SSH w trybie bastionu

W tym rozdziale przedstawiony jest przykład podstawowej konfiguracji Fudo Enterprise, której celem jest monitorowanie połączeń SSH ze zdalnym serwerem. Scenariusz zakłada, że użytkownik łącząc się ze zdalnym serwerem, wykorzystując protokół SSH uwierzytelnia się przed Fudo Enterprise używając własnego loginu i hasła (john_smith/john). Nawiązując połączenie, użytkownik wskazuje w treści loginu nazwę użytkownika, login konta na serwerze docelowym oraz adres serwera docelowego. Połączenie realizowane jest za pośrednictwem portu numer 22, domyślnego dla protokołu SSH.

Fudo Enterprise zestawiając połączenie ze zdalnym serwerem dokonuje podmiany hasła i loginu na root/password (tryby uwierzytelniania opisane są w sekcji Tryby uwierzytelniania użytkowników).

../../_images/quickstart_overview_ssh_bastion.png

Założenia

Poniższy opis zakłada, że pierwsze uruchomienie urządzenia zostało prawidłowo przeprowadzone. Procedura pierwszego uruchomienia jest opisana w rozdziale Pierwsze uruchomienie.

Konfiguracja

../../_images/data_modeling1.png

Dodanie serwera

Serwer jest definicją zasobu infrastruktury IT, z którym istnieje możliwość nawiązania połączenia za pośrednictwem wskazanego protokołu.


  1. Wybierz z lewego menu Zarządzanie > Serwery.
  2. Kliknij Dodaj i wybierz opcję Serwer statyczny.
  1. Uzupełnij parametry konfiguracyjne serwera:
Parametr Wartość
Ogólne  
Nazwa ssh_server
Opis fail
Zablokowane fail
Protokół SSH
Starsze algorytmy kryptograficzne fail
Adres źródłowy Dowolny
   
Uprawnienia  
Uprawnieni użytkownicy fail
   
Adresy serwerów  
Adres IP 192.168.0.100
Port 22
  1. W sekcji Weryfikacja serwera wybierz Klucz publiczny serwera i wprowadź klucz w polu tekstowym lub kliknij Pobierz klucz publiczny, aby pobrać klucz.
  2. Kliknij Zapisz.

Dodanie użytkownika

Użytkownik definiuje podmiot uprawniony do nawiązywania połączeń z monitorowanymi serwerami. Szczegółowa definicja obiektu (unikatowa kombinacja loginu i domeny, pełna nazwa, adres email) pozwalają na jednoznaczne wskazanie osoby odpowiedzialnej za działania, w przypadku współdzielenia konta uprzywilejowanego.


  1. Wybierz z lewego menu Zarządzanie > Użytkownicy.
  2. Kliknij przycisk Dodaj.
Parametr Wartość
Ogólne  
Login john_smith
Zablokowane fail
Ważność konta Bezterminowe
Rola user
Preferowany język polski
Pełna nazwa John Smith
Email fail
Organizacja fail
Telefon fail
Domena AD fail
Baza LDAP fail
   
Uprawnienia  
Uprawnieni użytkownicy fail
   
Uwierzytelnienie  
Niepowodzenia uwierzytelnienia fail
Zastosuj złożoność hasła statycznego fail
Typ Hasło
Hasło john
Powtórz hasło john
  1. Kliknij Zapisz.

Dodanie gniazda nasłuchiwania

Gniazdo nasłuchiwania determinuje tryb połączenia serwera (proxy, brama, pośrednik, przezroczysty) oraz protokół komunikacji.


  1. Wybierz z lewego menu Zarządzanie > Gniazda nasłuchiwania.
  2. Kliknij Dodaj.
  1. Uzupełnij parametry konfiguracyjne:
Parametr Wartość
Nazwa ssh_listener
Zablokowane fail
Protokół SSH
Starsze algorytmy kryptograficzne fail
Nierozróżnianie wielkości liter fail
Uprawnienia  
Uprawnieni użytkownicy fail
Tryb połączenia Bastion
Adres lokalny 10.0.150.151
Port 22
Adres zewnętrzny fail
Port zewnętrzny fail
  1. Kliknij i, aby wygenerować klucz SSH lub i, aby wgrać klucz prywatny serwera.

