AWS - Firewall Manager Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
AWS Firewall Manager semplifica la gestione e la manutenzione di AWS WAF, AWS Shield Advanced, gruppi di sicurezza Amazon VPC e liste di controllo degli accessi di rete (ACL), e AWS Network Firewall, AWS Route 53 Resolver DNS Firewall e firewall di terze parti attraverso più account e risorse. Ti consente di configurare le regole del firewall, le protezioni Shield Advanced, i gruppi di sicurezza VPC e le impostazioni del Network Firewall una sola volta, con il servizio che applica automaticamente queste regole e protezioni ai tuoi account e risorse, comprese quelle aggiunte di recente.
Il servizio offre la possibilità di raggruppare e proteggere risorse specifiche insieme, come quelle che condividono un tag comune o tutte le tue distribuzioni CloudFront. Un vantaggio significativo di Firewall Manager è la sua capacità di estendere automaticamente la protezione alle risorse aggiunte di recente nel tuo account.
Un gruppo di regole (una collezione di regole WAF) può essere incorporato in una Politica di AWS Firewall Manager, che è poi collegata a risorse AWS specifiche come distribuzioni CloudFront o bilanciatori di carico delle applicazioni.
AWS Firewall Manager fornisce liste di applicazioni e protocolli gestiti per semplificare la configurazione e la gestione delle politiche dei gruppi di sicurezza. Queste liste ti consentono di definire i protocolli e le applicazioni consentiti o negati dalle tue politiche. Ci sono due tipi di liste gestite:
Liste gestite da Firewall Manager: Queste liste includono FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed e FMS-Default-Protocols-Allowed. Sono gestite da Firewall Manager e includono applicazioni e protocolli comunemente usati che dovrebbero essere consentiti o negati al pubblico generale. Non è possibile modificarle o eliminarle, tuttavia, puoi scegliere la loro versione.
Liste gestite personalizzate: Gestisci queste liste tu stesso. Puoi creare liste di applicazioni e protocolli personalizzate adattate alle esigenze della tua organizzazione. A differenza delle liste gestite da Firewall Manager, queste liste non hanno versioni, ma hai il pieno controllo sulle liste personalizzate, consentendoti di crearle, modificarle ed eliminarle secondo necessità.
È importante notare che le politiche di Firewall Manager consentono solo azioni "Block" o "Count" per un gruppo di regole, senza un'opzione "Allow".
I seguenti passaggi preliminari devono essere completati prima di procedere alla configurazione di Firewall Manager per iniziare a proteggere efficacemente le risorse della tua organizzazione. Questi passaggi forniscono la configurazione fondamentale necessaria affinché Firewall Manager possa applicare politiche di sicurezza e garantire la conformità nel tuo ambiente AWS:
Unisciti e configura AWS Organizations: Assicurati che il tuo account AWS faccia parte dell'organizzazione AWS Organizations in cui si prevede di implementare le politiche di AWS Firewall Manager. Questo consente una gestione centralizzata delle risorse e delle politiche attraverso più account AWS all'interno dell'organizzazione.
Crea un account amministratore predefinito di AWS Firewall Manager: Stabilisci un account amministratore predefinito specificamente per la gestione delle politiche di sicurezza di Firewall Manager. Questo account sarà responsabile della configurazione e dell'applicazione delle politiche di sicurezza in tutta l'organizzazione. Solo l'account di gestione dell'organizzazione è in grado di creare account amministratori predefiniti di Firewall Manager.
Abilita AWS Config: Attiva AWS Config per fornire a Firewall Manager i dati di configurazione e le informazioni necessarie per applicare efficacemente le politiche di sicurezza. AWS Config aiuta ad analizzare, auditare, monitorare e controllare le configurazioni e le modifiche delle risorse, facilitando una migliore gestione della sicurezza.
Per le politiche di terze parti, iscriviti nel AWS Marketplace e configura le impostazioni di terze parti: Se prevedi di utilizzare politiche di firewall di terze parti, iscriviti a esse nel AWS Marketplace e configura le impostazioni necessarie. Questo passaggio garantisce che Firewall Manager possa integrare e applicare politiche da fornitori di terze parti fidati.
Per le politiche di Network Firewall e DNS Firewall, abilita la condivisione delle risorse: Abilita la condivisione delle risorse specificamente per le politiche di Network Firewall e DNS Firewall. Questo consente a Firewall Manager di applicare protezioni del firewall alle VPC della tua organizzazione e alla risoluzione DNS, migliorando la sicurezza della rete.
