מאמרים אחרונים

שתף בפייסבוק שיתוף בפייסבוק
RSS - מאמריםמאמרים
RSS - פורומיםפורומים
דווח למנהל דיווח למנהל
קישור לעמוד זה קישור לעמוד זה
עוד בקבוצת HT



מחפש פתרון לחסימת גישה לשרת AWS ללא IP קבוע


עמוד 1 מתוך 2
עבור לעמוד  1  |  2  |  הבא 
   פורומים > HTPC ומחשוב > רשתות, IT ומחשוב
מחבר הודעה
RamiX
חבר שרק התחיל
חבר שרק התחיל

הצטרף בתאריך:
  Jun 04, 2019
מספר הודעות: 5

 #1  נשלח: ד' 05/06/2019 9:35
מחפש פתרון לחסימת גישה לשרת AWS ללא IP קבוע

שלום לכם, זהו פוסט ראשון שלי כאן, לאחר שצפיתי ולמדתי המון מפורום זה.

שאלתי למקצוענים היא כך:
עד היום בחברה שלי היה IP קבוע אשר שימש אותי בפיירוול של AWS לחסימת גישה לשרתים. לשרתים שלנו (הפרודקשן) חייבים לגשת אך ורק מהחברה.
אתמול עברנו להוט 200 מגה, ולמרות שהבטיחו לי שיש אפשרות ל IP קבוע, מסתבר שזה סיפור. כך שהתעוררתי היום כאשר אין לי IP קבוע בחברה.
השאלה היא האם אפשר לחסום את הגישה לשרתים בצורה אחרת שלא מסתמכת על IP קבוע. כמובן שכיום הגישה לשרתים מוגנת בנוסף ב CERTIFICATES אך זה לא מספק.
או לחלופין, האם יש דרך בכל זאת להגדיר IP קבוע דרך הוט (הם הציעו לקחת ראוטר של FORTINET אך לא מתאים לי מאחר ובחברה יש תשתית קיימת עם ראוטר רציני מאוד)

תודה לעונים
| פרופיל | שלח הודעה | חפש
ilane
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Apr 21, 2006
הבעות תודה: 56
מספר הודעות: 324

 #2  נשלח: ד' 05/06/2019 10:48

הפיתרון זה לקנות IP וקו "נל"ן" ולא להשתמש בחייגן
| פרופיל | שלח הודעה | חפש
RamiX
חבר שרק התחיל
חבר שרק התחיל

הצטרף בתאריך:
  Jun 04, 2019
מספר הודעות: 5

 #3  נשלח: ד' 05/06/2019 10:50

ilane כתב:
הפיתרון זה לקנות IP וקו "נל"ן" ולא להשתמש בחייגן
·
מה זה קו נל"ן ?
הקו החדש של הוט הוא ללא חייגן, וזו עיקר הבעיה
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 382
מספר הודעות: 2041

 #4  נשלח: ד' 05/06/2019 10:56

הפתרון המאובטח והיגיוני הוא להשתמש בערוץ VPN Site to Site ( מן הסתם ב OpenVPN ) מוצפן בין הרשת INTRANET וירטואלית שיצרתם בשרתים של AMAZONE , לבין רשת פיזית שלכם. כך לא יהיה משנה מה הכתובת החיצונית שספק מקצה לכם ( אם בכלל ), גם התעבורה לא תהייה גלוייה לכל, גם אך אחד אחר לא מהרשת פנימית שלכם לא יוכל להתחבר לשרתים וירטואליים שיצרתם או בכלל לרשת זו שיצרתם ב AMAZONE, וגם כל התקשורת בין השרתים וירטואליים והרשת LAN שלכם תהייה בתוך הרשת הפרטית שלכם. זה דבר שהוא א' ב' בתכנון של עבודה רשתית מול שרתים שנמצאים בחוות שרתים מרוחקת באחסון ובטח ובטח, אם מדובר על שרתים וירטואליים שם.


| פרופיל | שלח הודעה | חפש
ilane
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Apr 21, 2006
הבעות תודה: 56
מספר הודעות: 324

 #5  נשלח: ד' 05/06/2019 16:18

אני לא מבין מספיק בVPN אבל לדעתי חלק מההגדרה של site to site הוא הIP של שני הצדדים, ואם הIP משתנה אז זה נראה לי בעייתי.

