטרף: פברואר 2012
נתן תודות: 380 פעמים
קיבל תודות: 790 פעמים

נושא שלא נקרא #10 

RamiX כתב: האם אפשר לחבר VPN לפי דומיין?
...
·

כן, אין שום בעיה.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #11 

מן הסתם שכל הרעיון של תפיסת VPN Site To Site גם של OpenVPN הוא בזה, שיש שרת ( במרכז ) , שעליו מתחברים לקוחות ( סניפים ) שזה יכול להיות סניף בודד או סניפים רבים. גם מאחורי שרת של OpenVPN Site To Site יש את הסגמנט של תת רשת LAN שלו, שהוא מנתב אותה לכל הלקוחות ( לסניפים ) וגם מאחורי הלקוחות נמצאות רשתות משנה שלהם, שהם מנתבים אותם לכיוון של השרת זה וכך ניתן גם להגיע מסניף אחד לשני, אם יש צורך, כאילו שמדובר ברשת אחת. כמובן שבכל צומת חיבור ( בכל מערכת PFSENSE למשל, שמבצעת את הטרמינצייה של החיבורים ) קיים גם מנגנון של FIREWALL שקובע על ידי חוקים קשיחים, למי מותר לתקשר עם מי.

אלה הם דברים בסיסיים ביותר של רשתות תקשורת, כפי שהם קיימים כבר עשרות שנים. צירפתי כמה צילומי מסך, אחד משרת VPN SITE TO SITE, אחד מהלקוח שלו ואחד של ניתוב של גישה מסגמנט רשת אחת, שנמצא מאחורי לקוח VPN לסגמנט אחר, שגם נמצא מאחורי לקוח VPN שני, והם עוברים דרך שרת VPN Site To Site המדובר.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #12 

RamiX כתב:הפתרון של ה VPN הוא רעיון מעולה.
אבל עכשיו שאני חושב על זה, היעדר IP קבוע גורם לי בעיה יותר חמורה, כרגע כל פעם שצריך להתחבר ל VPN לחברה ממקום מרוחק, צריך לשנות את ה IP (באיזור שלנו יש הרבה הפסקות חשמל כך שהסבירות שזה ישתנה גבוהה)
האם אפשר לחבר VPN לפי דומיין?
...
·
ברגע שיש לך שרת VPN ב AWS, זה ממש לא משנה שהכתובת IP של שספק כאן נותן לך משנה או בכלל היא לא ציבורית. ואת זה כבר הסברתי כאן לפני זה. ברגע שאתה מתחבר, אתה מתחבר ל IP של AMAZON, ושם בדרך כלל יש פחות הפסקות חשמל. :lol: כך אתה מגיע כבר לשרתים שלך וברגע שגם מחובר הצד של LAN שלך, אתה מגיע כבר גם לרשת הפנימית שלך בארץ. עד כדי כך פשוט וקל ובלי צורך בחיבור לדומייו.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #13 

הדבר שצריך להדאיג אותך הרבה יותר זה זה שאותו חיבור שאתה קורה לו 200M של הוט, הוא בעצם חיבור עם מהירות שליחה של עד 5M, בדרך כלל כ 3M. ולעבוד עם חיבור של 3M ועם צרכים שקיימים לנו בשני עשורים אחרונים, זה "טיפ טיפה" יומרני, :lol: אם לא להגיד אפילו בלתי אפשרי בעליל.

RamiX (פותח השרשור)
חבר שרק התחיל
חבר שרק התחיל
הודעות: 5
הצטרף: יוני 2019
נתן תודות: 0
קיבל תודות: 0

נושא שלא נקרא #14 

sys_admin כתב:
...
...
·
ברגע שיש לך שרת VPN ב AWS, זה ממש לא משנה שהכתובת IP של שספק כאן נותן לך משנה או בכלל היא לא ציבורית. ואת זה כבר הסברתי כאן לפני זה. ברגע שאתה מתחבר, אתה מתחבר ל IP של AMAZON, ושם בדרך כלל יש פחות הפסקות חשמל. :lol: כך אתה מגיע כבר לשרתים שלך וברגע שגם מחובר הצד של LAN שלך, אתה מגיע כבר גם לרשת הפנימית שלך בארץ. עד כדי כך פשוט וקל ובלי צורך בחיבור לדומייו.
...
·

מהדיון הבנתי בסוף שהכוונה היא להקים את ה VPN ב AWS (ולא בחברה כאן ולחבר אליה את השרתים)
האמת שזה חומר למחשבה.

אבל חברים, אני חייב לציין שאני קורה את התגובות וזה דיון מרתק. באמת חבל"ז

RamiX (פותח השרשור)
חבר שרק התחיל
חבר שרק התחיל
הודעות: 5
הצטרף: יוני 2019
נתן תודות: 0
קיבל תודות: 0

נושא שלא נקרא #15 

sys_admin כתב:הדבר שצריך להדאיג אותך הרבה יותר זה זה שאותו חיבור שאתה קורה לו 200M של הוט, הוא בעצם חיבור עם מהירות שליחה של עד 5M, בדרך כלל כ 3M. ולעבוד עם חיבור של 3M ועם צרכים שקיימים לנו בשני עשורים אחרונים, זה "טיפ טיפה" יומרני, :lol: אם לא להגיד אפילו בלתי אפשרי בעליל.
...
·

בגדול מהירות ההעלאה פחות מטרידה אותי, התקשורת מול השרתים היא מינימלית לצורך אימות ורישוי מוצרים. אבל חשובה מואד :)

שלח תגובה

חזור אל “רשתות, אינטרנט ו- Fiber”