Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
AWS Firewall Manager simplifica la gestión y el mantenimiento de AWS WAF, AWS Shield Advanced, grupos de seguridad de Amazon VPC y Listas de Control de Acceso (ACLs), y AWS Network Firewall, AWS Route 53 Resolver DNS Firewall y cortafuegos de terceros a través de múltiples cuentas y recursos. Te permite configurar tus reglas de cortafuegos, protecciones de Shield Advanced, grupos de seguridad de VPC y configuraciones de Network Firewall una sola vez, con el servicio aplicando automáticamente estas reglas y protecciones en tus cuentas y recursos, incluidos los recién añadidos.
El servicio ofrece la capacidad de agrupar y proteger recursos específicos juntos, como aquellos que comparten una etiqueta común o todas tus distribuciones de CloudFront. Una ventaja significativa de Firewall Manager es su capacidad para extender automáticamente la protección a los recursos recién añadidos en tu cuenta.
Un grupo de reglas (una colección de reglas de WAF) puede ser incorporado en una Política de AWS Firewall Manager, que luego se vincula a recursos específicos de AWS como distribuciones de CloudFront o balanceadores de carga de aplicaciones.
AWS Firewall Manager proporciona listas de aplicaciones y protocolos gestionadas para simplificar la configuración y gestión de políticas de grupos de seguridad. Estas listas te permiten definir los protocolos y aplicaciones permitidos o denegados por tus políticas. Hay dos tipos de listas gestionadas:
Listas gestionadas por Firewall Manager: Estas listas incluyen FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed y FMS-Default-Protocols-Allowed. Son gestionadas por Firewall Manager e incluyen aplicaciones y protocolos comúnmente utilizados que deben ser permitidos o denegados al público en general. No es posible editarlas o eliminarlas, sin embargo, puedes elegir su versión.
Listas gestionadas personalizadas: Tú gestionas estas listas tú mismo. Puedes crear listas de aplicaciones y protocolos personalizadas adaptadas a las necesidades de tu organización. A diferencia de las listas gestionadas por Firewall Manager, estas listas no tienen versiones, pero tienes control total sobre las listas personalizadas, lo que te permite crear, editar y eliminarlas según sea necesario.
Es importante señalar que las políticas de Firewall Manager permiten solo acciones de "Bloquear" o "Contar" para un grupo de reglas, sin una opción de "Permitir".
Los siguientes pasos previos deben completarse antes de proceder a configurar Firewall Manager para comenzar a proteger efectivamente los recursos de tu organización. Estos pasos proporcionan la configuración básica requerida para que Firewall Manager aplique políticas de seguridad y asegure el cumplimiento en tu entorno de AWS:
Unirse y configurar AWS Organizations: Asegúrate de que tu cuenta de AWS sea parte de la organización de AWS Organizations donde se planea implementar las políticas de AWS Firewall Manager. Esto permite la gestión centralizada de recursos y políticas a través de múltiples cuentas de AWS dentro de la organización.
Crear una Cuenta de Administrador Predeterminada de AWS Firewall Manager: Establece una cuenta de administrador predeterminada específicamente para gestionar las políticas de seguridad de Firewall Manager. Esta cuenta será responsable de configurar y hacer cumplir las políticas de seguridad en toda la organización. Solo la cuenta de gestión de la organización puede crear cuentas de administrador predeterminadas de Firewall Manager.
Habilitar AWS Config: Activa AWS Config para proporcionar a Firewall Manager los datos de configuración e información necesarios para hacer cumplir efectivamente las políticas de seguridad. AWS Config ayuda a analizar, auditar, monitorear y auditar configuraciones de recursos y cambios, facilitando una mejor gestión de la seguridad.
Para Políticas de Terceros, Suscribirse en el AWS Marketplace y Configurar Ajustes de Terceros: Si planeas utilizar políticas de cortafuegos de terceros, suscríbete a ellas en el AWS Marketplace y configura los ajustes necesarios. Este paso asegura que Firewall Manager pueda integrar y hacer cumplir políticas de proveedores de terceros de confianza.
Para Políticas de Network Firewall y DNS Firewall, habilitar el uso compartido de recursos: Habilita el uso compartido de recursos específicamente para políticas de Network Firewall y DNS Firewall. Esto permite que Firewall Manager aplique protecciones de cortafuegos a tus VPCs y resolución DNS de la organización, mejorando la seguridad de la red.
