نحوه اتصال به یک زیرشبکه خصوصی با استفاده از میزبان Bastion از طریق PuTTY Pageant

در این مقاله، نحوه اتصال ایمن به یک نمونه در یک زیرشبکه خصوصی با استفاده از Bastion Host با PuTTY و Pageant را بررسی خواهیم کرد. این روش به طور گسترده برای دسترسی به نمونه هایی استفاده می شود که از دسترسی مستقیم به اینترنت برای اهداف امنیتی جدا شده اند.

مقدمه

هنگام کار با محیط‌های ابری مانند AWS، معمولاً با سناریوهایی مواجه می‌شویم که دسترسی مستقیم به نمونه‌های EC2 در زیرشبکه‌های خصوصی به دلایل امنیتی محدود شده است. Bastion Host به عنوان دروازه ای برای اتصالات SSH ایمن عمل می کند و استفاده از ابزارهایی مانند PuTTY و Pageant می تواند این فرآیند را ساده و ایمن و راحت کند.

اصطلاحات کلیدی

بتونه: یک کلاینت محبوب SSH که برای اتصال به سرورهای راه دور در ویندوز استفاده می شود.

مسابقه: یک عامل احراز هویت SSH که همراه با PuTTY است. این کلیدهای خصوصی شما را ذخیره می کند و آنها را برای اتصالات SSH در دسترس قرار می دهد و نیازی به وارد کردن مکرر کلید خصوصی برای جلسات مختلف را از بین می برد.

ابر خصوصی مجازی (VPC): یک شبکه منطقی ایزوله شده در AWS که می توانید منابع AWS را راه اندازی کنید. برای کنترل محیط شبکه می توانید زیر شبکه ها، جداول مسیر و دروازه ها را در داخل یک VPC تعریف کنید. زیرشبکه های خصوصی در یک VPC از اینترنت جدا شده اند و به روش های دسترسی خاصی مانند Bastion Host نیاز دارند.

ابر محاسباتی الاستیک (EC2): یک سرویس وب که ظرفیت محاسباتی قابل تغییر اندازه را در فضای ابری فراهم می کند. در این زمینه، شما دو نمونه EC2 دارید: یکی در یک زیرشبکه خصوصی (بدون دسترسی مستقیم به اینترنت) و دیگری در یک زیرشبکه عمومی که به عنوان میزبان Bastion عمل می کند.

میزبان Bastion: یک نمونه EC2 در یک زیرشبکه عمومی VPC شما که در معرض اینترنت است. این به عنوان دروازه ایمن برای نمونه هایی که در زیرشبکه های خصوصی قرار دارند عمل می کند. این به شما امکان می دهد تا به صورت غیرمستقیم به نمونه هایی در یک زیرشبکه خصوصی SSH کنید و قرار گرفتن آن نمونه ها در اینترنت را به حداقل می رساند.

چرا از PuTTY و Pageant برای اتصالات میزبان Bastion استفاده کنیم؟

امنیت: این روش با اطمینان از اینکه نمونه خصوصی شما مستقیماً در معرض اینترنت قرار نمی گیرد، یک لایه امنیتی اضافی را فراهم می کند. دسترسی از طریق Bastion Host انجام می شود.

کارایی: با استفاده از Pageant، می‌توانید چندین کلید SSH را بدون نیاز به وارد کردن دستی هر بار که به نمونه‌های مختلف متصل می‌شوید، به صورت ایمن مدیریت کنید.

پیش نیازها

قبل از شروع، اطمینان حاصل کنید که موارد زیر را دارید:

• یک حساب AWS: برای ایجاد و مدیریت موارد VPC، EC2 و سایر منابع به یک حساب فعال AWS نیاز دارید.

• بتونه: PuTTY را بر روی دستگاه محلی خود دانلود و نصب کنید. PuTTYgen و Pageant همراه با PuTTY هستند، بنابراین به طور همزمان نصب خواهند شد.

زمینه

بیایید آنچه را که در این پروژه انجام خواهیم داد را تجزیه و تحلیل کنیم:

1. ایجاد VPC: یک VPC با نام ” ایجاد می کنیمویکتور-رابین-وی پی سی.“

2. بخش زیر شبکه: ما VPC را به زیرشبکه های عمومی و خصوصی تقسیم می کنیم. زیرشبکه عمومی به یک دروازه اینترنتی متصل می شود، در حالی که زیرشبکه خصوصی یا ایزوله می ماند یا در صورت لزوم از طریق دروازه NAT به اینترنت متصل می شود. این تنظیمات به زیرشبکه خصوصی اجازه می دهد تا به منابع موجود در اینترنت بدون دسترسی مستقیم از آن دسترسی داشته باشد.

