Un anfitrión de Bastion es una computadora de propósito especial diseñada para lidiar con ataques de alto ancho de banda en Internet y proporciona acceso a la red privada desde una red pública. El uso de un host Bastion es fácil y seguro, y se puede configurar en el entorno AWS utilizando instancias EC2. Un host de bastión se configura en AWS fácilmente, pero una vez que está configurado, requiere parches regulares, configuraciones y evaluación.
En este artículo, discutiremos cómo crear un host de bastión en AWS utilizando recursos de AWS como VPC, subredes, puertas de enlace e instancias.
Creando un anfitrión de bastión en AWS
El usuario debe configurar algunas configuraciones de red antes de crear instancias para el host Bastion. Comencemos con el proceso de configurar el host de bastión en AWS desde cero.
Paso 1: crea un nuevo VPC
Para crear un nuevo VPC en la consola VPC AWS, simplemente haga clic en el botón "Crear VPC":
En la configuración de VPC, seleccione la opción "VPC solamente" en los recursos para crear. Después de eso, nombre el VPC y escriba "10.0.0/16 ”como el IPv4 CIDR:
Haga clic en el botón "Crear VPC":
Paso 2: Editar configuración de VPC
Edite la configuración de VPC seleccionando primero el VPC recién creado y luego seleccionando la "Edición de Configuración VPC" en el descenso del botón "Acciones":
Desplácese hacia abajo y seleccione "Habilitar los nombres de host DNS" y luego haga clic en el botón "Guardar":
Paso 3: crear una subred
Cree una subred asociada con el VPC seleccionando la opción "Subredes" en el menú del lado izquierdo:
Seleccione el VPC para conectar la subred al VPC:
Desplácese hacia abajo y agregue un nombre y una zona de disponibilidad para la subred. Tipo "10.0.0.1/24 "en el espacio de bloque CIDR IPv4 y luego haga clic en el botón" Crear subred ":
Paso 4: Editar configuración de subred
Ahora que se ha creado la subred, seleccione la subred y haga clic en el botón "Acciones". Para el menú desplegable, seleccione la configuración "Editar subred":
Habilite la dirección IPv4 pública de Auto-Assign y guarde:
Paso 5: crear una nueva subred
Ahora, cree una nueva subred seleccionando el botón "Crear subred":
Asociar la subred con el VPC de la misma manera que se hizo con la subred anterior:
Escriba un nombre diferente para esta subred y agregue "10.0.2.0/24 "como el bloque IPv4 CIDR:
Haga clic en el botón "Crear subred":
Paso 6: crear una puerta de enlace de Internet
Ahora, cree una puerta de enlace de Internet simplemente seleccionando la opción "Puerta de enlace de Internet" desde el menú del lado izquierdo y luego haciendo clic en el botón "Crear puerta de enlace de Internet":
Nombra la puerta de entrada. Después de eso, haga clic en el botón "Crear puerta de enlace de Internet":
Paso 7: Adjunte la puerta de enlace a VPC
Ahora, es importante adjuntar la puerta de enlace de Internet recientemente creada con la VPC que estamos utilizando en el proceso. Por lo tanto, seleccione la puerta de enlace de Internet recién creada y luego haga clic en el botón "Acciones" y en el menú desplegable del botón "Acciones", seleccione la opción "Adjuntar a VPC":
Ataque el VPC y haga clic en el botón "Adjuntar puerta de enlace de Internet":
Paso 8: Editar configuración de la tabla de ruta
Vea la lista de tablas de ruta creadas de forma predeterminada simplemente haciendo clic en la opción "Tablas de ruta" desde el menú del lado izquierdo. Seleccione la tabla de ruta asociada con el VPC utilizado en el proceso. Llamamos al VPC "MyDemoVPC", y se puede diferenciar de las otras tablas de ruta viendo la columna de VPC:
