AWS - Firewall Manager Enum
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
AWS Firewall Manager vereinfacht die Verwaltung und Wartung von AWS WAF, AWS Shield Advanced, Amazon VPC-Sicherheitsgruppen und Netzwerkzugriffskontrolllisten (ACLs), sowie AWS Network Firewall, AWS Route 53 Resolver DNS Firewall und Drittanbieter-Firewalls über mehrere Konten und Ressourcen hinweg. Es ermöglicht Ihnen, Ihre Firewall-Regeln, Shield Advanced-Schutzmaßnahmen, VPC-Sicherheitsgruppen und Network Firewall-Einstellungen nur einmal zu konfigurieren, wobei der Dienst diese Regeln und Schutzmaßnahmen automatisch über Ihre Konten und Ressourcen durchsetzt, einschließlich neu hinzugefügter.
Der Dienst bietet die Möglichkeit, bestimmte Ressourcen zusammenzufassen und zu schützen, wie z.B. solche, die ein gemeinsames Tag teilen oder alle Ihre CloudFront-Distributionen. Ein wesentlicher Vorteil des Firewall Managers ist seine Fähigkeit, den Schutz automatisch auf neu hinzugefügte Ressourcen in Ihrem Konto auszuweiten.
Eine Regelgruppe (eine Sammlung von WAF-Regeln) kann in eine AWS Firewall Manager-Richtlinie integriert werden, die dann mit bestimmten AWS-Ressourcen wie CloudFront-Distributionen oder Anwendungs-Load-Balancern verknüpft ist.
AWS Firewall Manager bietet verwaltete Anwendungs- und Protokolllisten, um die Konfiguration und Verwaltung von Sicherheitsgruppenrichtlinien zu vereinfachen. Diese Listen ermöglichen es Ihnen, die von Ihren Richtlinien erlaubten oder abgelehnten Protokolle und Anwendungen zu definieren. Es gibt zwei Arten von verwalteten Listen:
Von Firewall Manager verwaltete Listen: Diese Listen umfassen FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed und FMS-Default-Protocols-Allowed. Sie werden von Firewall Manager verwaltet und enthalten häufig verwendete Anwendungen und Protokolle, die der allgemeinen Öffentlichkeit erlaubt oder verweigert werden sollten. Es ist nicht möglich, sie zu bearbeiten oder zu löschen, jedoch können Sie deren Version auswählen.
Benutzerdefinierte verwaltete Listen: Diese Listen verwalten Sie selbst. Sie können benutzerdefinierte Anwendungs- und Protokolllisten erstellen, die auf die Bedürfnisse Ihrer Organisation zugeschnitten sind. Im Gegensatz zu von Firewall Manager verwalteten Listen haben diese Listen keine Versionen, aber Sie haben die volle Kontrolle über benutzerdefinierte Listen, sodass Sie sie nach Bedarf erstellen, bearbeiten und löschen können.
Es ist wichtig zu beachten, dass Firewall Manager-Richtlinien nur "Block"- oder "Zählen"-Aktionen für eine Regelgruppe zulassen, ohne eine "Erlauben"-Option.
Die folgenden Voraussetzungen müssen erfüllt sein, bevor Sie mit der Konfiguration des Firewall Managers fortfahren, um die Ressourcen Ihrer Organisation effektiv zu schützen. Diese Schritte bieten die grundlegende Einrichtung, die erforderlich ist, damit der Firewall Manager Sicherheitsrichtlinien durchsetzen und die Einhaltung in Ihrer AWS-Umgebung sicherstellen kann:
Treten Sie AWS Organizations bei und konfigurieren Sie es: Stellen Sie sicher, dass Ihr AWS-Konto Teil der AWS Organizations-Organisation ist, in der die AWS Firewall Manager-Richtlinien implementiert werden sollen. Dies ermöglicht eine zentrale Verwaltung von Ressourcen und Richtlinien über mehrere AWS-Konten innerhalb der Organisation.
Erstellen Sie ein AWS Firewall Manager Standard-Administrator-Konto: Richten Sie ein Standard-Administrator-Konto speziell für die Verwaltung von Firewall Manager-Sicherheitsrichtlinien ein. Dieses Konto ist verantwortlich für die Konfiguration und Durchsetzung von Sicherheitsrichtlinien in der gesamten Organisation. Nur das Verwaltungskonto der Organisation kann Standard-Administrator-Konten für den Firewall Manager erstellen.
