AWS - Firewall Manager Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Firewall Manager

AWS Firewall Manager AWS WAF, AWS Shield Advanced, Amazon VPC सुरक्षा समूहों और नेटवर्क एक्सेस कंट्रोल सूचियों (ACLs), और AWS नेटवर्क फ़ायरवॉल, AWS Route 53 Resolver DNS फ़ायरवॉल और तीसरे पक्ष के फ़ायरवॉल के प्रबंधन और रखरखाव को सरल बनाता है। यह आपको अपने फ़ायरवॉल नियमों, शील्ड एडवांस्ड सुरक्षा, VPC सुरक्षा समूहों और नेटवर्क फ़ायरवॉल सेटिंग्स को केवल एक बार कॉन्फ़िगर करने की अनुमति देता है, सेवा स्वचालित रूप से इन नियमों और सुरक्षा को आपके खातों और संसाधनों पर लागू करती है, जिसमें नए जोड़े गए भी शामिल हैं।

सेवा विशिष्ट संसाधनों को एक साथ समूहित और सुरक्षित करने की क्षमता प्रदान करती है, जैसे कि वे सभी जो एक सामान्य टैग साझा करते हैं या आपके सभी CloudFront वितरण। फ़ायरवॉल प्रबंधक का एक महत्वपूर्ण लाभ यह है कि यह स्वचालित रूप से नए जोड़े गए संसाधनों पर सुरक्षा बढ़ाता है।

एक नियम समूह (WAF नियमों का संग्रह) को AWS फ़ायरवॉल प्रबंधक नीति में शामिल किया जा सकता है, जिसे फिर CloudFront वितरण या एप्लिकेशन लोड बैलेंसर जैसे विशिष्ट AWS संसाधनों से जोड़ा जाता है।

AWS फ़ायरवॉल प्रबंधक प्रबंधित एप्लिकेशन और प्रोटोकॉल सूचियाँ प्रदान करता है ताकि सुरक्षा समूह नीतियों की कॉन्फ़िगरेशन और प्रबंधन को सरल बनाया जा सके। ये सूचियाँ आपको उन प्रोटोकॉल और अनुप्रयोगों को परिभाषित करने की अनुमति देती हैं जिन्हें आपकी नीतियों द्वारा अनुमति या अस्वीकृत किया गया है। प्रबंधित सूचियों के दो प्रकार हैं:

फ़ायरवॉल प्रबंधक प्रबंधित सूचियाँ: इन सूचियों में FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed और FMS-Default-Protocols-Allowed शामिल हैं। इन्हें फ़ायरवॉल प्रबंधक द्वारा प्रबंधित किया जाता है और इनमें सामान्यतः उपयोग किए जाने वाले अनुप्रयोग और प्रोटोकॉल शामिल होते हैं जिन्हें सामान्य जनता के लिए अनुमति या अस्वीकृत किया जाना चाहिए। इन्हें संपादित या हटाना संभव नहीं है, हालाँकि, आप इसके संस्करण का चयन कर सकते हैं।
कस्टम प्रबंधित सूचियाँ: आप इन सूचियों का प्रबंधन स्वयं करते हैं। आप अपनी संगठन की आवश्यकताओं के अनुसार कस्टम एप्लिकेशन और प्रोटोकॉल सूचियाँ बना सकते हैं। फ़ायरवॉल प्रबंधक प्रबंधित सूचियों के विपरीत, इन सूचियों के संस्करण नहीं होते हैं, लेकिन आपके पास कस्टम सूचियों पर पूर्ण नियंत्रण होता है, जिससे आप उन्हें आवश्यकतानुसार बना, संपादित और हटा सकते हैं।

यह ध्यान रखना महत्वपूर्ण है कि फ़ायरवॉल प्रबंधक नीतियाँ केवल "ब्लॉक" या "गिनती" क्रियाएँ अनुमति देती हैं, "अनुमति" विकल्प के बिना।

Prerequisites

फ़ायरवॉल प्रबंधक को कॉन्फ़िगर करने से पहले निम्नलिखित पूर्वापेक्षाएँ पूरी की जानी चाहिए ताकि आपकी संगठन के संसाधनों की प्रभावी सुरक्षा सुनिश्चित की जा सके। ये कदम फ़ायरवॉल प्रबंधक को सुरक्षा नीतियों को लागू करने और आपके AWS वातावरण में अनुपालन सुनिश्चित करने के लिए आवश्यक बुनियादी सेटअप प्रदान करते हैं:

