DEV Community

Cover image for AWS Bastion Host / Jump Box

AWS Bastion Host / Jump Box

Como administradores de sistemas debemos mantener la infraestructura actualizada aplicando parches de seguridad, instalando versiones nuevas del sistema operativo y configurando aplicaciones correctamente para fortalecer la seguridad de los recursos tecnológicos en la nube y cumplir con el modelo de responsabilidades compartidas de aws. Para realizar estas actividades en instancias de EC2 y bases de datos en RDS en necesario acceder a estos recursos de forma segura.

En este post vamos a ver como establecer conexión con instancias EC2 y bases de datos RDS que se encuentran en subredes privadas sin acceso desde Internet a través de un Bastion Host o Jump Box usando las herramientas OpenSSH y MySQL Workbench. Utilizaremos la red privada virtual (VPC) y Subredes generadas en el post Redes en AWS desde 0 para proteger la infraestructura creando entornos privados y seguros con topologías de red y controlando el acceso de comunicaciones entrantes o salientes hacia instancias de EC2 o bases de datos en RDS.

Iniciamos creando la instancia EC2 para el Bastion Host, posterior aprovisionando las instancias EC2 y RDS en Subred privada y estableciendo conexión por medio del Bastion Host a las instancias privadas de EC2 y MySQL RDS, comencemos:
 

Crear Bastion Host.

Image description

Es una instancia de EC2 desplegada en una VPC y Subred publica (con acceso desde internet) para la conexión con instancias EC2 o bases de datos RDS localizadas en VPC y Subredes privadas (sin acceso desde internet) por medio del protocolo SSH (Secure Shell) y TCP/IP. Los pasos para crear un Bastion Host son:
 

  • Usar asistente de lanzamiento de instancia EC2. Seleccionar AMI (Amazon Machine Image), para este ejemplo usamos Amazon Linux 2 AMI.

Image description
 

  • Seleccionar VPC y Subred Publica en configuración de detalles de la instancia EC2.

Image description

En el Post Redes en AWS desde 0 creamos la subred publicSubnet1A con CIDR 192.168.0.0/27 y VPC 192.168.0.0/24, la tabla de enrutamiento y la lista de control de acceso de red (Network ACL) permiten comunicaciones internas y externas.

  • Crear Security Group (Firewall) con regla de entrada para habilitar conexión SSH por medio del protocolo TCP puerto 22 y desde la dirección IP de nuestro equipo local.

Image description
 

  • Crear llaves (publica y privada) para la autenticación por conexión con SSH.

Image description
 

  • Revisar detalles de lanzamiento de la instancia y confirmar.  

 
 

Crear instancia EC2 en subred privada.

Image description

Una instancia EC2 es privada si es desplegada en una subred con restricciones en la comunicación desde internet. Los pasos para crear una instancia EC2 y desplegarla en subred privada son:
 

  • Usar asistente de lanzamiento de instancia EC2. Seleccionar AMI (Amazon Machine Image), para este ejemplo usamos Amazon Linux 2 AMI.

Image description
 

  • Seleccionar VPC y Subred Privada en configuración de detalles de la instancia EC2.

Image description

En el Post Redes en AWS desde 0 creamos la subred privateSubnet1A con CIDR 192.168.0.32/27 privada y la VPC 192.168.0.0/24, la tabla de enrutamiento y la lista de control de acceso de red (Network ACL) permiten comunicaciones internas.
 

  • Crear Security Group (Firewall) con regla de entrada para habilitar conexión SSH por medio del protocolo TCP puerto 22 y desde el Security Group usado por el Bastion Host.

Image description
 

  • Crear llaves (pública y privada) para la autenticación por conexión con SSH. Estas llaves deben ser diferente a las creadas para la instancia del Bastion Host para incrementar la seguridad y mitigar el riesgo de acceso a varios recursos de infraestructura si un atacante secuestra las llaves.

Image description
 

  • Revisar detalles de lanzamiento de la instancia y confirmar.

 
 

Crear Base de Datos RDS en subred privada.

Image description

Una instancia de base de datos RDS es privada si es desplegada en una subred con restricciones en la comunicación desde internet. Los pasos para crear una base de datos SQL privada en RDS son:
 

  • Crear Subnet Group con VPC y al menos dos Subredes en 2 zonas de disponibilidad diferentes en la región AWS:

Image description

En el Post Redes en AWS desde 0 creamos la subred privada privateSubnet1A con CIDR 192.168.0.32/27 en zona de disponibilidad us-east-2a y la VPC con CIDR 192.168.0.0/24, la tabla de enrutamiento y la lista de control de acceso de red (Network ACL) permiten comunicaciones internas. En la zona de disponibilidad us-east-2b tenemos la subred publicSubnet1B con CIDR 192.168.0.64/27 en la misma VPC. El objetivo de Subnet Group es agrupar subredes que son usadas para el despliegue de instancias de la base de datos por ejemplo read replica o standby.
 

