AWS - Firewall Manager Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
AWS Firewall Manager simplifica a gestão e manutenção do AWS WAF, AWS Shield Advanced, grupos de segurança do Amazon VPC e Listas de Controle de Acesso de Rede (ACLs), e AWS Network Firewall, AWS Route 53 Resolver DNS Firewall e firewalls de terceiros em várias contas e recursos. Ele permite que você configure suas regras de firewall, proteções do Shield Advanced, grupos de segurança do VPC e configurações do Network Firewall apenas uma vez, com o serviço aplicando automaticamente essas regras e proteções em suas contas e recursos, incluindo os recém-adicionados.
O serviço oferece a capacidade de agrupar e proteger recursos específicos juntos, como aqueles que compartilham uma tag comum ou todas as suas distribuições do CloudFront. Uma vantagem significativa do Firewall Manager é sua capacidade de estender automaticamente a proteção a recursos recém-adicionados em sua conta.
Um grupo de regras (uma coleção de regras do WAF) pode ser incorporado em uma Política do AWS Firewall Manager, que é então vinculada a recursos específicos da AWS, como distribuições do CloudFront ou balanceadores de carga de aplicativos.
O AWS Firewall Manager fornece listas de aplicativos e protocolos gerenciados para simplificar a configuração e gestão das políticas de grupos de segurança. Essas listas permitem que você defina os protocolos e aplicativos permitidos ou negados por suas políticas. Existem dois tipos de listas gerenciadas:
Listas gerenciadas pelo Firewall Manager: Essas listas incluem FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed e FMS-Default-Protocols-Allowed. Elas são gerenciadas pelo Firewall Manager e incluem aplicativos e protocolos comumente usados que devem ser permitidos ou negados ao público em geral. Não é possível editá-las ou excluí-las, no entanto, você pode escolher sua versão.
Listas gerenciadas personalizadas: Você gerencia essas listas por conta própria. Você pode criar listas de aplicativos e protocolos personalizadas adaptadas às necessidades da sua organização. Ao contrário das listas gerenciadas pelo Firewall Manager, essas listas não têm versões, mas você tem controle total sobre as listas personalizadas, permitindo que você as crie, edite e exclua conforme necessário.
É importante notar que as políticas do Firewall Manager permitem apenas ações "Block" ou "Count" para um grupo de regras, sem uma opção "Allow".
Os seguintes passos pré-requisitos devem ser concluídos antes de prosseguir para configurar o Firewall Manager para começar a proteger efetivamente os recursos da sua organização. Esses passos fornecem a configuração básica necessária para que o Firewall Manager aplique políticas de segurança e garanta conformidade em seu ambiente AWS:
Junte-se e configure o AWS Organizations: Certifique-se de que sua conta AWS faz parte da organização do AWS Organizations onde as políticas do AWS Firewall Manager estão planejadas para serem implantadas. Isso permite a gestão centralizada de recursos e políticas em várias contas AWS dentro da organização.
Crie uma Conta de Administrador Padrão do AWS Firewall Manager: Estabeleça uma conta de administrador padrão especificamente para gerenciar as políticas de segurança do Firewall Manager. Esta conta será responsável por configurar e aplicar políticas de segurança em toda a organização. Apenas a conta de gerenciamento da organização pode criar contas de administrador padrão do Firewall Manager.
Ative o AWS Config: Ative o AWS Config para fornecer ao Firewall Manager os dados de configuração e insights necessários para aplicar efetivamente as políticas de segurança. O AWS Config ajuda a analisar, auditar, monitorar e auditar configurações e mudanças de recursos, facilitando uma melhor gestão de segurança.
Para Políticas de Terceiros, Inscreva-se no AWS Marketplace e Configure as Configurações de Terceiros: Se você planeja utilizar políticas de firewall de terceiros, inscreva-se nelas no AWS Marketplace e configure as configurações necessárias. Este passo garante que o Firewall Manager possa integrar e aplicar políticas de fornecedores de terceiros confiáveis.