פיתרון אפשרי זה להריץ סקריפט בקרון שיזהה שינוי של הIP (למשל ידע לשלוף את IP מאתר כמו what is my IP ולהשוות אותו מול הבדיקה הקודמת)
במידה והIP השתנה להשתמש בaws cli כדי לעדכן את הsecurity groups

https://docs.aws.amazon.com/cli/latest/reference/e...?tag=h0dab-20&

אני די בטוח שאפשר למצוא מימושים של זה בgithub...
| פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 442
מספר הודעות: 2285

 #6  נשלח: ד' 05/06/2019 17:13
Re: מחפש פתרון לחסימת גישה לשרת AWS ללא IP קבוע

RamiX
·

אני לא מכיר את ה-firewall של AWS אבל אם הוא משתמש ב-iptables אז זה באמת בעיה להשתמש ב-FQDN ישירות. במקרים כאלה הפתרון הכי פשוט הוא להריץ סקריפט פשוט שבודק האם ה-IP השתנה כל X זמן ואם צריך מעדכן את ה-iptables.

בנוסף שם לב שההגנה שציינת שכבר יש לך, בעזרת CERTIFICATES, היא הגנה אמיתית של אבטחת מידע ושווה הרבה יותר מאשר הגבלה לפי כתובת מקור (דבר שבכלל לא נחשב הגנה לפי אבטחת מידע). להגבלה לפי כתובת מקור יש די הרבה התקפות מהסוג של IP spoofing שבחלק המקרים לא כזה קשה לבצע. להגנה שמוגדרת היטב עם CERTIFICATES לא אמורה להיות התקפה בכח חישוב סביר. כמו שציינתי לעיל די בטוח שיש דרך פשוטה יחסית שתוכל להפעיל "הגנה" לפי IP דינמי אם זה באמת מרגיע אותכם (במעשי זה יכול להקשות על תוקפים, במיוחד עם התוקפים מחפשים מטרות קלות, אבל כאמור זאת לא באמת הגנה וכמעט זניח יחסית להגנה אמיתית עם CERTIFICATES).

אפשר גם לשקול את ההצעה לעיל של VPN Site to Site, ושה-VPN יהיה מוגן ע"י CERTIFICATES או מפתחות קריפטולוגיים בנוסף לכתובות של שני הצדדים. אלא אם יש בעיה במימוש של ההמגנון "הרגיל" של הגישה ל-AWS אני לא רואה למה שזה יתן יותר אבטחה אבל אולי זה פתרון יותר נח במקרה שלכם.

לגבי ה-VPN site to site:

א. OpenVPN שציון לעיל הוא באמת אופציה אחת אבל יש עוד הרבה כמו IKEv2 או WireGuard ועוד. תבדוק מה נתמך בצורה טובה ע"י AWS וע"י הציוד שיש בקצה שלכם.

ב. ההערה של ilane לא נכונה כי בכל ה-VPNים שיצא לי לעבוד איתם אין שום בעיה להשתמש ב-FQDN ולכן אין שום בעיה עם ה-IP דינמי. יותר מזה אפשר אפילו לעשות site to site כאשר אחד הצדדים מאוחרי NAT ותמיד הצד השני הוא זה שיוזם את החיבור.

לבסוף הערה אחרונה לגבי "אם יש דרך בכל זאת להגדיר IP קבוע דרך הוט", למיטב ידעתי IP קבוע דרך הוט דורש חייגן L2TP ולמיטב הבנתי זה כרגיל פוגע בצורה יחסית משמעותית בקצב. אני חושב שהפגיעה בקצב תלויה גם בציוד שמריץ את החייגן בצד שלך ולכן מאד יתכן שאתה דווקא כן יכול לקבל IP קבוע ושהפגיעה במהירות תהיה כבילה. יש הרבה שירשורים בנושא כאן בפורום (עם הרבה דעות סותרות), כולל אנשים שהצליחו להפעיל IP קבוע מול הוט ללא ה-FORTINET.