Para usar AWS Firewall Manager en Regiones que están deshabilitadas por defecto: Si tienes la intención de usar Firewall Manager en regiones de AWS que están deshabilitadas por defecto, asegúrate de tomar los pasos necesarios para habilitar su funcionalidad en esas regiones. Esto asegura una aplicación consistente de la seguridad en todas las regiones donde opera tu organización.
Para más información, consulta: Getting started with AWS Firewall Manager AWS WAF policies.
AWS Firewall Manager gestiona varios tipos de políticas para hacer cumplir controles de seguridad en diferentes aspectos de la infraestructura de tu organización:
Política de AWS WAF: Este tipo de política admite tanto AWS WAF como AWS WAF Classic. Puedes definir qué recursos están protegidos por la política. Para las políticas de AWS WAF, puedes especificar conjuntos de grupos de reglas para ejecutarse primero y al final en el ACL web. Además, los propietarios de cuentas pueden agregar reglas y grupos de reglas para ejecutarse entre estos conjuntos.
Política de Shield Advanced: Esta política aplica protecciones de Shield Advanced en toda tu organización para tipos de recursos especificados. Ayuda a proteger contra ataques DDoS y otras amenazas.
Política de Grupo de Seguridad de Amazon VPC: Con esta política, puedes gestionar grupos de seguridad utilizados en toda tu organización, aplicando un conjunto básico de reglas en tu entorno de AWS para controlar el acceso a la red.
Política de Lista de Control de Acceso (ACL) de Amazon VPC: Este tipo de política te da control sobre las ACLs de red utilizadas en tu organización, permitiéndote aplicar un conjunto básico de ACLs de red en tu entorno de AWS.
Política de Network Firewall: Esta política aplica protección de AWS Network Firewall a tus VPCs de la organización, mejorando la seguridad de la red al filtrar el tráfico según reglas predefinidas.
Política de DNS Firewall de Amazon Route 53 Resolver: Esta política aplica protecciones de DNS Firewall a tus VPCs de la organización, ayudando a bloquear intentos de resolución de dominios maliciosos y hacer cumplir políticas de seguridad para el tráfico DNS.
Política de Cortafuegos de Terceros: Este tipo de política aplica protecciones de cortafuegos de terceros, que están disponibles por suscripción a través de la consola de AWS Marketplace. Permite integrar medidas de seguridad adicionales de proveedores de confianza en tu entorno de AWS.
Política de Palo Alto Networks Cloud NGFW: Esta política aplica protecciones y conjuntos de reglas del Cortafuegos de Nueva Generación (NGFW) de Palo Alto Networks a tus VPCs de la organización, proporcionando prevención avanzada de amenazas y controles de seguridad a nivel de aplicación.
Política de Fortigate Cloud Native Firewall (CNF) como Servicio: Esta política aplica protecciones del Cortafuegos Nativo en la Nube (CNF) de Fortigate como Servicio, ofreciendo prevención de amenazas líder en la industria, cortafuegos de aplicaciones web (WAF) y protección de API adaptada para infraestructuras en la nube.
AWS Firewall Manager ofrece flexibilidad en la gestión de recursos de cortafuegos dentro de tu organización a través de su alcance administrativo y dos tipos de cuentas de administrador.
El alcance administrativo define los recursos que un administrador de Firewall Manager puede gestionar. Después de que una cuenta de gestión de AWS Organizations incorpora una organización a Firewall Manager, puede crear administradores adicionales con diferentes alcances administrativos. Estos alcances pueden incluir:
Cuentas o unidades organizativas (OUs) a las que el administrador puede aplicar políticas.
Regiones donde el administrador puede realizar acciones.
Tipos de políticas de Firewall Manager que el administrador puede gestionar.
El alcance administrativo puede ser completo o restringido. El alcance completo otorga al administrador acceso a todos los tipos de recursos, regiones y tipos de políticas especificados. En contraste, el alcance restringido proporciona permiso administrativo solo a un subconjunto de recursos, regiones o tipos de políticas. Se recomienda otorgar a los administradores solo los permisos que necesitan para cumplir efectivamente con sus roles. Puedes aplicar cualquier combinación de estas condiciones de alcance administrativo a un administrador, asegurando la adherencia al principio de menor privilegio.
Hay dos tipos distintos de cuentas de administrador, cada una con roles y responsabilidades específicas:
Administrador Predeterminado:
La cuenta de administrador predeterminada es creada por la cuenta de gestión de la organización de AWS Organizations durante el proceso de incorporación a Firewall Manager.
Esta cuenta tiene la capacidad de gestionar cortafuegos de terceros y posee un alcance administrativo completo.
Sirve como la cuenta de administrador principal para Firewall Manager, responsable de configurar y hacer cumplir políticas de seguridad en toda la organización.
Aunque el administrador predeterminado tiene acceso completo a todos los tipos de recursos y funcionalidades administrativas, opera al mismo nivel de par que otros administradores si se utilizan múltiples administradores dentro de la organización.
Administradores de Firewall Manager:
Estos administradores pueden gestionar recursos dentro del alcance designado por la cuenta de gestión de AWS Organizations, según lo definido por la configuración del alcance administrativo.
Los administradores de Firewall Manager son creados para cumplir roles específicos dentro de la organización, permitiendo la delegación de responsabilidades mientras se mantienen estándares de seguridad y cumplimiento.
Al ser creados, Firewall Manager verifica con AWS Organizations para determinar si la cuenta ya es un administrador delegado. Si no, Firewall Manager llama a Organizations para designar la cuenta como un administrador delegado para Firewall Manager.
Gestionar estas cuentas de administrador implica crearlas dentro de Firewall Manager y definir sus alcances administrativos de acuerdo con los requisitos de seguridad de la organización y el principio de menor privilegio. Al asignar roles administrativos apropiados, las organizaciones pueden asegurar una gestión de seguridad efectiva mientras mantienen un control granular sobre el acceso a recursos sensibles.
Es importante destacar que solo una cuenta dentro de una organización puede servir como el administrador predeterminado de Firewall Manager, adhiriéndose al principio de "el primero en entrar, el último en salir". Para designar un nuevo administrador predeterminado, se deben seguir una serie de pasos:
Primero, cada cuenta de administrador de Firewall debe revocar su propia cuenta.
Luego, el administrador predeterminado existente puede revocar su propia cuenta, efectivamente desvinculando a la organización de Firewall Manager. Este proceso resulta en la eliminación de todas las políticas de Firewall Manager creadas por la cuenta revocada.
Para concluir, la cuenta de gestión de AWS Organizations debe designar al administrador predeterminado de Firewall Manager.
organizations:DescribeOrganization & (fms:AssociateAdminAccount, fms:DisassociateAdminAccount, fms:PutAdminAccount)Un atacante con el permiso fms:AssociateAdminAccount podría establecer la cuenta de administrador predeterminada de Firewall Manager. Con el permiso fms:PutAdminAccount, un atacante podría crear o actualizar una cuenta de administrador de Firewall Manager y con el permiso fms:DisassociateAdminAccount, un posible atacante podría eliminar la asociación de la cuenta de administrador actual de Firewall Manager.
La disociación del administrador predeterminado de Firewall Manager sigue la política de primero en entrar, último en salir. Todos los administradores de Firewall Manager deben disociarse antes de que el administrador predeterminado de Firewall Manager pueda disociar la cuenta.
Para crear un administrador de Firewall Manager mediante PutAdminAccount, la cuenta debe pertenecer a la organización que fue previamente incorporada a Firewall Manager utilizando AssociateAdminAccount.
La creación de una cuenta de administrador de Firewall Manager solo puede ser realizada por la cuenta de gestión de la organización.
Impacto Potencial: Pérdida de gestión centralizada, evasión de políticas, violaciones de cumplimiento y interrupción de controles de seguridad dentro del entorno.
fms:PutPolicy, fms:DeletePolicyUn atacante con los permisos fms:PutPolicy, fms:DeletePolicy podría crear, modificar o eliminar permanentemente una política de AWS Firewall Manager.
