Hace meses que trato de darle sentido a esto. Si esto es demasiado amplio, o más apropiado para otro foro, por favor dígalo. Apreciaría al menos una pista de documentación, ya que simplemente no puedo entender esto.
Tengo un firewall de puerta de enlace configurado en Linux usando iptables. La puerta de enlace tiene varias direcciones IP elásticas adjuntas. Mis entradas de DNS están configuradas para ir a esta puerta de enlace, donde filtro y enruté el acceso. Estoy usando Cloudflare para mis entradas de DNS.
Pregunta # 1: ¿Esto no impide el acceso directo a una máquina si se conoce la IP pública correcta? Esto significa que cada máquina que se va a proteger necesita sus propias reglas de servidor de seguridad local de la máquina, ¿verdad? A mi entender, no hay forma de que la máquina de la puerta de enlace sepa acerca de las IP que no posee. Dado que la IP se enrutaría a una máquina directamente. No puedo crear una nueva LAN privada (y posiblemente DHCP) y modificar la puerta de enlace de red para asignar a cada máquina una nueva IP privada. Un cambio demasiado radical a la infraestructura existente.
Tengo muchos servicios HTTP y ejecuto HAProxy detrás de mi puerta de enlace. Puedo vincular todos los DNS del sitio web a la misma dirección IP y luego usar la información del encabezado para diferenciar el host. Esto esta bien.
Tengo problemas con mis servicios que no son http. Que yo sepa, no hay manera de diferenciar una solicitud TCP que va a la misma dirección IP. es decir. Dos máquinas SQL Server independientes y no relacionadas que se ejecutan en el puerto 1433. He intentado SNI, / etc / hosts, no funciona. No puedo modificar todos los servicios existentes para usar SSL, demasiado trabajo insuperable involucrado.
Pregunta 2: ¿Es absolutamente necesario tener una IP externa diferente para cada servicio no http que quiero enrutar?
Si tengo servicios N, básicamente necesito N IP elásticas que puedo enrutar a una ubicación. Esto es frustrante porque estoy atado a N elásticos IP. Digamos que el proveedor tiene problemas graves de red, lo que significa que todos mis servicios no están disponibles. Esto me obliga a cambiarme a otro proveedor (AWS, por ejemplo), que emitirá bloques de IP completamente separados. No solo tengo que adjuntar un nuevo bloqueo de IP, tengo que cambiar cada línea de configuración con una nueva IP, Y tengo que cambiar todas las entradas de DNS a estas IP. Esto podría llevar horas. Eso es irrazonable.
Pregunta # 3: Si se configuran tanto DNSSEC como DNSCRYPT, ¿es seguro usar nombres de host en lugar de direcciones IP? Soy consciente de las vulnerabilidades con los ataques de DNS y MITM, y soy consciente de que DNSSEC no es perfecto. Sin embargo, a mi entender, parecía que DNSSEC era como una protección de servidor, y DNSCRYPT era como una protección basada en cliente. Esto me hizo preguntarme si la amenaza fue minimizada en gran medida.
Siento que este es un problema resuelto y los administradores de red han abordado estos problemas de alguna manera. He intentado muchas cosas (SNI, / etc / hosts) pero me quedo atascado. También pensé en las secuencias de comandos, pero quiero evitar una solución de secuencias de comandos dinámica para adjuntar IP. Es solo otro punto de falla que tengo que manejar.
¿Esto es solo la naturaleza de la bestia? ¿Realmente me veo obligado a aceptar una opción sobre otra, donde tengo que configurar individualmente cada servidor existente con reglas y preparar un clon completo de mi infraestructura para la posibilidad de tiempo de inactividad?
Estoy realmente ansioso por alguna orientación aquí.