Informacja

Ze względów bezpieczeństwa, formularz wyświetla klucz publiczny odpowiadający wgranemu lub wygenerowanemu kluczowi prywatnemu.

  1. Kliknij Zapisz.

Informacja

Upewnij się, że w ustawieniach sieciowych, na wskazanym adresie IP nie jest włączona opcja dostępu administracyjnego .

Dodanie konta

Konto stanowi definicję konta uprzywilejowanego na monitorowanym serwerze. Obiekt określa tryb uwierzytelnienia użytkowników: anonimowe (bez uwierzytelnienia), zwykłe (z podmianą loginu i hasła) lub z przekazywaniem danych logowania; politykę zmiany haseł a także login i hasło konta uprzywilejowanego.


  1. Wybierz z lewego menu Zarządzanie > Konta.
  2. Kliknij Dodaj.
  1. Uzupełnij parametry konfiguracyjne:
Parametr Wartość
Ogólne  
Nazwa admin_ssh_server
Zablokowane fail
Typ regular
Nagrywanie sesji wszystko
Notatki fail
Retencja danych  
Nadpisz globalne ustawienia retencji fail
Usuń dane sesji po upływie 61 dni
Uprawnienia  
Uprawnieni użytkownicy fail
Serwer  
Serwer ssh_server
Dane uwierzytelniające  
Domena fail
Login root
Zastąp sekret hasłem
Hasło password
Powtórz hasło password
Polityka modyfikatora haseł Statyczne, bez ograniczeń
  1. Kliknij i, aby wygenerować klucz SSH lub i, aby wgrać klucz prywatny serwera.
  2. Kliknij Zapisz.

Dodanie sejfu

Sejf bezpośrednio reguluje dostęp użytkowników do monitorowanych serwerów. Określa dostępną dla użytkowników funkcjonalność protokołów, polityki proaktywnego monitoringu połączeń i szczegóły relacji użytkownik-serwer.


  1. Wybierz z lewego menu Zarządzanie > Sejfy.
  2. Kliknij Dodaj.
  1. Uzupełnij parametry konfiguracyjne:
Parametr Wartość
Ogólne  
Nazwa ssh_safe
Zablokowane fail
Powiadomienia fail
Powód logowania fail
Wymagaj potwierdzenia fail
Polityki fail
Note access No access
   
Funkcjonalność protokołów  
RDP fail
SSH ok
VNC fail
  1. Przejdź na zakładkę Użytkownicy.
  2. Kliknij Dodaj użytkownika.
  3. Znajdź użytkownika john_smith i kliknij i.
  4. Kliknij OK.
  5. Przejdź na zakładkę Konta.
  6. Kliknij Dodaj konto.
  7. Znajdź konto admin_ssh_server i kliknij i.
  8. Kliknij OK.
  9. Kliknij w kolumnie Gniazda nasłuchiwania.
  10. Znajdź obiekt ssh_listener i kliknij i.
  11. Kliknij OK.
  12. Kliknij Zapisz.

Nawiązanie połączenia

PuTTY - klient SSH dla systemu operacyjnego Microsoft Windows

  1. Pobierz i uruchom PuTTY.
  2. W polu Host Name (or IP address) wprowadź adres 10.0.150.151.
  3. Określ typ połączenia SSH i pozostaw domyślny numer portu.
../../_images/putty_bastion.png
  1. Kliknij Open.
  2. Wprowadź nazwę użytkownika, login konta na serwerze docelowym oraz adres serwera docelowego.
../../_images/putty_bastion_login.png
  1. Wprowadź hasło użytkownika.

Interfejs Wiersza polecenia

Uruchom terminal i wykonaj komendę używając podanego formatu:

ssh -l <fudo-user>#<server-user>#<server-address> <fudo-address>

Example:

ssh -l john_smith#root#192.168.0.110 10.0.150.151

Podgląd sesji połączeniowej

  1. W przeglądarce internetowej wpisz adres IP, pod którym dostępny jest panel zarządzający Fudo Enterprise.
  2. Wprowadź nazwę użytkownika oraz hasło, aby zalogować się do interfejsu administracyjnego Fudo Enterprise.
  1. Wybierz z lewego menu Zarządzanie > Sesje.
  2. Znajdź na liście sesję użytkownika John Smith i kliknij i.

Tematy pokrewne: