背景:
我正在学习设置我的亚马逊网络服务帐户。我观看了视频教程(http://youtu.be/-xVyuLJZFYc),他们提到,在安全组仪表板中,可以通过协议、端口和 IP 地址阻止(或允许)访问。
问题:
我的互联网服务提供商使用 DHCP(http://www.myaccount.charter.com/customers/support.aspx?supportarticleid=49)。据我理解,这意味着我的 IP 地址将会被 dhcp 服务定期更改。
这似乎是一个问题,因为如果我只想允许我的台式计算机访问(通过指定我的 IP 地址),那么我的 IP 地址将被更改为我无法预料的某个值,然后我每次都需要手动更改组设置。
问题:
是否有任何技术、工具或解决方法可以帮助我在亚马逊安全组设置中添加我的 IP 地址,这样我就不需要不断调整设置来考虑 DHCP?
笔记:
此外,如果我的网络知识似乎有所欠缺,请随时提供一般的概念性想法(或资源)。
答案1
静态IP
如果根据您的 IP 锁定访问是优先事项,那么请获取静态 IP。
动态 IP - 手动更新防火墙
如果您不想为静态 IP 付费,请在 IP 发生变化时更新安全组规则。
您可以手动执行此操作。
动态 IP - 通过脚本更新防火墙
您可以在您的计算机上创建一个脚本来监控您的 IP 地址并使用新的 IP 地址更新您的 AWS 账户(尽管您必须确定这是否是可接受的安全风险)。
端口敲门
您可能还对使用端口敲击感兴趣(再次您必须确定这是否是可接受的安全风险):
端口敲击是一种通过在一组预先指定的关闭端口上生成连接尝试来从外部打开防火墙端口的方法。一旦收到正确的连接尝试序列,防火墙规则就会动态修改,以允许发送连接尝试的主机通过特定端口进行连接。
SSH 访问
如果我们谈论 SSH,您还应该考虑许多其他安全措施:
- 使用私钥/公钥对进行 SSH 访问
- 让 SSH 在单独的网络接口上监听(使您的服务远离窥探)
- 不允许 root ssh 访问,实际上只允许特定用户/组访问 ssh
- 使用类似 fail2ban 的软件缓解暴力攻击
答案2
说实话,除非你非常小心地设置 IP 地址,否则 IP 地址安全会带来问题和不安全。就你的情况而言,不要这么做。
选择一个非常好的密码。使用类似http://www.passwordmeter.com/帮助您选择一个。如果它在该网站上的评级不是 100%,请不要使用它。另外,考虑使用 32 个以上字符的完全随机垃圾,将密码保存在密码程序中(不要忘记备份程序)。
此外,任何可用于恢复您的帐户、安全问题等的东西,也用随机垃圾来回答它们,将这些“答案”保存在上面的密码程序的注释中。