AWS संगठनों में शामिल हों और कॉन्फ़िगर करें: सुनिश्चित करें कि आपका AWS खाता उस AWS संगठनों के संगठन का हिस्सा है जहाँ AWS फ़ायरवॉल प्रबंधक नीतियाँ लागू की जाने वाली हैं। यह संगठन के भीतर कई AWS खातों में संसाधनों और नीतियों के केंद्रीकृत प्रबंधन की अनुमति देता है।
AWS फ़ायरवॉल प्रबंधक डिफ़ॉल्ट प्रशासक खाता बनाएं: फ़ायरवॉल प्रबंधक सुरक्षा नीतियों के प्रबंधन के लिए विशेष रूप से एक डिफ़ॉल्ट प्रशासक खाता स्थापित करें। यह खाता संगठन के भीतर सुरक्षा नीतियों को कॉन्फ़िगर और लागू करने के लिए जिम्मेदार होगा। केवल संगठन का प्रबंधन खाता फ़ायरवॉल प्रबंधक डिफ़ॉल्ट प्रशासक खातों को बना सकता है।
AWS कॉन्फ़िगर सक्षम करें: फ़ायरवॉल प्रबंधक को प्रभावी रूप से सुरक्षा नीतियों को लागू करने के लिए आवश्यक कॉन्फ़िगरेशन डेटा और अंतर्दृष्टि प्रदान करने के लिए AWS कॉन्फ़िगर को सक्रिय करें। AWS कॉन्फ़िगर संसाधन कॉन्फ़िगरेशन और परिवर्तनों का विश्लेषण, ऑडिट, निगरानी और ऑडिट करने में मदद करता है, जिससे बेहतर सुरक्षा प्रबंधन की सुविधा मिलती है।
तीसरे पक्ष की नीतियों के लिए, AWS मार्केटप्लेस में सदस्यता लें और तीसरे पक्ष की सेटिंग्स कॉन्फ़िगर करें: यदि आप तीसरे पक्ष की फ़ायरवॉल नीतियों का उपयोग करने की योजना बना रहे हैं, तो AWS मार्केटप्लेस में उनकी सदस्यता लें और आवश्यक सेटिंग्स कॉन्फ़िगर करें। यह कदम सुनिश्चित करता है कि फ़ायरवॉल प्रबंधक विश्वसनीय तीसरे पक्ष के विक्रेताओं से नीतियों को एकीकृत और लागू कर सके।
नेटवर्क फ़ायरवॉल और DNS फ़ायरवॉल नीतियों के लिए, संसाधन साझा करना सक्षम करें: नेटवर्क फ़ायरवॉल और DNS फ़ायरवॉल नीतियों के लिए विशेष रूप से संसाधन साझा करना सक्षम करें। यह फ़ायरवॉल प्रबंधक को आपके संगठन के VPCs और DNS समाधान पर फ़ायरवॉल सुरक्षा लागू करने की अनुमति देता है, जिससे नेटवर्क सुरक्षा में सुधार होता है।
डिफ़ॉल्ट रूप से अक्षम क्षेत्रों में AWS फ़ायरवॉल प्रबंधक का उपयोग करने के लिए: यदि आप उन AWS क्षेत्रों में फ़ायरवॉल प्रबंधक का उपयोग करने का इरादा रखते हैं जो डिफ़ॉल्ट रूप से अक्षम हैं, तो सुनिश्चित करें कि आप उन क्षेत्रों में इसकी कार्यक्षमता सक्षम करने के लिए आवश्यक कदम उठाते हैं। यह सुनिश्चित करता है कि आपके संगठन के संचालन के सभी क्षेत्रों में सुरक्षा प्रवर्तन सुसंगत हो।

अधिक जानकारी के लिए, देखें: AWS फ़ायरवॉल प्रबंधक AWS WAF नीतियों के साथ शुरू करना।

Types of protection policies

AWS फ़ायरवॉल प्रबंधक आपके संगठन के बुनियादी ढांचे के विभिन्न पहलुओं में सुरक्षा नियंत्रण लागू करने के लिए कई प्रकार की नीतियों का प्रबंधन करता है:

AWS WAF नीति: यह नीति प्रकार AWS WAF और AWS WAF क्लासिक दोनों का समर्थन करता है। आप यह परिभाषित कर सकते हैं कि कौन से संसाधन नीति द्वारा सुरक्षित हैं। AWS WAF नीतियों के लिए, आप वेब ACL में पहले और अंतिम चलाने के लिए नियम समूहों के सेट निर्दिष्ट कर सकते हैं। इसके अतिरिक्त, खाता मालिक इन सेटों के बीच चलाने के लिए नियम और नियम समूह जोड़ सकते हैं।
शील्ड एडवांस्ड नीति: यह नीति आपके संगठन के लिए निर्दिष्ट संसाधन प्रकारों पर शील्ड एडवांस्ड सुरक्षा लागू करती है। यह DDoS हमलों और अन्य खतरों से सुरक्षा में मदद करती है।
Amazon VPC सुरक्षा समूह नीति: इस नीति के साथ, आप अपने संगठन में उपयोग किए जाने वाले सुरक्षा समूहों का प्रबंधन कर सकते हैं, AWS वातावरण में नेटवर्क एक्सेस को नियंत्रित करने के लिए नियमों के एक बुनियादी सेट को लागू कर सकते हैं।
Amazon VPC नेटवर्क एक्सेस कंट्रोल सूची (ACL) नीति: यह नीति प्रकार आपको अपने संगठन में उपयोग किए जाने वाले नेटवर्क ACLs पर नियंत्रण देता है, जिससे आप अपने AWS वातावरण में नेटवर्क ACLs के एक बुनियादी सेट को लागू कर सकते हैं।
नेटवर्क फ़ायरवॉल नीति: यह नीति आपके संगठन के VPCs पर AWS नेटवर्क फ़ायरवॉल सुरक्षा लागू करती है, पूर्वनिर्धारित नियमों के आधार पर ट्रैफ़िक को फ़िल्टर करके नेटवर्क सुरक्षा को बढ़ाती है।
Amazon Route 53 Resolver DNS फ़ायरवॉल नीति: यह नीति आपके संगठन के VPCs पर DNS फ़ायरवॉल सुरक्षा लागू करती है, जिससे दुर्भावनापूर्ण डोमेन समाधान प्रयासों को अवरुद्ध करने और DNS ट्रैफ़िक के लिए सुरक्षा नीतियों को लागू करने में मदद मिलती है।
तीसरे पक्ष की फ़ायरवॉल नीति: यह नीति प्रकार तीसरे पक्ष के फ़ायरवॉल से सुरक्षा लागू करता है, जो AWS मार्केटप्लेस कंसोल के माध्यम से सदस्यता द्वारा उपलब्ध है। यह आपको अपने AWS वातावरण में विश्वसनीय विक्रेताओं से अतिरिक्त सुरक्षा उपायों को एकीकृत करने की अनुमति देता है।
Palo Alto Networks Cloud NGFW नीति: यह नीति आपके संगठन के VPCs पर Palo Alto Networks Cloud Next Generation Firewall (NGFW) सुरक्षा और नियम स्टैक्स लागू करती है, जो उन्नत खतरे की रोकथाम और एप्लिकेशन-स्तरीय सुरक्षा नियंत्रण प्रदान करती है।
Fortigate Cloud Native Firewall (CNF) as a Service नीति: यह नीति Fortigate Cloud Native Firewall (CNF) as a Service सुरक्षा लागू करती है, जो उद्योग में अग्रणी खतरे की रोकथाम, वेब एप्लिकेशन फ़ायरवॉल (WAF), और क्लाउड बुनियादी ढांचे के लिए अनुकूलित API सुरक्षा प्रदान करती है।

Administrator accounts

AWS फ़ायरवॉल प्रबंधक आपके संगठन के भीतर फ़ायरवॉल संसाधनों के प्रबंधन में लचीलापन प्रदान करता है इसके प्रशासनिक दायरे और दो प्रकार के प्रशासक खातों के माध्यम से।

प्रशासनिक दायरा उन संसाधनों को परिभाषित करता है जिन्हें फ़ायरवॉल प्रबंधक प्रशासक प्रबंधित कर सकता है। एक AWS संगठनों के प्रबंधन खाते के फ़ायरवॉल प्रबंधक में एक संगठन को ऑनबोर्ड करने के बाद, यह विभिन्न प्रशासनिक दायरों के साथ अतिरिक्त प्रशासकों को बना सकता है। ये दायरे शामिल कर सकते हैं:

खाते या संगठनात्मक इकाइयाँ (OUs) जिन पर प्रशासक नीतियाँ लागू कर सकता है।
क्षेत्र जहाँ प्रशासक क्रियाएँ कर सकता है।
फ़ायरवॉल प्रबंधक नीति प्रकार जिन्हें प्रशासक प्रबंधित कर सकता है।

प्रशासनिक दायरा या तो पूर्ण या प्रतिबंधित हो सकता है। पूर्ण दायरा प्रशासक को सभी निर्दिष्ट संसाधन प्रकारों, क्षेत्रों और नीति प्रकारों तक पहुँच प्रदान करता है। इसके विपरीत, प्रतिबंधित दायरा केवल संसाधनों, क्षेत्रों, या नीति प्रकारों के एक उपसमुच्चय पर प्रशासनिक अनुमति प्रदान करता है। यह सलाह दी जाती है कि प्रशासकों को केवल वही अनुमतियाँ दी जाएँ जिनकी उन्हें अपनी भूमिकाएँ प्रभावी रूप से निभाने के लिए आवश्यकता होती है। आप किसी प्रशासक पर इन प्रशासनिक दायरा शर्तों का कोई संयोजन लागू कर सकते हैं, जिससे न्यूनतम विशेषाधिकार के सिद्धांत का पालन सुनिश्चित होता है।

प्रशासक खातों के दो विशिष्ट प्रकार हैं, प्रत्येक विशेष भूमिकाओं और जिम्मेदारियों की सेवा करता है:

डिफ़ॉल्ट प्रशासक:
डिफ़ॉल्ट प्रशासक खाता AWS संगठनों के संगठन के प्रबंधन खाते द्वारा फ़ायरवॉल प्रबंधक में ऑनबोर्डिंग प्रक्रिया के दौरान बनाया जाता है।
इस खाते में तीसरे पक्ष के फ़ायरवॉल का प्रबंधन करने की क्षमता होती है और इसमें पूर्ण प्रशासनिक दायरा होता है।
यह फ़ायरवॉल प्रबंधक के लिए प्राथमिक प्रशासक खाता के रूप में कार्य करता है, जो संगठन के भीतर सुरक्षा नीतियों को कॉन्फ़िगर और लागू करने के लिए जिम्मेदार होता है।
जबकि डिफ़ॉल्ट प्रशासक सभी संसाधन प्रकारों और प्रशासनिक कार्यक्षमताओं तक पूर्ण पहुँच रखता है, यह संगठन के भीतर कई प्रशासकों का उपयोग करने पर अन्य प्रशासकों के समान समकक्ष स्तर पर कार्य करता है।
फ़ायरवॉल प्रबंधक प्रशासक:
ये प्रशासक AWS संगठनों के प्रबंधन खाते द्वारा निर्धारित प्रशासनिक दायरे के भीतर संसाधनों का प्रबंधन कर सकते हैं, जैसा कि प्रशासनिक दायरा कॉन्फ़िगरेशन द्वारा परिभाषित किया गया है।
फ़ायरवॉल प्रबंधक प्रशासक संगठन के भीतर विशिष्ट भूमिकाओं को पूरा करने के लिए बनाए जाते हैं, जिससे जिम्मेदारियों का प्रतिनिधित्व करते हुए सुरक्षा और अनुपालन मानकों को बनाए रखा जा सके।
निर्माण के समय, फ़ायरवॉल प्रबंधक यह निर्धारित करने के लिए AWS संगठनों के साथ जांच करता है कि क्या खाता पहले से ही एक प्रतिनिधि प्रशासक है। यदि नहीं, तो फ़ायरवॉल प्रबंधक संगठनों को फ़ायरवॉल प्रबंधक के लिए खाते को प्रतिनिधि प्रशासक के रूप में नामित करने के लिए कॉल करता है।

इन प्रशासक खातों का प्रबंधन फ़ायरवॉल प्रबंधक के भीतर उन्हें बनाने और संगठन की सुरक्षा आवश्यकताओं और न्यूनतम विशेषाधिकार के सिद्धांत के अनुसार उनके प्रशासनिक दायरों को परिभाषित करने में शामिल है। उचित प्रशासनिक भूमिकाएँ सौंपकर, संगठन प्रभावी सुरक्षा प्रबंधन सुनिश्चित कर सकते हैं जबकि संवेदनशील संसाधनों तक पहुँच पर बारीकी से नियंत्रण बनाए रख सकते हैं।