כמו שניסיתי להסביר לעיל, בשביל להתחבר ל-AWS אין שום סיבה שתצטרך IP קבוע.
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 382
מספר הודעות: 2041

 #7  נשלח: ד' 05/06/2019 17:36

ilane כתב:
אני לא מבין מספיק בVPN אבל לדעתי חלק מההגדרה של site to site הוא הIP של שני הצדדים, ואם הIP משתנה אז זה נראה לי בעייתי.

פיתרון אפשרי זה להריץ סקריפט בקרון שיזהה שינוי של הIP (למשל ידע לשלוף את IP מאתר כמו what is my IP ולהשוות אותו מול הבדיקה הקודמת)
במידה והIP השתנה להשתמש בaws cli כדי לעדכן את הsecurity groups

https://docs.aws.amazon.com/cli/latest/reference/e...?tag=h0dab-20&

אני די בטוח שאפשר למצוא מימושים של זה בgithub...


·

כל הרעיון בתפיסה של VPN Site To Site הוא בזה שהאתר שמתחבר לאתר שנמצא בו שרת VPN זה, לא משנה מה כתובת WAN שהוא מקבל וכתבות זו יכולה להיות קבועה, משתנה או אפילו לא ציבורית ( מאחורי NAT ). בגלל זה בפתרון זה משתמשים מתאיגדי ענק ועד לסניפים מרוחקים של עסקים זעירים. גם הרמת אבטחה ונוחות שמקבלים בצורה כזו היא בסדרי גודל גבוההים יותר מכל פתרון אחר. כבר החלק הזה שהשרתים המרוחקים, שבפועל נמצאים באתר מרוחק ( ביבשה אחרת ), מתפקדים בתוך הרשת מקומית ואך אחד לא יכול לגשת עליהם מבחוץ, אלה, אם כן הוגדר אחרת בכללים של FIREWALL אירגוני, כבר החלק הזה נותן את כל התמונה של היתרונות הרבים שכלולים בתפיסה זו. גם מדובר על פתרון הכי תקני וטריוויאלי בנושא, שניתן לממש אותו גם עם כלים חינמיים ובדוקים, כאלה כמו PFSENSE למשל ( בשני הצדדים ), מה שכן, גם AMAZON תומכים ומנגישים אותו כך שניתן לפרוס את PFSENSE בצורה מהירה ופשוטה. גם האמינות ושרידות של מימוש זה הוכחה כבר מזה עשרות שנים וגם אני משתמש בזה בפרוייקטים רבים שאני מתכנן.

וכמובן שלצורך זה לא צריך שום סקריפטים או לחפש מימושים ב GITHUB, ובכלל לא צריך להמציא את הגלגל.
| פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 442
מספר הודעות: 2285

 #8  נשלח: ד' 05/06/2019 17:56

sys_admin כתב:

כל הרעיון בתפיסה של VPN Site To Site הוא בזה שהאתר שמתחבר לאתר שנמצא בו שרת VPN ....
·

אין דבר כזה "שרת" ב-Site to Site זה בדיוק למה שזה נקרא Site to Site VPN ולא remote access VPN (או לחילופין אפשר להגיד ששני הצדדים הם "שרת" VPN).

ההגדרות של Site to Site הם סימטריות ואין שום הגדרת שהופכת צד אחד ל"שרת" ואת השני ל"לקוח". ברב המקרים כל אחד מהצדדים יכול ליזום את החיבור ולהתחבר לצד השני. ברגע שאחד הצדדים הצליח ליצור חיבור אפשר כמובן להעביר עליו תקשורת לשני הכיוונים ולכן אכן אין שום בעיה אם לאחד הצדדים יש כתובת לא ציבורית ורק הוא יכול ליזום את החיבור לצד שני. כמובן אם לשני הצדדים אין כתובת ציבורית זה כבר בעיה.

