Recentemente mi è stato chiesto da un partner quale potesse essere un metodo per restringere l’accesso in Remote Desktop alle Virtual Machine posizionate su Windows Azure. Ho pensato di generalizzare la risposta e preparare questo post anche a beneficio di altri. La sezione obiettivi spiega la richiesta precisa del partner e le sezioni seguenti illustrano il metodo utilizzato.

Obiettivi

-      Avere un’unica virtual machine accessibile in Remote Desktop da utilizzare come ponte per l’amministrazione delle altre virtual machine

-       Restringere l’accesso RDP solo agli indirizzi IP autorizzati

Scenario

Lo scenario di test comprende i seguenti elementi

-       1 Windows Azure Virtual Network a cui verranno agganciate le macchine virtuali

o  1 Address Space 10.0.0.0/8

o  1 Subnet 10.0.0.0/24 chiamata Subnet-1

-       3 Windows Azure Virtual Machines agganciate alla subnet 10.0.0.0/24. Windows Azure si occuperà di fornire il servizio DHCP e DNS

o  Virtual Machine 1: Dirillivirtual1

o  Virtual Machine 2: Dirillivirtual2

o  Virtual Machine 3: Dirillivirtual3

-       Ogni Virtual Machine espone i servizi verso l’esterno tramite gli endpoint, che consentono di aprire le porte TCP (inclusi http e https) e UDP verso l’esterno. Nel nostro esempio dirillivirtual1 e dirillivirtual2 non avranno endpoint e dirillivirtual3 esporrà la porta RDP 3389, diventando quindi l’unico punto di accesso amministrativo dall’esterno.

Configurazione

I passaggi di configurazione saranno:

1.     Configurazione della Virtual Network

2.     Creazione delle macchine virtuali. Ogni macchina virtuale verrà agganciata alla Virtual Network appena creata.

3.     Configurazione del firewall di dirillivirtual3 per consentire l’accesso RDP solo dagli indirizzi IP autorizzati.

4.     Creazione delle connessioni RDP verso dirillivirtual2 e dirillivirtual1 dalla console di dirillivirtual3

5.     Rimozione degli endpoint RDP da dirillivirtual2 e dirillivirtual1 per evitare la connessione dall’esterno.

1 Configurazione della Virtual Network

Le schermate di seguito illustrano il processo di creazione della Virtual Network

2 Creazione delle Virtual Machines

Ogni macchina virtuale verrà agganciata alla Virtual Network creata in precedenza, ed in particolare alla Subnet-1

3 Configurazione del firewall di dirillivirtual3

In questa sezione restringeremo l’accesso alla Virtual Machine solo agli IP autorizzati. Inoltre configureremo l’accesso RDP verso le altre due macchine virtuali. Dirillivm3 sarà l’unica Virtual Machine ad avere l’endpoint sulla 3389.

dirillivirtual3 potrà amministrare anche dirillvirtual1 e dirillivirtual2 tramite lo snap-in Remote Desktops

4 Rimozione degli endpoint da dirillivm1 e dirillivm2

L’ultimo passaggio richiede l’eliminazione degli endpoint di accesso dall’esterno.

A questo punto l’amministrazione delle macchine virtuali su Windows Azure potrà essere fatta utilizzando un unico punto di accesso.

NOTA: per tutti gli amici esperti di hacking, ho già eliminato tutto l’ambiente di test, perciò abbiate pietà!  

Francesco