Aktivieren Sie AWS Config: Aktivieren Sie AWS Config, um dem Firewall Manager die erforderlichen Konfigurationsdaten und Einblicke zu geben, die zur effektiven Durchsetzung von Sicherheitsrichtlinien erforderlich sind. AWS Config hilft bei der Analyse, Prüfung, Überwachung und Auditierung von Ressourcen-Konfigurationen und -Änderungen und erleichtert so ein besseres Sicherheitsmanagement.
Für Drittanbieter-Richtlinien, abonnieren Sie im AWS Marketplace und konfigurieren Sie die Einstellungen für Drittanbieter: Wenn Sie planen, Drittanbieter-Firewall-Richtlinien zu nutzen, abonnieren Sie diese im AWS Marketplace und konfigurieren Sie die erforderlichen Einstellungen. Dieser Schritt stellt sicher, dass der Firewall Manager Richtlinien von vertrauenswürdigen Drittanbietern integrieren und durchsetzen kann.
Für Netzwerk-Firewall- und DNS-Firewall-Richtlinien, aktivieren Sie die Ressourcenteilung: Aktivieren Sie die Ressourcenteilung speziell für Netzwerk-Firewall- und DNS-Firewall-Richtlinien. Dies ermöglicht es dem Firewall Manager, Firewall-Schutzmaßnahmen auf die VPCs und die DNS-Auflösung Ihrer Organisation anzuwenden und die Netzwerksicherheit zu verbessern.
Um AWS Firewall Manager in Regionen zu verwenden, die standardmäßig deaktiviert sind: Wenn Sie beabsichtigen, den Firewall Manager in AWS-Regionen zu verwenden, die standardmäßig deaktiviert sind, stellen Sie sicher, dass Sie die erforderlichen Schritte unternehmen, um seine Funktionalität in diesen Regionen zu aktivieren. Dies gewährleistet eine konsistente Durchsetzung der Sicherheit in allen Regionen, in denen Ihre Organisation tätig ist.
Für weitere Informationen siehe: Erste Schritte mit AWS Firewall Manager AWS WAF-Richtlinien.
AWS Firewall Manager verwaltet mehrere Arten von Richtlinien, um Sicherheitskontrollen in verschiedenen Aspekten der Infrastruktur Ihrer Organisation durchzusetzen:
AWS WAF-Richtlinie: Dieser Richtlinientyp unterstützt sowohl AWS WAF als auch AWS WAF Classic. Sie können definieren, welche Ressourcen durch die Richtlinie geschützt sind. Für AWS WAF-Richtlinien können Sie Sets von Regelgruppen angeben, die zuerst und zuletzt im Web-ACL ausgeführt werden. Darüber hinaus können Kontoinhaber Regeln und Regelgruppen hinzufügen, die zwischen diesen Sets ausgeführt werden.
Shield Advanced-Richtlinie: Diese Richtlinie wendet Shield Advanced-Schutzmaßnahmen auf Ihre Organisation für bestimmte Ressourcentypen an. Sie hilft, sich gegen DDoS-Angriffe und andere Bedrohungen zu schützen.
Amazon VPC-Sicherheitsgruppenrichtlinie: Mit dieser Richtlinie können Sie Sicherheitsgruppen verwalten, die in Ihrer Organisation verwendet werden, und ein Basisset von Regeln in Ihrer AWS-Umgebung durchsetzen, um den Netzwerkzugang zu steuern.
Amazon VPC-Netzwerkzugriffskontrolllisten (ACL)-Richtlinie: Dieser Richtlinientyp gibt Ihnen die Kontrolle über Netzwerk-ACLs, die in Ihrer Organisation verwendet werden, und ermöglicht es Ihnen, ein Basisset von Netzwerk-ACLs in Ihrer AWS-Umgebung durchzusetzen.
Netzwerk-Firewall-Richtlinie: Diese Richtlinie wendet AWS Network Firewall-Schutz auf die VPCs Ihrer Organisation an und verbessert die Netzwerksicherheit, indem der Datenverkehr basierend auf vordefinierten Regeln gefiltert wird.
Amazon Route 53 Resolver DNS-Firewall-Richtlinie: Diese Richtlinie wendet DNS-Firewall-Schutzmaßnahmen auf die VPCs Ihrer Organisation an und hilft, bösartige Domainauflösungsversuche zu blockieren und Sicherheitsrichtlinien für DNS-Verkehr durchzusetzen.