3. موارد EC2: ما دو نمونه EC2 را راه اندازی خواهیم کرد—یکی در زیرشبکه عمومی (میزبان سنگر) با یک IP عمومی و یکی در زیر شبکه خصوصی بدون IP عمومی. نمونه خصوصی یک خط‌مشی گروه امنیتی خواهد داشت که به ترافیک SSH ورودی از زیرشبکه عمومی اجازه می‌دهد.

4. اتصال از طریق PuTTY و Pageant: در نهایت، با استفاده از PuTTY به Bastion Host متصل می‌شویم، کلیدهای خصوصی خود را در Pageant آپلود می‌کنیم، agent Forwarding و سپس SSH را در زیرشبکه خصوصی برای دسترسی به نمونه خصوصی EC2 راه‌اندازی می‌کنیم.

راهنمای گام به گام

1. وارد کنسول AWS خود شوید:

• با ورود به کنسول AWS خود شروع کنید. تصویر زیر نشان می دهد که داشبورد کنسول AWS من پس از ورود به سیستم چگونه به نظر می رسد.

2. یک VPC ایجاد کنید:

• جستجو برای “VPC“در نوار جستجو در بالای کنسول، سپس بر روی” کلیک کنیدVPC” در نتایج.

در صفحه بعد روی “کلیک کنید”VPC ایجاد کنید“.

• در صفحه بعدی، “فقط VPC“گزینه.

من VPC خود را نامگذاری کردم “ویکتور-رابین-وی پی سی“. شما می توانید نام خود را هر طور که می خواهید نامگذاری کنید، اما قوانین نامگذاری وجود دارد که باید دنبال کنید. برای بلوک آدرس شبکه، من از ” استفاده کردم192.168.0.0/16“. ترک اجاره به عنوان”پیش فرض“(تغییر به “تخصصی” ممکن است هزینه های اضافی را متحمل شود). تأیید کنید که همه چیز مانند تصویر ارائه شده به نظر می رسد، سپس روی ” کلیک کنیدVPC ایجاد کنید“.

وویلا! VPC شما اکنون ایجاد شده است. روی ” کلیک کنیدVPC های شما“برای مشاهده آن. باید دو VPC را ببینید: پیش فرض ایجاد شده توسط AWS و جدید”ویکتور-رابین-وی پی سی“.

3. ایجاد زیرشبکه:

• در پنل سمت چپ صفحه، روی “کلیک کنید”زیر شبکه هابرای ایجاد زیرشبکه برای VPC خود.

• کلیک کنید “ایجاد زیر شبکه” در صفحه بعد.
• در منوی کشویی، VPC را که ایجاد کرده‌اید انتخاب کنید (“ویکتور-رابین-وی پی سی“یا هر نامی که انتخاب کردید) و روی “” کلیک کنیدایجاد زیر شبکهVPC دیگر نشان داده شده، پیش فرض است.

• من اولین زیر شبکه ام را نامگذاری کردمOVR-Private” و انتخاب کرد N. ویرجینیا به عنوان منطقه در دسترس بودن (مکانی که می خواهم زیرشبکه ایجاد شود). من شبکه VPC خود را از ” زیر شبکه کردم192.168.0.0/16“به”192.168.1.0/24” برای زیر شبکه خصوصی من، همانطور که با نام مشخص است.

• برای ایجاد زیرشبکه دوم به طور همزمان، روی ” کلیک کنیداضافه کردن زیر شبکه جدید“در پایین صفحه نمایش.

• تنظیمات مشابه اول را انجام دهید اما با این اعتبارنامه های جدید. نام زیر شبکه دومم را گذاشتمOVR-Public“با محدوده IP از”192.168.2.0/24پس از تنظیم هر دو زیرشبکه، روی ” کلیک کنیدایجاد زیر شبکه“.

ویولا! هر دو زیر شبکه ایجاد می شوند. ما اکنون یک شبکه در فضای ابری ایجاد کرده‌ایم و آن را زیر شبکه قرار داده‌ایم. من یک لیوان آب به عنوان جایزه می گیرم، اما هنوز شبکه های بیشتری باید انجام شود.