Un ejemplo de política permisiva a través de un grupo de seguridad permisivo, con el fin de eludir la detección, podría ser el siguiente:
Impacto Potencial: Desmantelamiento de controles de seguridad, evasión de políticas, violaciones de cumplimiento, interrupciones operativas y posibles filtraciones de datos dentro del entorno.
fms:BatchAssociateResource, fms:BatchDisassociateResource, fms:PutResourceSet, fms:DeleteResourceSetUn atacante con los permisos fms:BatchAssociateResource y fms:BatchDisassociateResource podría asociar o desasociar recursos de un conjunto de recursos de Firewall Manager, respectivamente. Además, los permisos fms:PutResourceSet y fms:DeleteResourceSet permitirían a un atacante crear, modificar o eliminar estos conjuntos de recursos de AWS Firewall Manager.
Impacto Potencial: La adición de una cantidad innecesaria de elementos a un conjunto de recursos aumentará el nivel de ruido en el Servicio, lo que podría causar un DoS. Además, los cambios en los conjuntos de recursos podrían llevar a una interrupción de recursos, evasión de políticas, violaciones de cumplimiento y interrupción de controles de seguridad dentro del entorno.
fms:PutAppsList, fms:DeleteAppsListUn atacante con los permisos fms:PutAppsList y fms:DeleteAppsList podría crear, modificar o eliminar listas de aplicaciones de AWS Firewall Manager. Esto podría ser crítico, ya que se podría permitir el acceso a aplicaciones no autorizadas al público en general, o se podría denegar el acceso a aplicaciones autorizadas, causando un DoS.
Impacto Potencial: Esto podría resultar en configuraciones incorrectas, evasión de políticas, violaciones de cumplimiento y interrupción de controles de seguridad dentro del entorno.
fms:PutProtocolsList, fms:DeleteProtocolsListUn atacante con los permisos fms:PutProtocolsList y fms:DeleteProtocolsList podría crear, modificar o eliminar listas de protocolos de AWS Firewall Manager. De manera similar a las listas de aplicaciones, esto podría ser crítico ya que protocolos no autorizados podrían ser utilizados por el público en general, o el uso de protocolos autorizados podría ser denegado, causando un DoS.
Impacto Potencial: Esto podría resultar en configuraciones incorrectas, evasión de políticas, violaciones de cumplimiento y interrupción de los controles de seguridad dentro del entorno.
fms:PutNotificationChannel, fms:DeleteNotificationChannelUn atacante con los permisos fms:PutNotificationChannel y fms:DeleteNotificationChannel podría eliminar y designar el rol de IAM y el tema de Amazon Simple Notification Service (SNS) que Firewall Manager utiliza para registrar los logs de SNS.
Para usar fms:PutNotificationChannel fuera de la consola, necesitas configurar la política de acceso del tema SNS, permitiendo que el SnsRoleName especificado publique logs de SNS. Si el SnsRoleName proporcionado es un rol diferente al AWSServiceRoleForFMS, requiere una relación de confianza configurada para permitir que el principal del servicio Firewall Manager fms.amazonaws.com asuma este rol.
Para obtener información sobre cómo configurar una política de acceso SNS:
https://github.com/HackTricks-wiki/hacktricks-cloud/blob/es/pentesting-cloud/aws-security/aws-services/aws-services/aws-sns-enum.mdImpacto Potencial: Esto podría llevar potencialmente a perder alertas de seguridad, retrasar la respuesta a incidentes, posibles filtraciones de datos y interrupciones operativas dentro del entorno.
fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewallUn atacante con los permisos fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall podría asociar o desasociar firewalls de terceros para ser gestionados centralmente a través de AWS Firewall Manager.
Solo el administrador predeterminado puede crear y gestionar firewalls de terceros.
Impacto Potencial: La disociación llevaría a una evasión de políticas, violaciones de cumplimiento y interrupción de los controles de seguridad dentro del entorno. La asociación, por otro lado, llevaría a una interrupción de la asignación de costos y presupuestos.
fms:TagResource, fms:UntagResourceUn atacante podría agregar, modificar o eliminar etiquetas de los recursos de Firewall Manager, interrumpiendo la asignación de costos de su organización, el seguimiento de recursos y las políticas de control de acceso basadas en etiquetas.
Impacto Potencial: Disrupción de la asignación de costos, seguimiento de recursos y políticas de control de acceso basadas en etiquetas.
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