Per utilizzare AWS Firewall Manager in regioni disabilitate per impostazione predefinita: Se intendi utilizzare Firewall Manager in regioni AWS disabilitate per impostazione predefinita, assicurati di seguire i passaggi necessari per abilitare la sua funzionalità in quelle regioni. Questo garantisce un'applicazione coerente della sicurezza in tutte le regioni in cui opera la tua organizzazione.
Per ulteriori informazioni, controlla: Getting started with AWS Firewall Manager AWS WAF policies.
AWS Firewall Manager gestisce diversi tipi di politiche per applicare controlli di sicurezza in vari aspetti dell'infrastruttura della tua organizzazione:
Politica AWS WAF: Questo tipo di politica supporta sia AWS WAF che AWS WAF Classic. Puoi definire quali risorse sono protette dalla politica. Per le politiche AWS WAF, puoi specificare set di gruppi di regole da eseguire per primi e per ultimi nell'ACL web. Inoltre, i proprietari degli account possono aggiungere regole e gruppi di regole da eseguire tra questi set.
Politica Shield Advanced: Questa politica applica protezioni Shield Advanced in tutta la tua organizzazione per tipi di risorse specificati. Aiuta a proteggere contro attacchi DDoS e altre minacce.
Politica del gruppo di sicurezza Amazon VPC: Con questa politica, puoi gestire i gruppi di sicurezza utilizzati in tutta la tua organizzazione, applicando un insieme di regole di base nel tuo ambiente AWS per controllare l'accesso alla rete.
Politica della lista di controllo degli accessi di rete (ACL) Amazon VPC: Questo tipo di politica ti dà il controllo sulle ACL di rete utilizzate nella tua organizzazione, consentendoti di applicare un insieme di base di ACL di rete nel tuo ambiente AWS.
Politica del Network Firewall: Questa politica applica la protezione del AWS Network Firewall alle VPC della tua organizzazione, migliorando la sicurezza della rete filtrando il traffico in base a regole predefinite.
Politica del DNS Firewall di Amazon Route 53 Resolver: Questa politica applica protezioni del DNS Firewall alle VPC della tua organizzazione, aiutando a bloccare tentativi di risoluzione di domini dannosi e applicare politiche di sicurezza per il traffico DNS.
Politica del firewall di terze parti: Questo tipo di politica applica protezioni da firewall di terze parti, disponibili tramite abbonamento attraverso la console AWS Marketplace. Ti consente di integrare misure di sicurezza aggiuntive da fornitori fidati nel tuo ambiente AWS.
Politica Palo Alto Networks Cloud NGFW: Questa politica applica protezioni e regole del Palo Alto Networks Cloud Next Generation Firewall (NGFW) alle VPC della tua organizzazione, fornendo prevenzione avanzata delle minacce e controlli di sicurezza a livello di applicazione.
Politica Fortigate Cloud Native Firewall (CNF) as a Service: Questa politica applica protezioni del Fortigate Cloud Native Firewall (CNF) as a Service, offrendo prevenzione delle minacce leader del settore, firewall per applicazioni web (WAF) e protezione API adattata per infrastrutture cloud.
AWS Firewall Manager offre flessibilità nella gestione delle risorse del firewall all'interno della tua organizzazione attraverso il suo ambito amministrativo e due tipi di account amministratori.
L'ambito amministrativo definisce le risorse che un amministratore di Firewall Manager può gestire. Dopo che un account di gestione di AWS Organizations ha integrato un'organizzazione in Firewall Manager, può creare ulteriori amministratori con diversi ambiti amministrativi. Questi ambiti possono includere:
Account o unità organizzative (OU) a cui l'amministratore può applicare politiche.
Regioni in cui l'amministratore può eseguire azioni.
Tipi di politiche di Firewall Manager che l'amministratore può gestire.
L'ambito amministrativo può essere completo o ristretto. L'ambito completo concede all'amministratore accesso a tutti i tipi di risorse specificati, regioni e tipi di politiche. Al contrario, l'ambito ristretto fornisce permessi amministrativi solo a un sottoinsieme di risorse, regioni o tipi di politiche. È consigliabile concedere agli amministratori solo i permessi necessari per svolgere efficacemente i loro ruoli. Puoi applicare qualsiasi combinazione di queste condizioni di ambito amministrativo a un amministratore, garantendo l'aderenza al principio del minimo privilegio.