4. یک دروازه اینترنتی ایجاد و ضمیمه کنید:

• روی ” کلیک کنیددروازه های اینترنت“از پنل سمت چپ برگه و کلیک کنید”ایجاد دروازه اینترنت“

• در صفحه بعدی، نامی به آن بدهید (من اسم خودم را گذاشتم”OVR-IGW“)، و کلیک کنید “ایجاد دروازه اینترنت“.

• پس از ایجاد، روی “کلیک کنیدبه VPC وصل کنیددر گوشه سمت چپ بالا برای اتصال دروازه اینترنت به VPC خود.

• در صفحه بعدی، VPC را که قبلا ایجاد کرده اید از منوی کشویی انتخاب کنید، سپس روی ” کلیک کنید.دروازه اینترنت را وصل کنید“.

5. یک دروازه NAT ایجاد کنید:

• روی ” کلیک کنیددروازه های NAT“از پنل سمت چپ، سپس کلیک کنید”دروازه NAT ایجاد کنید“.

• دروازه NAT را نامگذاری کنید (من نام خود را نامگذاری کردم”OVR-NAT“)، زیرشبکه خصوصی مورد نظر برای اتصال به اینترنت از طریق NAT را انتخاب کنید و روی ” کلیک کنید.اختصاص IP الاستیکبرای ایجاد یک IP عمومی ثابت برای استفاده از شبکه خصوصی.

• کلیک کنید “دروازه NAT ایجاد کنید“. نوع اتصال پیش فرض “عمومی“، اما اگر می خواهید بین شبکه های خصوصی NAT کنید، می تواند خصوصی باشد.

• کمی به آن زمان بدهید تا نهایی شود، و نتیجه باید مانند تصویر ارائه شده باشد.

6. مسیریابی را برای زیرشبکه عمومی پیکربندی کنید:

• اکنون باید مسیریابی را طوری پیکربندی کنیم که ترافیک از زیرشبکه عمومی به اینترنت برسد. روی ” کلیک کنیدجداول مسیر“از پنل سمت چپ، سپس کلیک کنید”جدول مسیر را ایجاد کنید“در گوشه بالا سمت راست.

• جدول مسیر را نام ببرید (من نام خود را نامگذاری کردم”OVR-Public-RT“)، VPC را انتخاب کرده و روی ” کلیک کنیدجدول مسیر را ایجاد کنید“.

• پس از ایجاد جدول مسیر، باید آن را با زیر شبکه عمومی مرتبط کنیم. روی ” کلیک کنیدانجمن های زیر شبکه“، سپس”پیوندهای زیر شبکه را ویرایش کنید“، زیرشبکه عمومی را انتخاب کنید و روی ” کلیک کنیدذخیره کنید“.

• بعد، مسیریابی را پیکربندی کنید. روی ” کلیک کنیدجداول مسیر“دوباره، ” را انتخاب کنیدOVR-Public-RT“، سپس تحت “مسیرها“، کلیک کنید”ویرایش مسیرها“.

• اضافه کردن یک مسیر جدید با مقصد “0.0.0.0/0” (به معنی هر کجا) و در زیر هدف، ” را انتخاب کنیددروازه اینترنتدروازه اینترنتی را که قبلا ایجاد کردید انتخاب کنید. تغییرات را ذخیره کنید.

7. مسیریابی را برای زیرشبکه خصوصی پیکربندی کنید:

• این فرآیند را برای زیرشبکه خصوصی تکرار کنید. روی ” کلیک کنیدجداول مسیر“از پنل سمت چپ، سپس کلیک کنید”جدول مسیر را ایجاد کنید“و نامش را بگذار (من اسم خودم را گذاشتم”OVR-Private-RT“).

• VPC را انتخاب کرده و جدول مسیر را ایجاد کنید.

• همانطور که برای زیرشبکه عمومی انجام دادیم، این جدول مسیر جدید را با زیرشبکه خصوصی مرتبط کنید. جدول مسیر را انتخاب کنید، روی “کلیک کنید”انجمن های زیر شبکه” گزینه را انتخاب کنید و سپس پیوندها را ویرایش کنید. فقط زیرشبکه خصوصی را انتخاب کنید و تغییرات را ذخیره کنید. می توانید به عنوان راهنما به مراحل ایجاد و مرتبط کردن جدول مسیر عمومی با زیرشبکه عمومی متناظر آن مراجعه کنید.

