Regra de entrada do grupo de segurança do Amazon EC2 com um IP dinâmico

6

Estou procurando esclarecimentos sobre o que vejo como um possível problema com os grupos de segurança do EC2.

Estou configurando um grupo de segurança para conexão com instâncias do Linux. Eu criei regras "em qualquer lugar" para acesso HTTP e HTTPS.

Para minha regra SSH, o tutorial da Amazon diz que devo limitar o acesso de entrada ao meu endereço IP público .

  1. O que eu não entendo é como isso é seguro ou viável se o seu endereço IP público é dinâmico?

  2. Meu endereço IP é dinâmico, então o que acontece quando meu ISP muda meu IP público e não consigo mais ssh na minha instância?

Link para o guia de configuração que estou usando: link (o passo 7 de" Criar um grupo de segurança "é o que me parece problemático)

    
por Will Byrne 29.06.2015 / 21:42

4 respostas

5

What I don't get is how that's secure or workable if your public IP address is dynamic?

Esta solução pode funcionar se você descobrir que o seu IP não muda com frequência ou se você precisa apenas de acesso por um curto período de tempo. Ele adiciona uma camada extra de segurança, pois o SSH não está exposto ao tráfego fora do CIDR que você fornece.

Se um CIDR específico não funcionar, você pode experimentar ou mais intervalos de CIDR de placa que seu ISP provavelmente usará, isso ainda limitará o acesso de uma grande porcentagem da Internet, e isso é uma garantia de segurança. / p>

what happens when my ISP changes my public IP and I can no longer ssh into my instance?

Você pode fazer login no AWS Console ou usar a CLI para atualizar a regra do Grupo de segurança imediatamente.

Você pode escrever um script que interaja diretamente com a CLI. Pode ser tão simples quanto algo que verifica o Port 22 rule em relação ao seu IP atual e o atualiza se for diferente. Claro que rodar um script como esse pode levantar mais questões de segurança:)

Um firewall IP é a melhor maneira de proteger o SSH?

Embora seja bom limitar o tráfego ssh apenas a fontes de IP confiáveis onde for prático, o que torna o ssh seguro é o uso de chaves privadas e configurações sensatas.

Principais itens a serem considerados:

  • Adicione uma frase secreta à sua chave privada SSH
  • Desativar senha auth para SSH
  • Desativar login raiz para SSH
  • Auditar todas as contas de usuário para chaves públicas SSH

Você também pode fazer algumas coisas para se livrar do "ruído" associado a ataques de força bruta:

  • Executa o ssh em uma porta superior
  • Use software como o fail2ban, que registra dinamicamente várias tentativas com falha e bloqueia intervalos de IP por períodos de tempo especificados
por 30.06.2015 / 13:17
3

Não há problema em restringir o acesso ao seu servidor SSH pelo endereço IP, mas o SSH não depende disso para sua segurança. Se você desativar os logins de senha ( PasswordAUthentication no ) e usar somente a autenticação de chave privada, ninguém poderá entrar sem sua chave privada. É seguro.

Em outras palavras, você não precisa se preocupar com as regras do firewall se não quiser.

    
por 29.06.2015 / 23:18
1

Você pode adicionar um intervalo CIDR ao grupo de segurança que representa o superconjunto de todos os IPs que seu ISP pode alocar para você.

Ou use a API da AWS para atualizar dinamicamente seu grupo de segurança.

    
por 29.06.2015 / 22:00
1

Existem algumas soluções mais recentes para esta pergunta mais antiga:

De dentro da AWS: Como atualizar automaticamente seus grupos de segurança para o Amazon CloudFront e o AWS WAF usando o AWS Lambda

Atualização remota da fonte dinâmica (script node.js): aws-ec2-ssh-secgroup- atualizar script de nó

Atualização remota da fonte dinâmica (script Python): Adicionar automaticamente o IP público atual ao Grupo de segurança para permitir o tráfego em uma porta específica

    
por 17.07.2017 / 11:45