यह महत्वपूर्ण है कि संगठन के भीतर केवल एक खाता फ़ायरवॉल प्रबंधक डिफ़ॉल्ट प्रशासक के रूप में कार्य कर सकता है, "पहले आओ, पहले जाओ" के सिद्धांत का पालन करते हुए। एक नए डिफ़ॉल्ट प्रशासक को नामित करने के लिए, एक श्रृंखला के कदमों का पालन करना आवश्यक है:

पहले, प्रत्येक फ़ायरवॉल प्रशासक प्रशासक खाता को अपने स्वयं के खाते को रद्द करना होगा।
फिर, मौजूदा डिफ़ॉल्ट प्रशासक अपने स्वयं के खाते को रद्द कर सकता है, प्रभावी रूप से संगठन को फ़ायरवॉल प्रबंधक से ऑफबोर्ड कर सकता है। इस प्रक्रिया के परिणामस्वरूप रद्द किए गए खाते द्वारा बनाए गए सभी फ़ायरवॉल प्रबंधक नीतियों का विलोपन होता है।
अंत में, AWS संगठनों के प्रबंधन खाते को फ़ायरवॉल प्रबंधक डिफ़ॉल्ट प्रशासक को नामित करना होगा।

Enumeration

# Users/Administrators

## Get the AWS Organizations account that is associated with AWS Firewall Manager as the AWS Firewall Manager default administrator
aws fms get-admin-account

## List of Firewall Manager administrators within the organization
aws fms list-admin-accounts-for-organization # ReadOnlyAccess policy is not enough for this

## Return a list of the member accounts in the FM administrator's AWS organization
aws fms list-member-accounts # Only a Firewall Manager administrator or the Organization's management account can make this request

## List the accounts that are managing the specified AWS Organizations member account
aws fms list-admins-managing-account # ReadOnlyAccess policy is not enough for this

# Resources

## Get the resources that a Firewall Manager administrator can manage
aws fms get-admin-scope --admin-account <value> # ReadOnlyAccess policy is not enough for this

## Returns the summary of the resource sets used
aws fms list-resource-sets # ReadOnlyAccess policy is not enough for this

## Get information about a specific resource set
aws fms get-resource-set --identifier <value>  # ReadOnlyAccess policy is not enough for this

## Retrieve the list of tags for a given resource
aws fms list-tags-for-resource --resource-arn <value>

## List of the resources in the AWS Organization's accounts that are available to be associated with a FM resource set. Only one account is supported per request.
aws fms list-compliance-status --member-account-ids <value> --resource-type <value> # ReadOnlyAccess policy is not enough for this

## List the resources that are currently associated to a resource set
aws fms list-resource-set-resources --identifier <value> # ReadOnlyAccess policy is not enough for this

# Policies

## Returns the list of policies
aws fms list-policies

## Get information about the specified AWS Firewall Manager policy
aws fms get-policy --policy-id <value>

## List all of the third-party firewall policies that are associated with the third-party firewall administrator's account
aws fms list-third-party-firewall-firewall-policies --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

# AppsList

## Return a list of apps list
aws fms list-apps-lists --max-results [1-100]

## Get information about the specified AWS Firewall Manager applications list
aws fms get-apps-list --list-id <value>

# Protocols

## Get the details of the Firewall Manager protocols list.
aws fms list-protocols-lists

## Get information about the specified AWS Firewall Manager Protocols list
aws fms get-protocols-list --list-id <value>

# Compliance

## Return a summary of which member accounts are protected by the specified policy
aws fms list-compliance-status --policy-id <policy-id>

## Get detailed compliance information about the specified member account (resources that are in and out of compliance with the specified policy)
aws fms get-compliance-detail --policy-id <value> --member-account <value>

# Other useful info

## Get information about the SNS topic that is used to record AWS Firewall Manager SNS logs (if any)
aws fms get-notification-channel

## Get policy-level attack summary information in the event of a potential DDoS attack
aws fms get-protection-status --policy-id <value> # Just for Shield Advanced policy

## Get the onboarding status of a Firewall Manager admin account to third-party firewall vendor tenant.
aws fms get-third-party-firewall-association-status --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

## Get violations' details for a resource based on the specified AWS Firewall Manager policy and AWS account.
aws fms get-violation-details --policy-id <value> --member-account <value> --resource-id <value> --resource-type <value>

Post Exploitation / Bypass Detection

`organizations:DescribeOrganization` & (`fms:AssociateAdminAccount`, `fms:DisassociateAdminAccount`, `fms:PutAdminAccount`)