כלומר צדקת בהכל חוץ מהטרמינולוגיה של ה-site to site. אפשר כמובן להתווכח עד מחר על טרמינולוגיה אבל ממנה שאני מכיר בציודים שונים ובמקורות באינטרנט תמיד Site to Site מדבר על מה שהסברתי לעיל:
https://ipwithease.com/site-to-site-vpn-vs-remote-...
https://openvpn.net/vpn-server-resources/site-to-s...
https://openvpn.net/for/remote-access/
| פרופיל | שלח הודעה | חפש
RamiX
חבר שרק התחיל
חבר שרק התחיל

הצטרף בתאריך:
  Jun 04, 2019
מספר הודעות: 5

 #9  נשלח: ד' 05/06/2019 18:20

הפתרון של ה VPN הוא רעיון מעולה.
אבל עכשיו שאני חושב על זה, היעדר IP קבוע גורם לי בעיה יותר חמורה, כרגע כל פעם שצריך להתחבר ל VPN לחברה ממקום מרוחק, צריך לשנות את ה IP (באיזור שלנו יש הרבה הפסקות חשמל כך שהסבירות שזה ישתנה גבוהה)
האם אפשר לחבר VPN לפי דומיין?
| פרופיל | שלח הודעה | חפש
eran405
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Feb 27, 2012
הבעות תודה: 442
מספר הודעות: 2285

 #10  נשלח: ד' 05/06/2019 18:25

RamiX כתב:

האם אפשר לחבר VPN לפי דומיין?
·

כן, אין שום בעיה.
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 382
מספר הודעות: 2041

 #11  נשלח: ד' 05/06/2019 18:54

מן הסתם שכל הרעיון של תפיסת VPN Site To Site גם של OpenVPN הוא בזה, שיש שרת ( במרכז ) , שעליו מתחברים לקוחות ( סניפים ) שזה יכול להיות סניף בודד או סניפים רבים. גם מאחורי שרת של OpenVPN Site To Site יש את הסגמנט של תת רשת LAN שלו, שהוא מנתב אותה לכל הלקוחות ( לסניפים ) וגם מאחורי הלקוחות נמצאות רשתות משנה שלהם, שהם מנתבים אותם לכיוון של השרת זה וכך ניתן גם להגיע מסניף אחד לשני, אם יש צורך, כאילו שמדובר ברשת אחת. כמובן שבכל צומת חיבור ( בכל מערכת PFSENSE למשל, שמבצעת את הטרמינצייה של החיבורים ) קיים גם מנגנון של FIREWALL שקובע על ידי חוקים קשיחים, למי מותר לתקשר עם מי.

אלה הם דברים בסיסיים ביותר של רשתות תקשורת, כפי שהם קיימים כבר עשרות שנים. צירפתי כמה צילומי מסך, אחד משרת VPN SITE TO SITE, אחד מהלקוח שלו ואחד של ניתוב של גישה מסגמנט רשת אחת, שנמצא מאחורי לקוח VPN לסגמנט אחר, שגם נמצא מאחורי לקוח VPN שני, והם עוברים דרך שרת VPN Site To Site המדובר.





| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 382
מספר הודעות: 2041

 #12  נשלח: ד' 05/06/2019 19:02

RamiX כתב:
הפתרון של ה VPN הוא רעיון מעולה.
אבל עכשיו שאני חושב על זה, היעדר IP קבוע גורם לי בעיה יותר חמורה, כרגע כל פעם שצריך להתחבר ל VPN לחברה ממקום מרוחק, צריך לשנות את ה IP (באיזור שלנו יש הרבה הפסקות חשמל כך שהסבירות שזה ישתנה גבוהה)
האם אפשר לחבר VPN לפי דומיין?