Desplácese hacia abajo hasta los detalles de la tabla de ruta seleccionada y vaya a la sección "Rutas". Desde allí, haga clic en la opción "Rutas de edición":
Haga clic en "Agregar rutas":
Agregar "0.0.0.0/0 "como la IP de destino y seleccione" Gateway de Internet "de la lista que se muestra para" Target ":
Seleccione la puerta de enlace recién creada como objetivo:
Haga clic en "Guardar cambios":
Paso 9: Editar asociaciones de subred
Después de eso, vaya a la sección "Asociaciones de subred" y haga clic en la "Editar asociaciones de subred":
Seleccione la subred pública. Llamamos a la subred pública "mydemosubnet". Haga clic en el botón "Guardar asociaciones":
Paso 10: Crea una puerta de enlace Nat
Ahora, crea una puerta de enlace Nat. Para eso, seleccione las opciones de "Pie de enlace Nat" en el menú y luego haga clic en la opción "Crear puerta de enlace Nat":
Nombra primero la puerta de enlace Nat y luego asocia el VPC con la puerta de enlace Nat. Establezca el tipo de conectividad como público y luego haga clic en "Asignar IP elástica":
Haga clic en "Crear puerta de enlace nat":
Paso 11: crear una nueva mesa de ruta
Ahora, el usuario también puede agregar una tabla de ruta manualmente, y para hacerlo, el usuario debe hacer clic en el botón "Crear tabla de ruta":
Nombra la tabla de ruta. Después de eso, asocie el VPC con la tabla de ruta y luego haga clic en la opción "Crear tabla de ruta":
Paso 12: Rutas de edición
Después de crear la tabla de ruta, desplácese hacia abajo a la sección "Rutas" y luego haga clic en "Rutas de edición":
Agregue una nueva ruta en la tabla de ruta con el "objetivo" definido como la puerta de enlace Nat creada en los pasos anteriores:
Haga clic en las opciones "Editar asociaciones de subred":
Esta vez, seleccione la "subred privada" y luego haga clic en "Guardar asociaciones":
Paso 13: crear un grupo de seguridad
Se requiere un grupo de seguridad para establecer y definir reglas interiores y superiores:
Cree un grupo de seguridad agregando primero un nombre para el grupo de seguridad, agregando una descripción y luego seleccionando el VPC:
Agregue "SSH" en el tipo de las nuevas reglas con destino a la posada:
Paso 14: Inicie una nueva instancia de EC2
Haga clic en el botón "Instancia de inicio" en la consola de administración de EC2:
Nombra la instancia y seleccione un AMI. Estamos seleccionando "Amazon Linux" como el AMI para la instancia de EC2:
Configure la "configuración de red" agregando el VPC y la subred privada con el IPv4 CIDR "10.0.2.4/24 ":
Seleccione el grupo de seguridad creado para el host Bastion:
Paso 15: Inicie una nueva instancia
Configure la configuración de la red asociando el VPC y luego agregando la subred pública para que el usuario pueda usar esta instancia para conectarse a la máquina local:
De esta manera, ambas instancias de EC2 se crean. Uno tiene la subred pública, y el otro tiene la subred privada:
Paso 16: Conéctese a la máquina local
De esta manera, se crea un anfitrión de Bastion en AWS. Ahora, el usuario puede conectar la máquina local a las instancias a través de SSH o RDP:
Pegue el comando SSH copiado en el terminal con la ubicación del archivo de par de clave privado de formato "PEM":
De esta manera, el host de Bastion se crea y se usa en AWS.
Conclusión
Se utiliza un anfitrión de Bastion para establecer una conexión segura entre las redes locales y públicas y prevenir ataques. Está configurado en AWS utilizando instancias EC2, una asociada con la subred privada y la otra con la subred pública. La instancia de EC2 con la configuración de la subred pública se utiliza para construir la conexión entre la red local y pública. Este artículo explicó bien cómo crear un host de bastión en AWS.