• در نهایت مسیریابی را برای زیرشبکه خصوصی پیکربندی کنید. حرکت به جداول مسیر، جدول مسیر مرتبط با زیرشبکه خصوصی را انتخاب کرده و بر روی آن کلیک کنید مسیرها. مسیر را ویرایش کنید، همان مراحلی را که برای مسیر عمومی انجام دادید دنبال کنید، اما این بار، آن را انتخاب کنید دروازه NAT به عنوان هدف به جای دروازه اینترنت.

ما با راه اندازی شبکه تمام شد! برای کار بزرگ انجام شده یک لیوان دیگر آب مصرف کنید. اکنون، بیایید به ایجاد سرورها بپردازیم: یکی برای Bastion Host (در زیرشبکه عمومی) و دیگری در زیرشبکه خصوصی، که مستقیماً از اینترنت قابل دسترسی نیست.

8. راه اندازی نمونه EC2 برای زیرشبکه عمومی

جستجو برای EC2 از نوار جستجو و روی آن کلیک کنید.

از داشبورد EC2 روی “کلیک کنید”راه اندازی نمونه“.

• نمونه را نام ببرید. من نمونه ام را نام می برم”OVR-Bastionو بقیه موارد را به عنوان پیش فرض برای این آموزش بگذارید. با این حال، ما باید تنظیمات شبکه را ویرایش کنیم و یک جفت کلید ایجاد کنیم که بعداً در Pageant آپلود خواهیم کرد.

• یک جفت کلید ایجاد کنید. روی دکمه ای که می گوید “کلیک کنیدیک جفت کلید جدید ایجاد کنید“، نامی به آن بدهید، RSA را انتخاب کنید، آن را انتخاب کنید .ppk پسوند، و سپس روی “جفت کلید ایجاد کنید“

• ویرایش تنظیمات شبکه روی ” کلیک کنیدویرایش کنید” در بخش تنظیمات شبکه. لطفاً برچسب شماره 1 را در تصویر زیر نادیده بگیرید، تصویر بعدی بهتر توضیح می دهد

• VPC را از پیش فرض به ” تغییر می دهمویکتور-رابین-وی پی سی“من ایجاد کردم.
• زیرشبکه Public را انتخاب کنید و IP عمومی را به صورت خودکار اختصاص دهید.
• برای سهولت در پیکربندی نمونه خصوصی، نام گروه امنیتی پیش‌فرض نمونه عمومی خود را از ” تغییر می‌دهم.Launch-wizard-4“به”سنگر-سیاست“.
• همه چیز را همانطور که هست رها کنید و روی ” کلیک کنیدراه اندازی نمونه“به آن زمان برای صرفه جویی بدهید.

اکنون، تقریباً همین روند را برای نمونه خصوصی تکرار می کنم.

9. نمونه خصوصی را راه اندازی کنید:

• روی ” کلیک کنیدموارد“و سپس”راه اندازی نمونه“یا EC2 را از داشبورد جستجو کنید و روی” کلیک کنیدراه اندازی نمونهاز گوشه سمت راست بالای داشبورد EC2.

• نمونه را نام ببرید”OVR-Private“و یک جفت کلید تولید کنید. این بار آن را نامگذاری کردم”OVR-کلید خصوصی“و همینطور .ppk پسوند برای کلید.
• تنظیمات دیگر را به عنوان پیش فرض بگذارید، سپس به تنظیمات شبکه بروید و به صورت زیر ویرایش کنید:

• “ویکتور-رابین-وی پی سی“
• زیرشبکه خصوصی را انتخاب کنید.
• غیرفعال کردن اختصاص خودکار IP عمومی
• نام خط مشی گروه امنیتی را به “Private-Policy” تغییر دهید.
• در قوانین گروه امنیتی ورودی، SSH را انتخاب کنید، هدف منبع را از ” تغییر دهیدهر جایی“به”سفارشی“، و سپس در زیر منبع، ” را انتخاب کنیدسنگر-سیاست“گروه امنیتی. همچنین می‌توانید زیرشبکه را برای سنگر وارد کنید، که در این صورت می‌شود:192.168.2.0/24“این اجازه ترافیک را فقط از زیرشبکه سنگر می دهد. من از گزینه قبلی استفاده می کنم، که به جای وارد کردن محدوده آدرس IP، خط مشی گروه را انتخاب می کنم.
• کلیک کنید “راه اندازی نمونهو به آن زمان بدهید تا مقداردهی اولیه شود.

