Comment créer un tunnel sécurisé pour SSH et SFTP avec Cloudflare

Pourquoi devrais-je créer un tunnel sécurisé ?

Avec Tunnel, vous n'envoyez pas de trafic vers une IP externe, à la place, un démon léger dans votre infrastructure (cloudflared) crée des connexions à l'extérieur uniquement vers le réseau global de Cloudflare. Pour créer votre tunnel, votre infrastructure (serveur domain+name) doit être nuageux réseau.

De quoi ai-je besoin pour créer un tunnel sécurisé ?

Un compte dans nuageux avec votre nom de domaine lié à votre serveur avec les configurations du serveur de noms; l'application Cloudflared que peut télécharger pour chaque système d'exploitation ici: https://developers.cloudflare.com/cloudflare-one/connections/connect-networks/downloads/

Qu'est-ce que l'application Zero Trust?

Zero Trust est un cadre de sécurité qui exige que tous les utilisateurs, à l'intérieur ou à l'extérieur du réseau de l'organisation, soient authentifiés, autorisés et validés en permanence pour la configuration et la posture de sécurité avant d'être autorisés ou d'avoir accès aux applications et aux données. Lorsque vous créez votre tunnel pour SSH et SFTP avec nuageux vous devrez l'associer à une application Zero Trust.

Démarrez votre tunnel sécurisé

Une fois le cloudflared téléchargé, vous pouvez créer le premier tunnel simplement via terminal ou par webui.

TERMINAL

Tapez cette commande pour authentifier :

$ cloudflared tunnel login

Créer un tunnel et lui donner un nom:

$ cloudflared tunnel create 

A partir de la sortie de la commande, prenez note du tunnel UUID et du chemin vers votre tunnel.

Confirmer que le tunnel a été créé avec succès en exécutant:

$ cloudflared tunnel list

Lire les documents officiels pour créer un tunnel via terminal: https://developers.cloudflare.com/cloudflare-one/connections/connect-networks/install-and-setup/tunnel-guide/local/

WEBUI

1. Connectez-vous àZéro confianceet aller àAccès>Tunnels.
2. SélectionnerCréer un tunnel.
3. Entrez un nom pour votre tunnel. Nous vous suggérons de choisir un nom qui reflète le type de ressources que vous souhaitez connecter à travers ce tunnel (par exemple,enterprise-VPC-01).
4. SélectionnerEnregistrer le tunnel.
5. Ensuite, vous devrez installercloudflaredet dirige-le. Pour ce faire, vérifiez que l'environnement sousChoisir un environnementreflète le système d'exploitation sur votre machine, puis copie la commande dans la boîte ci-dessous et le coller dans une fenêtre de terminal. Exécutez le commandement.
6. Une fois la commande terminée, votre connecteur apparaîtra dans Zero Trust.
7. SélectionnerSuivant.

Lisez les documents officiels pour créer un tunnel via webui: https://developers.cloudflare.com/cloudflare-one/connections/connect-networks/install-and-setup/tunnel-guide/remote/

Connectez-vous à SSH dans le tunnel Cloudflare

Le protocole Secure Shell (SSH) permet aux utilisateurs d'accéder à distance aux appareils via la ligne de commande. Avec Cloudflare Zero Trust, vous pouvez rendre votre serveur SSH disponible sur Internet sans risque d'ouvrir des ports entrants sur le serveur.

Cloudflare Zero Trust offre deux solutions pour fournir un accès sécurisé aux serveurs SSH:

• Routage sous-net privé avec WARP Cloudflare vers Tunnel
• Routage du nom d'hôte public aveccloudflared access

L'accès nuageux est celui que nous avons utilisé ici.

Rappelez-vous que cloudflared est un logiciel mis à jour en permanence et il est donc nécessaire de lire les documents officiels pour être sûr que vous utilisez les meilleures procédures possibles pour la version utilisée.

Utiliser SSH depuis terminal ou webui

Utilisez votre nouveau nom d'hôte public (par exemple ssh.example.com) pour accéder à votre application SSH via terminal:

$ ssh [username]@ssh.example.com

Vous pouvez également utiliser l'interface web pour accéder au terminal ssh via web; pour ce faire, des étapes supplémentaires sont nécessaires : vous devez simplement activer le rendu du navigateur dans votre application. Lisez le document officiel sur ces arguments ici: https://developers.cloudflare.com/cloudflare-one/applications/non-http/#rendering-in-the-browser

Utilisez SFTP avec le tunnel SSH Cloudflare

SFTP, ou protocole de transfert de fichiers sécurisé, est un protocole de transfert de fichiers sécurisé qui utilise un cryptage shell sécurisé pour fournir un niveau élevé de sécurité pour l'envoi et la réception des transferts de fichiers. Pour utiliser SFTP dans vos clients une étape supplémentaire est nécessaire pour connecter le client au tunnel; il suffit d'ouvrir votre terminal (à partir du client que vous voulez connecter) et de saisir cette commande:

$ cloudflared access tcp --hostname ssh.example.com --url localhost:2222

La prochaine fois que vous voulez vous connecter via SFTP (avec n'importe quel logiciel activé), insérez comme hostname localhost:2222 et les identifiants de votre nom d'utilisateur SFTP du serveur; lorsque vous fermez votre terminal, la connexion se termine et ne sera pas possible de se connecter à nouveau avant d'ouvrir le terminal et de saisir à nouveau cette commande.

Régler les paramètres de sécurité

Lorsque toutes les procédures fonctionnent parfaitement, vous pouvez maintenant fermer les ports utilisés par SSH et SFTP (généralement le port 22) à travers le pare-feu; de cette façon, seuls ceux en possession de l'application nuageuse et/ou les certificats nécessaires pourront se connecter.

Lisez toujours les documents officiels

Comme j'ai écrit il y a un moment, je vous conseille de toujours lire et apprendre de l'officiel nuageux les documents parce que ces logiciels pourraient aussi avoir des changements au fil du temps. Ce document est rédigé sans avoir reçu l'appui officiel de nuageux et est conçu comme un exemple pour ceux qui travaillent dans notre organisation.