  • Crear Security Group (Firewall) con regla de entrada para habilitar conexión MYSQL/Aurora por medio del protocolo TCP puerto 3306 y desde el Security Group usado por el Bastion Host

Image description
 

  • Usar asistente de lanzamiento de instancia RDS. Seleccionar Motor de Base de Datos, para este ejemplo usamos MySQL:

Image description
 

  • Ingresar identificador de instancia de base de datos y crear credenciales de acceso a la base de datos, Master username y Master password:

Image description
 

  • Configurar propiedades de conexión a la base de datos, ingresar valores para VPC y Subnet Group (Creado en el punto 1), habilitar restricción acceso público, security group (Creado en el punto 2), seleccionar zona de disponibilidad donde se encuentra la subred privada (us-east-2) y puerto.

Image description
 

  • Asignar nombre a la base de datos:

Image description
 

  • Crear base de datos.

 
 

Conexión SSH hacia el Bastion Host

Image description

Para la conexión hacia el Bastion Host desde nuestro equipo Local podemos utilizar clientes SSH como OpenSSH, PuTTY, MobaXterm, WinSCP y otros. Necesitamos la dirección ip publica o DNS de la instancia EC2 (Bastion Host) y el nombre de usuario por defecto en la AMI usada para crear la instancia EC2. Los pasos para establecer la conexión son:
 

  • Buscar dirección IP publica o DNS en detalles de la instancia EC2:

Image description
 

  • Buscar nombre de usuario por defecto usado para crear instancia EC2. Para Amazon Linux 2 AMI el nombre de usuario es ec2-user.
     

  • Desde nuestro equipo local usando el cliente OpenSSH por línea de comandos ejecutamos el comando ssh-add -k para agregar la llave privada (.pem) del Bastion Host al agente de ssh:

Image description

En Windows, iniciar el Servicio OpenSSH Authentication Agent primero para ejecutar el comando ssh-add.
 

  • Ejecutar el comando ssh {user-name}@{public IP address}, con el nombre de usuario y la dirección ip publica de la instancia EC2 para establecer conexión ssh:

Image description

 
 

Conexión SSH hacia instancia EC2 Privada

Image description

Con la conexión establecida con el Bastion Host, ejecutamos los siguientes pasos desde el cliente OpenSSH para establecer conexión con la instancia EC2 privada::
 

  • Buscar dirección IP privada en detalles de la instancia EC2:

Image description
 

  • Nombre de Usuario por defecto de la AMI (Amazon Machine Image) utilizada en la creación de la instancia EC2. Para Amazon Linux 2 AMI el nombre de usuario es ec2-user.
     

  • Desde nuestro equipo local usando el cliente OpenSSH por línea de comandos ejecutamos el comando ssh-add -k para agregar la llave privada (.pem) de la instancia privada al agente de ssh:

Image description

En Windows, ejecutar el Servicio OpenSSH Authentication Agent primero para ejecutar el comando ssh-add.
 

  • Ejecutar el comando ssh – J {user-name}@{public IP address} {user-name}@{private IP address}, con el nombre de usuario y la dirección ip publica del Bastion Host y el nombre de usuario y la dirección ip de la instancia privada para establecer conexión ssh:

Image description

 
 

Conexión Base de datos Privada

Image description

Los pasos para establecer conexión con la base de datos privada por medio del cliente MySQL Workbench son los siguientes:
 

  • Buscar end-point y puerto de conexión a la base de datos en detalles de la instancia en RDS.

Image description
 

  • Abrir asistente para configurar conexión estándar TCP/IP sobre SSH en MySQL Workbench. Ingresar información en los siguientes parámetros:  

a. SSH Hostname: Dirección ip publica o DNS del Bastion Host con el puerto 22.

b. SSH Username: Nombre de Usuario por defecto de la AMI (Amazon Machine Image) utilizada en la creación de la instancia EC2. Para Amazon Linux 2 AMI el nombre de usuario es ec2-user.

c. SSH Key File: Llave privada para la autenticación por conexión con SSH con el Bastion Host.

d. MySQL Hostname: End-point de conexión a la base de datos del punto 1.

e. Username: Nombre de usuario de la base de datos.

f. Password: Contraseña para la autenticación con la base de datos.

Image description
 

  • Probar la conexión

Image description

 
 

Conclusión

En este post vimos los pasos para establecer conexión con instancias de EC2 y RDS privadas de forma segura por medio del Bastion Host como servidor intermedio. Usamos las herramientas OpenSSH y Workbench como clientes en la conexión con la instancia de EC2 y base de datos en RDS.
 

References

How can I use an SSH tunnel and MySQL Workbench to connect to a private Amazon RDS MySQL DB instance that uses a public EC2 instance?
 

SSH to remote hosts though a proxy or bastion with ProxyJump

Discussion (0)