اکنون که هر دو نمونه را تنظیم کردیم، اجازه دهید با استفاده از PuTTY و Pageant به اتصال ادامه دهیم.

10. افزودن کلید به مسابقه:

• در دسکتاپ ویندوز خود عبارت ” را جستجو کنیدمسابقه“و باز کن.
• روی ” کلیک کنیدافزودن کلیدرا فشار دهید، کلیدهای دانلود شده را پیدا کنید (احتمالاً در پوشه دانلودها) و کلیدهای نمونه های خصوصی و عمومی را یکی پس از دیگری آپلود کنید، سپس Pageant را ببندید.

11. با استفاده از PuTTY متصل شوید:

• PuTTY را در نوار جستجوی ویندوز خود جستجو کنید و برنامه را باز کنید.

• آدرس IP عمومی را برای Bastion Host خود دریافت کنید و آن را به عنوان نام میزبان در PuTTY وارد کنید.

• در “نام میزبان (یا آدرس IP)فیلد “، آدرس IP عمومی یا نام DNS میزبان Bastion را وارد کنید.

• تحت “Connection > SSH > Auth» را علامت بزنید «Allow agent forwarding“. این اجازه می دهد تا Bastion Host از کلید نمونه خصوصی بارگذاری شده در Pageant استفاده کند.

• کلیک کنید “باز کنیدبرای شروع جلسه SSH.

• وقتی از شما خواسته شد، نام کاربری را برای Bastion Host وارد کنید (به عنوان مثال، ec2-user، ubuntuو غیره). در این مورد، “ec2-user“کار می کند.

12. بررسی اتصال به Bastion Host:

• کلیک می کنم “یکبار وصل شویداز آنجایی که من فقط یک بار می‌خواهم وارد سیستم شوم و نمی‌خواهم PuTTY اعتبار من را برای ورودهای بعدی ذخیره کند.

• از اعلان ورود، من ” را وارد می کنمec2-user“و با موفقیت وارد Bastion Host شوید. می توانید این موضوع را با محدوده IP زیرشبکه خصوصی که برای زیرشبکه Bastion ایجاد کردم تأیید کنید.”192.168.2.0/24“.

13. ایجاد و تأیید فایل ها:

• حالا بیایید یک فایل به نام “ویکتور رابینقبل از ورود به زیر شبکه خصوصی.
• به یاد بیاورید که زیرشبکه Bastion “192.168.2.0/24“و زیرشبکه خصوصی است”192.168.1.0/24از اسکرین شات می بینید که من توانستم یک فایل در زیرشبکه Bastion ایجاد کنم، محتوای فایل را روی صفحه بخوانم، سپس SSH را در زیرشبکه خصوصی ایجاد کنم و یک فایل دیگر ایجاد کنم و خروجی را روی صفحه نمایش دهم.

14. SSH به زیرشبکه خصوصی:

• برای SSH از Bastion Host، به آدرس IP خصوصی زیرشبکه خصوصی نیاز دارید. می توانید با کلیک بر روی شناسه زیرشبکه خصوصی که تمام اطلاعات زیرشبکه خصوصی را نمایش می دهد، این مورد را دریافت کنید.

• از زیر شبکه عمومی، استفاده کنید ssh ec2-user@ip-address-of-the-private-subnet، در این مورد، 192.168.1.242، بنابراین ssh ec2-user@192.168.1.242.

نتیجه گیری:

اگر این مراحل را دنبال کردید، با موفقیت با استفاده از PuTTY و Pageant از طریق Bastion Host به یک زیرشبکه خصوصی متصل شده اید. این روش نه تنها با جدا نگه داشتن نمونه های خصوصی شما از اینترنت، امنیت را افزایش می دهد، بلکه مدیریت کلیدهای SSH را راحت می کند. حالا من با یک بشقاب فرنی یام به خودم پاداش می دهم. امیدوارم این راهنما مفید بوده باشد – در نظرات زیر نظر خود را به اشتراک بگذارید!