Criando regras de acesso para máquinas virtuais no Microsoft Azure - abrindo a 3389



Quando criamos uma máquina virtual é possível (e altamente recomendado), criar regras de acesso. Essas regras impedem ou permitem o acesso sob uso de portas e protocolos. Por exemplo, você pode bloquear acessos através da porta 80 com o http ou permitir o trafego da porta 443 com o https. É possível também liberar a porta de conexão remota 3389 com o protocolo RDP direto para internet (pode mas não deve jamais fazer isso; lembre-se que a exposição dessa porta pela internet é um alto risco de comprometimento do ambiente).

Neste laboratório vou ilustrar a criação de regras usando a porta 3389 com o acesso remoto, apesar de não recomendar essa prática no mundo real. O foco aqui é mostrar o detalhamento da configuração para quem pretende começar a entender o processo de funcionamento.

Você vai precisar criar uma máquina virtual para praticar. Neste caso, faço uso aqui de uma máquina virtual com o Microsoft Windows Server 2019. 

1. Aqui tenho uma máquina virtual chamada POPO-TESTE que possui um endereço IP público atribuído. É por este endereço IP que farei o acesso pela internet. 



2. Em meu exemplo cliquei em minha máquina virtual chamada POPO-TESTE, depois cliquei em Network e pude visualizar as regras de entrada (Inbound Rules). São estas regras que preciso me concentrar.



3. Perceba aqui que você pode visualizar a vnet onde a máquina virtual esta alocada, juntamente com seu endereço IP público e seu endereço IP privado. Na sequencia, clique em Add inbound rule para criar a regra.



4. Por padrão você pode utilizar as configurações apresentadas conforme a figura abaixo, considerando a origem (Source), o destino (destination) a porta ou portas (Destination port range), os protocolos (Protocol), a ação (Action) e a prioridade (Priority).

Após montar a configuração você pode dar um nome e uma descrição a regra (este ponto é extremamente útil e não deve ser descartado).



5. A opção Source possui mais de uma opção. Neste exemplo faremos uso da Service Tag. Quando você selecionar essa opção, uma nova linha de configurações será apresentada. A Source service tag aqui esta marcada como Internet.

O filtro de origem (opção source) pode ser qualquer intervalo de endereços IP, ou um grupo de segurança de Aplicativos ou uma marca padrão. Ele especifica o tráfego recebido de um intervalo de endereços IP de origem específico que será permitido ou negado por esta regra.

As tags padrões são identificadores predefinidos que representam uma categoria específica de endereços IP. A tag VirtualNetwork indica todos os espaços de endereço de rede virtual e local. A marca AzureLoadBalancer indica os endereços IP de onde os probes de integridade do balanceador de carga do Azure serão originados. A etiqueta da Internet indica o espaço de endereço IP público.





6. Vamos preencher agora o campo source port range. Podemos fornecer tanto uma única porta (porta 80) ou  um intervalo de portas (como por exemplo 1024-65535); ou uma lista separada por vírgula de portas únicas e / ou intervalos de portas, como 80.1024-65535. Isso especifica em quais portas o tráfego será permitido ou negado por esta regra. Você pode ainda fornecer um asterisco (*) para permitir o tráfego em qualquer porta (lembre-se que no mundo real você não deve dar esse tipo de permissão, ou sua máquina virtual ficará exposta e pode ser facilmente comprometida).

Neste exemplo estamos apenas "brincado" com as regras para exemplificar seu funcionamento. No mundo real você deve levar a sério a parametrização de segurança além de boas práticas e compliance do ambiente. Seguir as regras de segurança pode evitar que seu ambiente seja completamente comprometido. 

Pois bem, a figura abaixo abriu a porta 3389 para o mundo (internet) sob protocolo TCP. A opção Allow (permitir) esta selecionada. Agora é só clicar no add para concluir a configuração.




7. As próximas duas figuras mostram tanto o processamento da regra quanto sua conclusão e posição na lista de regras. Falta apenas testarmos a conexão.




8. Existem vários caminhos para o teste, porém, para este exemplo optei pelo mais simples e básico. Clique em Overview e em seguida em Connect. Será apresentado um pequeno menu de contexto com a opção RDP. Clique nessa opção.



9. Note que será apresentado a você o IP público e a porta que será efetuado o acesso, além de um botão chamado Download RDP File. Clique nesse botão para baixar um "atalho" de conexão. 


10. O arquivo POPO-TESTE.rdp foi baixado e agora é só dar um duplo click nesse arquivo para o acesso ser iniciado. Será solicitado o usuário e senha do servidor e o acesso será estabelecido.



11. As próximas duas figuras mostras o acesso sendo consumado. Você pode inclusive habilitar a área de transferência e o acesso as impressoras pela conexão de área de trabalho remota. Estas regras também podem ser feitas internamente (apenas para acesso dentro do ambiente).

No mundo real é sempre importante isolar e proteger o perímetro de sua rede, ou seja, para acessar seu ambiente em nuvem pública, o certo seria utilizar uma VPN com duplo fator de autenticação (pelo menos). Porém este assunto fuca para um próximo post. 





Postar um comentário

Comente sem faltar com respeito - ;-)

Postagem Anterior Próxima Postagem