Ci sono due tipi distinti di account amministratori, ciascuno con ruoli e responsabilità specifici:
Amministratore predefinito:
L'account amministratore predefinito è creato dall'account di gestione dell'organizzazione AWS Organizations durante il processo di integrazione in Firewall Manager.
Questo account ha la capacità di gestire firewall di terze parti e possiede un ambito amministrativo completo.
Funziona come l'account amministratore principale per Firewall Manager, responsabile della configurazione e dell'applicazione delle politiche di sicurezza in tutta l'organizzazione.
Sebbene l'amministratore predefinito abbia accesso completo a tutti i tipi di risorse e funzionalità amministrative, opera allo stesso livello di pari degli altri amministratori se più amministratori vengono utilizzati all'interno dell'organizzazione.
Amministratori di Firewall Manager:
Questi amministratori possono gestire risorse nell'ambito designato dall'account di gestione di AWS Organizations, come definito dalla configurazione dell'ambito amministrativo.
Gli amministratori di Firewall Manager sono creati per svolgere ruoli specifici all'interno dell'organizzazione, consentendo la delega delle responsabilità mantenendo standard di sicurezza e conformità.
Al momento della creazione, Firewall Manager verifica con AWS Organizations per determinare se l'account è già un amministratore delegato. In caso contrario, Firewall Manager chiama Organizations per designare l'account come amministratore delegato per Firewall Manager.
La gestione di questi account amministratori comporta la loro creazione all'interno di Firewall Manager e la definizione dei loro ambiti amministrativi in base ai requisiti di sicurezza dell'organizzazione e al principio del minimo privilegio. Assegnando ruoli amministrativi appropriati, le organizzazioni possono garantire una gestione efficace della sicurezza mantenendo un controllo granulare sull'accesso a risorse sensibili.
È importante sottolineare che solo un account all'interno di un'organizzazione può fungere da amministratore predefinito di Firewall Manager, aderendo al principio di "primo dentro, ultimo fuori". Per designare un nuovo amministratore predefinito, deve essere seguita una serie di passaggi:
Prima, ogni account amministratore di Firewall deve revocare il proprio account.
Poi, l'amministratore predefinito esistente può revocare il proprio account, disimpegnando effettivamente l'organizzazione da Firewall Manager. Questo processo comporta l'eliminazione di tutte le politiche di Firewall Manager create dall'account revocato.
Per concludere, l'account di gestione di AWS Organizations deve designare l'amministratore predefinito di Firewall Manager.
organizations:DescribeOrganization
& (fms:AssociateAdminAccount
, fms:DisassociateAdminAccount
, fms:PutAdminAccount
)Un attaccante con il permesso fms:AssociateAdminAccount
sarebbe in grado di impostare l'account amministratore predefinito del Firewall Manager. Con il permesso fms:PutAdminAccount
, un attaccante sarebbe in grado di creare o aggiornare un account amministratore del Firewall Manager e con il permesso fms:DisassociateAdminAccount
, un potenziale attaccante potrebbe rimuovere l'associazione dell'attuale account amministratore del Firewall Manager.
La disassociazione dell'amministratore predefinito del Firewall Manager segue la politica del primo entrato, ultimo uscito. Tutti gli amministratori del Firewall Manager devono disassociarsi prima che l'amministratore predefinito del Firewall Manager possa disassociare l'account.
Per creare un amministratore del Firewall Manager tramite PutAdminAccount, l'account deve appartenere all'organizzazione che è stata precedentemente registrata nel Firewall Manager utilizzando AssociateAdminAccount.
La creazione di un account amministratore del Firewall Manager può essere effettuata solo dall'account di gestione dell'organizzazione.
Impatto Potenziale: Perdita di gestione centralizzata, evasione delle politiche, violazioni di conformità e interruzione dei controlli di sicurezza all'interno dell'ambiente.
fms:PutPolicy
, fms:DeletePolicy
Un attaccante con i permessi fms:PutPolicy
, fms:DeletePolicy
sarebbe in grado di creare, modificare o eliminare permanentemente una politica di AWS Firewall Manager.