Drittanbieter-Firewall-Richtlinie: Dieser Richtlinientyp wendet Schutzmaßnahmen von Drittanbieter-Firewalls an, die über das AWS Marketplace-Portal abonnierbar sind. Er ermöglicht es Ihnen, zusätzliche Sicherheitsmaßnahmen von vertrauenswürdigen Anbietern in Ihre AWS-Umgebung zu integrieren.
Palo Alto Networks Cloud NGFW-Richtlinie: Diese Richtlinie wendet Schutzmaßnahmen und Regelstapel der Palo Alto Networks Cloud Next Generation Firewall (NGFW) auf die VPCs Ihrer Organisation an und bietet fortschrittliche Bedrohungsprävention und Sicherheitskontrollen auf Anwendungsebene.
Fortigate Cloud Native Firewall (CNF) als Service-Richtlinie: Diese Richtlinie wendet Schutzmaßnahmen der Fortigate Cloud Native Firewall (CNF) als Service an und bietet branchenführende Bedrohungsprävention, Webanwendungsfirewall (WAF) und API-Schutz, die auf Cloud-Infrastrukturen zugeschnitten sind.
AWS Firewall Manager bietet Flexibilität bei der Verwaltung von Firewall-Ressourcen innerhalb Ihrer Organisation durch seinen administrativen Umfang und zwei Arten von Administrator-Konten.
Der administrative Umfang definiert die Ressourcen, die ein Firewall Manager-Administrator verwalten kann. Nachdem ein AWS Organizations-Verwaltungskonto eine Organisation in den Firewall Manager integriert hat, kann es zusätzliche Administratoren mit unterschiedlichen administrativen Umfängen erstellen. Diese Umfänge können Folgendes umfassen:
Konten oder organisatorische Einheiten (OUs), auf die der Administrator Richtlinien anwenden kann.
Regionen, in denen der Administrator Aktionen durchführen kann.
Firewall Manager-Richtlinientypen, die der Administrator verwalten kann.
Der administrative Umfang kann entweder vollständig oder eingeschränkt sein. Vollständiger Umfang gewährt dem Administrator Zugriff auf alle angegebenen Ressourcentypen, Regionen und Richtlinientypen. Im Gegensatz dazu gewährt eingeschränkter Umfang administrative Berechtigungen nur für eine Teilmenge von Ressourcen, Regionen oder Richtlinientypen. Es ist ratsam, Administratoren nur die Berechtigungen zu gewähren, die sie benötigen, um ihre Rollen effektiv zu erfüllen. Sie können jede Kombination dieser administrativen Umfangsbedingungen auf einen Administrator anwenden, um die Einhaltung des Prinzips der minimalen Berechtigung sicherzustellen.
Es gibt zwei verschiedene Arten von Administrator-Konten, die jeweils spezifische Rollen und Verantwortlichkeiten erfüllen:
Standard-Administrator:
Das Standard-Administrator-Konto wird vom Verwaltungskonto der AWS Organizations-Organisation während des Onboarding-Prozesses für den Firewall Manager erstellt.
Dieses Konto hat die Fähigkeit, Drittanbieter-Firewalls zu verwalten und besitzt einen vollständigen administrativen Umfang.
Es dient als primäres Administrator-Konto für den Firewall Manager, das für die Konfiguration und Durchsetzung von Sicherheitsrichtlinien in der gesamten Organisation verantwortlich ist.
Während der Standard-Administrator vollen Zugriff auf alle Ressourcentypen und administrativen Funktionen hat, operiert er auf derselben Ebene wie andere Administratoren, wenn mehrere Administratoren innerhalb der Organisation verwendet werden.
Firewall Manager-Administratoren:
Diese Administratoren können Ressourcen im Rahmen des vom Verwaltungskonto der AWS Organizations festgelegten Umfangs verwalten, wie im administrativen Umfang konfiguriert.
Firewall Manager-Administratoren werden erstellt, um spezifische Rollen innerhalb der Organisation zu erfüllen, was eine Delegation von Verantwortlichkeiten ermöglicht, während Sicherheits- und Compliance-Standards eingehalten werden.
Bei der Erstellung überprüft der Firewall Manager bei AWS Organizations, ob das Konto bereits ein delegierter Administrator ist. Wenn nicht, ruft der Firewall Manager Organizations auf, um das Konto als delegierten Administrator für den Firewall Manager zu benennen.