एक हमलावर जिसके पास fms:AssociateAdminAccount अनुमति है, वह फ़ायरवॉल प्रबंधक डिफ़ॉल्ट प्रशासक खाता सेट करने में सक्षम होगा। fms:PutAdminAccount अनुमति के साथ, एक हमलावर फ़ायरवॉल प्रबंधक प्रशासक खाता बनाने या अपडेट करने में सक्षम होगा और fms:DisassociateAdminAccount अनुमति के साथ, एक संभावित हमलावर वर्तमान फ़ायरवॉल प्रबंधक प्रशासक खाता संघ को हटा सकता है।

फ़ायरवॉल प्रबंधक डिफ़ॉल्ट प्रशासक का असंगठन पहले-आने-आधारित नीति का पालन करता है। सभी फ़ायरवॉल प्रबंधक प्रशासकों को असंगठित होना चाहिए इससे पहले कि फ़ायरवॉल प्रबंधक डिफ़ॉल्ट प्रशासक खाता असंगठित कर सके।
PutAdminAccount द्वारा फ़ायरवॉल प्रबंधक प्रशासक बनाने के लिए, खाता उस संगठन का होना चाहिए जो पहले फ़ायरवॉल प्रबंधक में AssociateAdminAccount का उपयोग करके ऑनबोर्ड किया गया था।
फ़ायरवॉल प्रबंधक प्रशासक खाता केवल संगठन के प्रबंधन खाते द्वारा बनाया जा सकता है।

aws fms associate-admin-account --admin-account <value>
aws fms disassociate-admin-account
aws fms put-admin-account --admin-account <value>

संभावित प्रभाव: केंद्रीकृत प्रबंधन का नुकसान, नीति से बचाव, अनुपालन उल्लंघन, और वातावरण के भीतर सुरक्षा नियंत्रणों का विघटन।

`fms:PutPolicy`, `fms:DeletePolicy`

एक हमलावर जिसके पास fms:PutPolicy, fms:DeletePolicy अनुमतियाँ हैं, वह AWS Firewall Manager नीति को बनाने, संशोधित करने या स्थायी रूप से हटाने में सक्षम होगा।

aws fms put-policy --policy <value> | --cli-input-json file://<policy.json> [--tag-list <value>]
aws fms delete-policy --policy-id <value> [--delete-all-policy-resources | --no-delete-all-policy-resources]

एक उदहारण अनुमति देने वाली नीति का, अनुमति देने वाले सुरक्षा समूह के माध्यम से, पहचान को बायपास करने के लिए, निम्नलिखित हो सकता है:

{
"Policy": {
"PolicyName": "permisive_policy",
"SecurityServicePolicyData": {
"Type": "SECURITY_GROUPS_COMMON",
"ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_COMMON\",\"securityGroups\":[{\"id\":\"<permisive_security_group_id>\"}], \"applyToAllEC2InstanceENIs\":\"true\",\"IncludeSharedVPC\":\"true\"}"
},
"ResourceTypeList": ["AWS::EC2::Instance", "AWS::EC2::NetworkInterface", "AWS::EC2::SecurityGroup", "AWS::ElasticLoadBalancingV2::LoadBalancer", "AWS::ElasticLoadBalancing::LoadBalancer"],
"ResourceType": "AWS::EC2::SecurityGroup",
"ExcludeResourceTags": false,
"ResourceTags": [],
"RemediationEnabled": true
},
"TagList": []
}

संभावित प्रभाव: सुरक्षा नियंत्रणों का विघटन, नीति से बचाव, अनुपालन उल्लंघन, संचालन में बाधाएँ, और वातावरण के भीतर संभावित डेटा उल्लंघन।

`fms:BatchAssociateResource`, `fms:BatchDisassociateResource`, `fms:PutResourceSet`, `fms:DeleteResourceSet`

एक हमलावर जिसके पास fms:BatchAssociateResource और fms:BatchDisassociateResource अनुमतियाँ हैं, वह क्रमशः एक फ़ायरवॉल प्रबंधक संसाधन सेट से संसाधनों को जोड़ने या हटाने में सक्षम होगा। इसके अतिरिक्त, fms:PutResourceSet और fms:DeleteResourceSet अनुमतियाँ एक हमलावर को AWS फ़ायरवॉल प्रबंधक से इन संसाधन सेटों को बनाने, संशोधित करने या हटाने की अनुमति देंगी।