Un esempio di politica permissiva attraverso un gruppo di sicurezza permissivo, al fine di eludere il rilevamento, potrebbe essere il seguente:
Impatto Potenziale: Smantellamento dei controlli di sicurezza, evasione delle politiche, violazioni di conformità, interruzioni operative e potenziali violazioni dei dati all'interno dell'ambiente.
fms:BatchAssociateResource
, fms:BatchDisassociateResource
, fms:PutResourceSet
, fms:DeleteResourceSet
Un attaccante con i permessi fms:BatchAssociateResource
e fms:BatchDisassociateResource
sarebbe in grado di associare o disassociare risorse da un insieme di risorse di Firewall Manager rispettivamente. Inoltre, i permessi fms:PutResourceSet
e fms:DeleteResourceSet
consentirebbero a un attaccante di creare, modificare o eliminare questi insiemi di risorse da AWS Firewall Manager.
Impatto Potenziale: L'aggiunta di un numero eccessivo di elementi a un set di risorse aumenterà il livello di rumore nel Servizio, potenzialmente causando un DoS. Inoltre, le modifiche ai set di risorse potrebbero portare a una interruzione delle risorse, evasione delle politiche, violazioni di conformità e interruzione dei controlli di sicurezza all'interno dell'ambiente.
fms:PutAppsList
, fms:DeleteAppsList
Un attaccante con i permessi fms:PutAppsList
e fms:DeleteAppsList
sarebbe in grado di creare, modificare o eliminare elenchi di applicazioni da AWS Firewall Manager. Questo potrebbe essere critico, poiché applicazioni non autorizzate potrebbero essere autorizzate ad accedere al pubblico generale, o l'accesso ad applicazioni autorizzate potrebbe essere negato, causando un DoS.
Impatto Potenziale: Questo potrebbe portare a configurazioni errate, evasione delle politiche, violazioni di conformità e interruzione dei controlli di sicurezza all'interno dell'ambiente.
fms:PutProtocolsList
, fms:DeleteProtocolsList
Un attaccante con i permessi fms:PutProtocolsList
e fms:DeleteProtocolsList
sarebbe in grado di creare, modificare o eliminare elenchi di protocolli da AWS Firewall Manager. Allo stesso modo degli elenchi delle applicazioni, questo potrebbe essere critico poiché protocolli non autorizzati potrebbero essere utilizzati dal pubblico generale, o l'uso di protocolli autorizzati potrebbe essere negato, causando un DoS.
Impatto Potenziale: Questo potrebbe portare a configurazioni errate, evasione delle politiche, violazioni di conformità e interruzione dei controlli di sicurezza all'interno dell'ambiente.
fms:PutNotificationChannel
, fms:DeleteNotificationChannel
Un attaccante con i permessi fms:PutNotificationChannel
e fms:DeleteNotificationChannel
sarebbe in grado di eliminare e designare il ruolo IAM e il topic Amazon Simple Notification Service (SNS) che Firewall Manager utilizza per registrare i log SNS.
Per utilizzare fms:PutNotificationChannel
al di fuori della console, è necessario configurare la policy di accesso del topic SNS, consentendo al SnsRoleName specificato di pubblicare i log SNS. Se il SnsRoleName fornito è un ruolo diverso da AWSServiceRoleForFMS
, richiede una relazione di fiducia configurata per consentire al principale di servizio Firewall Manager fms.amazonaws.com di assumere questo ruolo.
Per informazioni sulla configurazione di una policy di accesso SNS:
https://github.com/HackTricks-wiki/hacktricks-cloud/blob/it/pentesting-cloud/aws-security/aws-services/aws-services/aws-sns-enum.mdImpatto Potenziale: Questo potrebbe portare a perdere avvisi di sicurezza, ritardi nella risposta agli incidenti, potenziali violazioni dei dati e interruzioni operative all'interno dell'ambiente.
fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
Un attaccante con i permessi fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
sarebbe in grado di associare o dissociare firewall di terze parti dalla gestione centrale tramite AWS Firewall Manager.
Solo l'amministratore predefinito può creare e gestire firewall di terze parti.
Impatto Potenziale: La disassociazione porterebbe a un'evasione della politica, violazioni di conformità e interruzione dei controlli di sicurezza all'interno dell'ambiente. L'associazione, d'altra parte, porterebbe a un'interruzione dell'allocazione dei costi e del budget.
fms:TagResource
, fms:UntagResource
Un attaccante sarebbe in grado di aggiungere, modificare o rimuovere tag dalle risorse di Firewall Manager, interrompendo l'allocazione dei costi della tua organizzazione, il tracciamento delle risorse e le politiche di controllo degli accessi basate sui tag.
Impatto Potenziale: Interruzione dell'allocazione dei costi, tracciamento delle risorse e politiche di controllo degli accessi basate su tag.
Impara e pratica il Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)