Die Verwaltung dieser Administrator-Konten umfasst deren Erstellung innerhalb des Firewall Managers und die Definition ihrer administrativen Umfänge gemäß den Sicherheitsanforderungen der Organisation und dem Prinzip der minimalen Berechtigung. Durch die Zuweisung geeigneter administrativer Rollen können Organisationen ein effektives Sicherheitsmanagement sicherstellen und gleichzeitig die granularen Kontrollen über den Zugriff auf sensible Ressourcen aufrechterhalten.
Es ist wichtig zu betonen, dass nur ein Konto innerhalb einer Organisation als Standard-Administrator des Firewall Managers fungieren kann, gemäß dem Prinzip "first in, last out". Um einen neuen Standard-Administrator zu benennen, müssen eine Reihe von Schritten befolgt werden:
Zuerst muss jeder Firewall-Administrator sein eigenes Konto widerrufen.
Dann kann der bestehende Standard-Administrator sein eigenes Konto widerrufen, wodurch die Organisation effektiv vom Firewall Manager abgemeldet wird. Dieser Prozess führt zur Löschung aller vom widerrufenen Konto erstellten Firewall Manager-Richtlinien.
Abschließend muss das Verwaltungskonto der AWS Organizations den Standard-Administrator des Firewall Managers benennen.
organizations:DescribeOrganization
& (fms:AssociateAdminAccount
, fms:DisassociateAdminAccount
, fms:PutAdminAccount
)Ein Angreifer mit der fms:AssociateAdminAccount
Berechtigung könnte das Standardadministrator-Konto des Firewall Managers festlegen. Mit der fms:PutAdminAccount
Berechtigung könnte ein Angreifer ein Firewall Manager-Administrator-Konto erstellen oder aktualisieren und mit der fms:DisassociateAdminAccount
Berechtigung könnte ein potenzieller Angreifer die aktuelle Zuordnung des Firewall Manager-Administrator-Kontos entfernen.
Die Disassoziation des Standardadministrators des Firewall Managers folgt der First-in-Last-out-Politik. Alle Firewall Manager-Administratoren müssen sich disassoziieren, bevor der Standardadministrator des Firewall Managers das Konto disassoziieren kann.
Um einen Firewall Manager-Administrator mit PutAdminAccount zu erstellen, muss das Konto zur Organisation gehören, die zuvor mit AssociateAdminAccount in den Firewall Manager aufgenommen wurde.
Die Erstellung eines Firewall Manager-Administrator-Kontos kann nur durch das Verwaltungs-Konto der Organisation erfolgen.
Potenzielle Auswirkungen: Verlust der zentralen Verwaltung, Umgehung von Richtlinien, Verstöße gegen die Compliance und Störung der Sicherheitskontrollen innerhalb der Umgebung.
fms:PutPolicy
, fms:DeletePolicy
Ein Angreifer mit den Berechtigungen fms:PutPolicy
, fms:DeletePolicy
wäre in der Lage, eine AWS Firewall Manager-Richtlinie zu erstellen, zu ändern oder dauerhaft zu löschen.
Ein Beispiel für eine permissive Richtlinie durch eine permissive Sicherheitsgruppe, um die Erkennung zu umgehen, könnte das folgende sein:
Potenzielle Auswirkungen: Abbau von Sicherheitskontrollen, Umgehung von Richtlinien, Verstöße gegen die Compliance, betriebliche Störungen und potenzielle Datenlecks innerhalb der Umgebung.
fms:BatchAssociateResource
, fms:BatchDisassociateResource
, fms:PutResourceSet
, fms:DeleteResourceSet
Ein Angreifer mit den Berechtigungen fms:BatchAssociateResource
und fms:BatchDisassociateResource
wäre in der Lage, Ressourcen jeweils einem Firewall Manager-Ressourcensatz zuzuordnen oder zu trennen. Darüber hinaus würden die Berechtigungen fms:PutResourceSet
und fms:DeleteResourceSet
einem Angreifer erlauben, diese Ressourcensätze im AWS Firewall Manager zu erstellen, zu ändern oder zu löschen.