·
ברגע שיש לך שרת VPN ב AWS, זה ממש לא משנה שהכתובת IP של שספק כאן נותן לך משנה או בכלל היא לא ציבורית. ואת זה כבר הסברתי כאן לפני זה. ברגע שאתה מתחבר, אתה מתחבר ל IP של AMAZON, ושם בדרך כלל יש פחות הפסקות חשמל. כך אתה מגיע כבר לשרתים שלך וברגע שגם מחובר הצד של LAN שלך, אתה מגיע כבר גם לרשת הפנימית שלך בארץ. עד כדי כך פשוט וקל ובלי צורך בחיבור לדומייו.
| פרופיל | שלח הודעה | חפש
sys_admin
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Jan 06, 2014

מיקום: גליל מערבי
הבעות תודה: 382
מספר הודעות: 2041

 #13  נשלח: ד' 05/06/2019 19:07

הדבר שצריך להדאיג אותך הרבה יותר זה זה שאותו חיבור שאתה קורה לו 200M של הוט, הוא בעצם חיבור עם מהירות שליחה של עד 5M, בדרך כלל כ 3M. ולעבוד עם חיבור של 3M ועם צרכים שקיימים לנו בשני עשורים אחרונים, זה "טיפ טיפה" יומרני, אם לא להגיד אפילו בלתי אפשרי בעליל.
| פרופיל | שלח הודעה | חפש
RamiX
חבר שרק התחיל
חבר שרק התחיל

הצטרף בתאריך:
  Jun 04, 2019
מספר הודעות: 5

 #14  נשלח: ד' 05/06/2019 19:13

sys_admin כתב:
ציטוט:
...


·
ברגע שיש לך שרת VPN ב AWS, זה ממש לא משנה שהכתובת IP של שספק כאן נותן לך משנה או בכלל היא לא ציבורית. ואת זה כבר הסברתי כאן לפני זה. ברגע שאתה מתחבר, אתה מתחבר ל IP של AMAZON, ושם בדרך כלל יש פחות הפסקות חשמל. כך אתה מגיע כבר לשרתים שלך וברגע שגם מחובר הצד של LAN שלך, אתה מגיע כבר גם לרשת הפנימית שלך בארץ. עד כדי כך פשוט וקל ובלי צורך בחיבור לדומייו.
·

מהדיון הבנתי בסוף שהכוונה היא להקים את ה VPN ב AWS (ולא בחברה כאן ולחבר אליה את השרתים)
האמת שזה חומר למחשבה.

אבל חברים, אני חייב לציין שאני קורה את התגובות וזה דיון מרתק. באמת חבל"ז
| פרופיל | שלח הודעה | חפש
RamiX
חבר שרק התחיל
חבר שרק התחיל

הצטרף בתאריך:
  Jun 04, 2019
מספר הודעות: 5

 #15  נשלח: ד' 05/06/2019 19:14

sys_admin כתב:
הדבר שצריך להדאיג אותך הרבה יותר זה זה שאותו חיבור שאתה קורה לו 200M של הוט, הוא בעצם חיבור עם מהירות שליחה של עד 5M, בדרך כלל כ 3M. ולעבוד עם חיבור של 3M ועם צרכים שקיימים לנו בשני עשורים אחרונים, זה "טיפ טיפה" יומרני, אם לא להגיד אפילו בלתי אפשרי בעליל.
·

בגדול מהירות ההעלאה פחות מטרידה אותי, התקשורת מול השרתים היא מינימלית לצורך אימות ורישוי מוצרים. אבל חשובה מואד
| פרופיל | שלח הודעה | חפש
כל הזמנים הם שעון קיץ - ישראל (GMT+3) הצג הודעות קודמות:    
פורומים > רשתות, IT ומחשוב עבור לעמוד  1  |  2  |  הבא 


  
    שם משתמש:
נתוני כניסה לכל אתרי HT:

  סיסמא:
 

  


 | 

קפוץ אל: 
לא ניתן לשלוח הודעות בפורום זה
לא ניתן להגיב להודעות בפורום זה
לא ניתן לערוך את הודעותיך בפורום זה
לא ניתן למחוק את הודעותיך בפורום זה
לא ניתן להצביע לסקרים בפורום זה
לא ניתן לצרף קבצים בפורום זה
לא ניתן להוריד קבצים בפורום זה

תקנון / תנאי השימוש באתר צור קשר / contact us כל הזכויות שמורות לקבוצת ht