# Associate/Disassociate resources from a resource set
aws fms batch-associate-resource --resource-set-identifier <value> --items <value>
aws fms batch-disassociate-resource --resource-set-identifier <value> --items <value>

# Create, modify or delete a resource set
aws fms put-resource-set --resource-set <value> [--tag-list <value>]
aws fms delete-resource-set --identifier <value>

संभावित प्रभाव: एक संसाधन सेट में अनावश्यक मात्रा में आइटम जोड़ने से सेवा में शोर का स्तर बढ़ जाएगा, जिससे DoS हो सकता है। इसके अलावा, संसाधन सेट में परिवर्तन संसाधन विघटन, नीति से बचाव, अनुपालन उल्लंघनों, और वातावरण में सुरक्षा नियंत्रणों के विघटन का कारण बन सकते हैं।

`fms:PutAppsList`, `fms:DeleteAppsList`

एक हमलावर जिसके पास fms:PutAppsList और fms:DeleteAppsList अनुमतियाँ हैं, AWS Firewall Manager से एप्लिकेशन सूचियों को बनाने, संशोधित करने या हटाने में सक्षम होगा। यह महत्वपूर्ण हो सकता है, क्योंकि अनधिकृत एप्लिकेशन को सामान्य जनता तक पहुँचने की अनुमति दी जा सकती है, या अधिकृत एप्लिकेशनों तक पहुँच को अस्वीकृत किया जा सकता है, जिससे DoS हो सकता है।

aws fms put-apps-list --apps-list <value> [--tag-list <value>]
aws fms delete-apps-list --list-id <value>

संभावित प्रभाव: इससे गलत कॉन्फ़िगरेशन, नीति से बचाव, अनुपालन उल्लंघन, और वातावरण के भीतर सुरक्षा नियंत्रणों में विघटन हो सकता है।

`fms:PutProtocolsList`, `fms:DeleteProtocolsList`

एक हमलावर जिसके पास fms:PutProtocolsList और fms:DeleteProtocolsList अनुमतियाँ हैं, वह AWS Firewall Manager से प्रोटोकॉल सूचियाँ बनाने, संशोधित करने या हटाने में सक्षम होगा। अनुप्रयोग सूचियों की तरह, यह महत्वपूर्ण हो सकता है क्योंकि अनधिकृत प्रोटोकॉल का उपयोग आम जनता द्वारा किया जा सकता है, या अधिकृत प्रोटोकॉल के उपयोग को अस्वीकार किया जा सकता है, जिससे DoS हो सकता है।

aws fms put-protocols-list --apps-list <value> [--tag-list <value>]
aws fms delete-protocols-list --list-id <value>

`fms:PutNotificationChannel`, `fms:DeleteNotificationChannel`

एक हमलावर जिसके पास fms:PutNotificationChannel और fms:DeleteNotificationChannel अनुमतियाँ हैं, वह IAM भूमिका और Amazon Simple Notification Service (SNS) विषय को हटा और निर्दिष्ट कर सकेगा जिसका उपयोग Firewall Manager SNS लॉग रिकॉर्ड करने के लिए करता है।

fms:PutNotificationChannel का उपयोग कंसोल के बाहर करने के लिए, आपको SNS विषय की पहुँच नीति सेटअप करनी होगी, जिससे निर्दिष्ट SnsRoleName को SNS लॉग प्रकाशित करने की अनुमति मिलेगी। यदि प्रदान किया गया SnsRoleName AWSServiceRoleForFMS के अलावा कोई अन्य भूमिका है, तो इसे Firewall Manager सेवा प्रमुख fms.amazonaws.com को इस भूमिका को ग्रहण करने की अनुमति देने के लिए एक विश्वास संबंध की आवश्यकता होती है।

SNS पहुँच नीति कॉन्फ़िगर करने के बारे में जानकारी के लिए:

aws fms put-notification-channel --sns-topic-arn <value> --sns-role-name <value>
aws fms delete-notification-channel

संभावित प्रभाव: इससे सुरक्षा अलर्ट्स की कमी, घटना प्रतिक्रिया में देरी, संभावित डेटा उल्लंघन और वातावरण में परिचालन व्यवधान हो सकते हैं।

`fms:AssociateThirdPartyFirewall`, `fms:DisssociateThirdPartyFirewall`

एक हमलावर जिसके पास fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall अनुमतियाँ हैं, वह AWS Firewall Manager के माध्यम से तीसरे पक्ष के फ़ायरवॉल को केंद्रीय रूप से जोड़ने या अलग करने में सक्षम होगा।

