ADMIN 11/13 stellt die besten Lösungen vor und klärt, ob Browser-Plugins, Anonymisierer sowie Verschlüsselung wirklich helfen. Weitere Themen: Small ... (mehr)

Szenario 1: Firewall im AWS

Das folgende Szenario beschreibt, wie Sie eine Virtual Private Cloud aufsetzen, eine Sophos-UTM-Firewall sowie einen Windows-Server in der Amazon Cloud installieren und die Regeln einrichten, damit diese Systeme miteinander und auch mit dem Internet kommunizieren können (siehe Abbildung 1 ).

Dreh- und Angelpunkt für alle Amazon Web Services ist die AWS-Management-Console ( Abbildung 4 ). Die für unser Vorhaben benötigten Dienste VPC und EC2 finden sich in der Gruppe »Compute & Networking« . Im ersten Schritt soll eine Virtual Private Cloud entstehen, in der ein Windows-Server läuft. Die Virtual Private Cloud ist prinzipiell durch die Amazon-NAT-Firewall vom Internet abgeschirmt. Stattdessen soll dort aber eine eigene Firewall laufen. Sie soll mit einem Netzwerk-Interface mit der VPC und dem dortigen Windows-Server verbunden werden. Das zweite Interface dient zur Anbindung an das Internet.

Abbildung 4: Amazons AWS bietet zahlreiche Dienste an. Glücklicherweise lassen sich die am häufigsten benötigten Services fest in der Toolbar verankern.

Tipp: Häufig benötigte Services wie EC2 und VPC können Sie sich über den »Edit« -Button in der Service-Leiste per Drag-and-Drop direkt in die Toolbar ziehen. Sie müssen dann nicht jedesmal den Umweg über das Menü nehmen, um die Konfigurationsoberfläche des jeweiligen Service aufzurufen.

Bring your own Network – VPC-Design

Im ersten Schritt muss man sich ein paar Gedanken über das Design der Virtual Private Cloud machen. Für das Testszenario soll diese Konfiguration gelten:

Network **= 192.168.100.0 / 22

Das entspricht einer Host Range von 1022 Hosts (192.168.100.1 bis 192.168.103.254). Innerhalb dieser VPC bildet man nun zwei Subnetze, nämlich 192.168.100.0/24 und 192.168.101.0/24. Die Firewall erhält für ihr externes Interface dann eine Adresse aus dem 100er-Netz; die Netzwerkkarte, die mit dem privaten Teil der VPC verbunden wird, hingegen eine aus dem 101er-Netz. So mancher Admin stellt sich wohl nun die Frage, wie das private »externe« Netz mit dem Internet kommunizieren soll. Dafür stellt AWS einen Mechanismus namens Elastic-IP bereit. Doch der Reihe nach.

Rufen Sie aus dem Services Menü »VPC« auf und starten Sie den »VPC Wizard« . Wählen Sie dort »VPC with Public and Private Subnets« und klicken Sie auf »Continue« . Im nächsten Dialog editieren Sie die einzelnen Bereiche entsprechend des Netzwerk-Designs von oben:

IP CIDR block: ** **192.168.100.0/22
DNS Hostnames: Enabled

Unter »Two Subnets« tragen Sie jetzt noch die beiden folgenden Subnetze ein:

Public Subnet: ** **192.168.100.0/24 (251 available IPs) Availability Zone: ** **us- west-2aPrivate Subnet: ** **192.168.101.0/24 (251available IPs) Availability Zone: ** **us-west-2a

Achten Sie unbedingt darauf, für beide Subnetze die gleiche »Availability Zone« auszuwählen. Die Default-Einstellung »No Preference« genügt nicht! Die restlichen Einstellungen können Sie dagegen bedenkenlos übernehmen und die VPC mit einem Klick auf »Create VPC« erzeugen. Für den Betrieb einer Virtual Private Cloud fallen übrigens keine zusätzlichen Kosten an.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023