Potenzielle Auswirkungen: Die Hinzufügung einer unnötigen Anzahl von Elementen zu einem Ressourcen-Set wird das Geräuschlevel im Dienst erhöhen und möglicherweise einen DoS verursachen. Darüber hinaus könnten Änderungen der Ressourcen-Sets zu einer Störung der Ressourcen, Umgehung von Richtlinien, Compliance-Verstößen und Störungen der Sicherheitskontrollen innerhalb der Umgebung führen.
fms:PutAppsList
, fms:DeleteAppsList
Ein Angreifer mit den Berechtigungen fms:PutAppsList
und fms:DeleteAppsList
wäre in der Lage, Anwendungslisten aus dem AWS Firewall Manager zu erstellen, zu ändern oder zu löschen. Dies könnte kritisch sein, da unautorisierte Anwendungen den Zugang für die Allgemeinheit erhalten könnten oder der Zugang zu autorisierten Anwendungen verweigert werden könnte, was einen DoS verursachen würde.
Potenzielle Auswirkungen: Dies könnte zu Fehlkonfigurationen, Umgehungen von Richtlinien, Verstößen gegen die Compliance und Störungen der Sicherheitskontrollen innerhalb der Umgebung führen.
fms:PutProtocolsList
, fms:DeleteProtocolsList
Ein Angreifer mit den Berechtigungen fms:PutProtocolsList
und fms:DeleteProtocolsList
wäre in der Lage, Protokolllisten im AWS Firewall Manager zu erstellen, zu ändern oder zu löschen. Ähnlich wie bei Anwendungslisten könnte dies kritisch sein, da unautorisierte Protokolle von der allgemeinen Öffentlichkeit verwendet werden könnten oder die Verwendung autorisierter Protokolle verweigert werden könnte, was zu einem DoS führen würde.
Potenzielle Auswirkungen: Dies könnte zu Fehlkonfigurationen, Umgehungen von Richtlinien, Verstößen gegen die Compliance und Störungen der Sicherheitskontrollen innerhalb der Umgebung führen.
fms:PutNotificationChannel
, fms:DeleteNotificationChannel
Ein Angreifer mit den Berechtigungen fms:PutNotificationChannel
und fms:DeleteNotificationChannel
wäre in der Lage, die IAM-Rolle und das Amazon Simple Notification Service (SNS)-Thema zu löschen und festzulegen, die Firewall Manager verwendet, um SNS-Protokolle aufzuzeichnen.
Um fms:PutNotificationChannel
außerhalb der Konsole zu verwenden, müssen Sie die Zugriffsrichtlinie des SNS-Themas einrichten, die dem angegebenen SnsRoleName das Veröffentlichen von SNS-Protokollen erlaubt. Wenn der angegebene SnsRoleName eine Rolle ist, die nicht AWSServiceRoleForFMS
ist, erfordert dies eine Vertrauensbeziehung, die es dem Firewall Manager-Dienstprinzipal fms.amazonaws.com ermöglicht, diese Rolle zu übernehmen.
Für Informationen zur Konfiguration einer SNS-Zugriffsrichtlinie:
https://github.com/HackTricks-wiki/hacktricks-cloud/blob/de/pentesting-cloud/aws-security/aws-services/aws-services/aws-sns-enum.mdPotenzielle Auswirkungen: Dies könnte potenziell zu verpassten Sicherheitswarnungen, verzögerter Incident-Response, potenziellen Datenlecks und betrieblichen Störungen innerhalb der Umgebung führen.
fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
Ein Angreifer mit den Berechtigungen fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
wäre in der Lage, Drittanbieter-Firewalls zuzuordnen oder von der zentralen Verwaltung über AWS Firewall Manager zu trennen.
Nur der Standardadministrator kann Drittanbieter-Firewalls erstellen und verwalten.
Potenzielle Auswirkungen: Die Dissoziation würde zu einer Umgehung der Richtlinien, Compliance-Verstößen und Störungen der Sicherheitskontrollen innerhalb der Umgebung führen. Die Assoziation hingegen würde zu einer Störung der Kosten- und Budgetzuweisung führen.
fms:TagResource
, fms:UntagResource
Ein Angreifer wäre in der Lage, Tags von Firewall Manager-Ressourcen hinzuzufügen, zu ändern oder zu entfernen, was die Kostenallokation, die Ressourcenverfolgung und die Zugriffskontrollrichtlinien Ihrer Organisation basierend auf Tags stören würde.
Potenzielle Auswirkungen: Störung der Kostenverteilung, Ressourcenverfolgung und tagbasierter Zugriffskontrollrichtlinien.
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)