केवल डिफ़ॉल्ट प्रशासक तीसरे पक्ष के फ़ायरवॉल बना और प्रबंधित कर सकते हैं।

aws fms associate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL]
aws fms disassociate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL]

संभावित प्रभाव: असंबंधन एक नीति से बचाव, अनुपालन उल्लंघनों, और वातावरण के भीतर सुरक्षा नियंत्रणों में विघटन का कारण बनेगा। दूसरी ओर, संबंध लागत और बजट आवंटन में विघटन का कारण बनेगा।

`fms:TagResource`, `fms:UntagResource`

एक हमलावर फ़ायरवॉल प्रबंधक संसाधनों से टैग जोड़ने, संशोधित करने, या हटाने में सक्षम होगा, जिससे आपकी संगठन की लागत आवंटन, संसाधन ट्रैकिंग, और टैग के आधार पर पहुंच नियंत्रण नीतियों में विघटन होगा।

aws fms tag-resource --resource-arn <value> --tag-list <value>
aws fms untag-resource --resource-arn <value> --tag-keys <value>

संभावित प्रभाव: लागत आवंटन, संसाधन ट्रैकिंग, और टैग-आधारित पहुंच नियंत्रण नीतियों में विघटन।

संदर्भ

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAWS - Detective Enum NextAWS - GuardDuty Enum

Last updated 3 days ago

Firewall Manager

Prerequisites

Types of protection policies

Administrator accounts

Enumeration

Post Exploitation / Bypass Detection

organizations:DescribeOrganization & (fms:AssociateAdminAccount, fms:DisassociateAdminAccount, fms:PutAdminAccount)

fms:PutPolicy, fms:DeletePolicy

fms:BatchAssociateResource, fms:BatchDisassociateResource, fms:PutResourceSet, fms:DeleteResourceSet

fms:PutAppsList, fms:DeleteAppsList

fms:PutProtocolsList, fms:DeleteProtocolsList

fms:PutNotificationChannel, fms:DeleteNotificationChannel

fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall

fms:TagResource, fms:UntagResource

संदर्भ

Firewall Manager

Prerequisites

Types of protection policies

Administrator accounts

Enumeration

Post Exploitation / Bypass Detection

organizations:DescribeOrganization & (fms:AssociateAdminAccount, fms:DisassociateAdminAccount, fms:PutAdminAccount)

fms:PutPolicy, fms:DeletePolicy

fms:BatchAssociateResource, fms:BatchDisassociateResource, fms:PutResourceSet, fms:DeleteResourceSet

fms:PutAppsList, fms:DeleteAppsList

fms:PutProtocolsList, fms:DeleteProtocolsList

fms:PutNotificationChannel, fms:DeleteNotificationChannel

fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall

fms:TagResource, fms:UntagResource

संदर्भ

`organizations:DescribeOrganization` & (`fms:AssociateAdminAccount`, `fms:DisassociateAdminAccount`, `fms:PutAdminAccount`)

`fms:PutPolicy`, `fms:DeletePolicy`

`fms:BatchAssociateResource`, `fms:BatchDisassociateResource`, `fms:PutResourceSet`, `fms:DeleteResourceSet`

`fms:PutAppsList`, `fms:DeleteAppsList`

`fms:PutProtocolsList`, `fms:DeleteProtocolsList`

`fms:PutNotificationChannel`, `fms:DeleteNotificationChannel`

`fms:AssociateThirdPartyFirewall`, `fms:DisssociateThirdPartyFirewall`

`fms:TagResource`, `fms:UntagResource`

`organizations:DescribeOrganization` & (`fms:AssociateAdminAccount`, `fms:DisassociateAdminAccount`, `fms:PutAdminAccount`)

`fms:PutPolicy`, `fms:DeletePolicy`

`fms:BatchAssociateResource`, `fms:BatchDisassociateResource`, `fms:PutResourceSet`, `fms:DeleteResourceSet`

`fms:PutAppsList`, `fms:DeleteAppsList`

`fms:PutProtocolsList`, `fms:DeleteProtocolsList`

`fms:PutNotificationChannel`, `fms:DeleteNotificationChannel`

`fms:AssociateThirdPartyFirewall`, `fms:DisssociateThirdPartyFirewall`

`fms:TagResource`, `fms:UntagResource`