Para Políticas de Network Firewall e DNS Firewall, habilite o compartilhamento de recursos: Habilite o compartilhamento de recursos especificamente para políticas de Network Firewall e DNS Firewall. Isso permite que o Firewall Manager aplique proteções de firewall aos VPCs e à resolução DNS da sua organização, melhorando a segurança da rede.
Para usar o AWS Firewall Manager em Regiões que estão desativadas por padrão: Se você pretende usar o Firewall Manager em regiões da AWS que estão desativadas por padrão, certifique-se de tomar as medidas necessárias para habilitar sua funcionalidade nessas regiões. Isso garante a aplicação consistente de segurança em todas as regiões onde sua organização opera.
Para mais informações, consulte: Getting started with AWS Firewall Manager AWS WAF policies.
O AWS Firewall Manager gerencia vários tipos de políticas para aplicar controles de segurança em diferentes aspectos da infraestrutura da sua organização:
Política do AWS WAF: Este tipo de política suporta tanto o AWS WAF quanto o AWS WAF Classic. Você pode definir quais recursos são protegidos pela política. Para políticas do AWS WAF, você pode especificar conjuntos de grupos de regras para serem executados primeiro e por último no ACL da web. Além disso, os proprietários da conta podem adicionar regras e grupos de regras para serem executados entre esses conjuntos.
Política do Shield Advanced: Esta política aplica proteções do Shield Advanced em toda a sua organização para tipos de recursos especificados. Ela ajuda a proteger contra ataques DDoS e outras ameaças.
Política de Grupo de Segurança do Amazon VPC: Com esta política, você pode gerenciar grupos de segurança usados em toda a sua organização, aplicando um conjunto básico de regras em seu ambiente AWS para controlar o acesso à rede.
Política de Lista de Controle de Acesso de Rede (ACL) do Amazon VPC: Este tipo de política dá a você controle sobre as ACLs de rede usadas em sua organização, permitindo que você aplique um conjunto básico de ACLs de rede em seu ambiente AWS.
Política de Network Firewall: Esta política aplica proteção do AWS Network Firewall aos VPCs da sua organização, melhorando a segurança da rede filtrando o tráfego com base em regras predefinidas.
Política do Amazon Route 53 Resolver DNS Firewall: Esta política aplica proteções do DNS Firewall aos VPCs da sua organização, ajudando a bloquear tentativas de resolução de domínio maliciosas e aplicar políticas de segurança para o tráfego DNS.
Política de Firewall de Terceiros: Este tipo de política aplica proteções de firewalls de terceiros, que estão disponíveis por assinatura através do console do AWS Marketplace. Ela permite que você integre medidas de segurança adicionais de fornecedores confiáveis em seu ambiente AWS.
Política do Palo Alto Networks Cloud NGFW: Esta política aplica proteções e conjuntos de regras do Palo Alto Networks Cloud Next Generation Firewall (NGFW) aos VPCs da sua organização, fornecendo prevenção avançada contra ameaças e controles de segurança em nível de aplicativo.
Política do Fortigate Cloud Native Firewall (CNF) como Serviço: Esta política aplica proteções do Fortigate Cloud Native Firewall (CNF) como Serviço, oferecendo prevenção de ameaças líder do setor, firewall de aplicativo web (WAF) e proteção de API adaptadas para infraestruturas em nuvem.
O AWS Firewall Manager oferece flexibilidade na gestão de recursos de firewall dentro da sua organização através de seu escopo administrativo e dois tipos de contas de administrador.
O escopo administrativo define os recursos que um administrador do Firewall Manager pode gerenciar. Após uma conta de gerenciamento do AWS Organizations integrar uma organização ao Firewall Manager, ela pode criar administradores adicionais com diferentes escopos administrativos. Esses escopos podem incluir:
Contas ou unidades organizacionais (OUs) às quais o administrador pode aplicar políticas.
Regiões onde o administrador pode realizar ações.
Tipos de políticas do Firewall Manager que o administrador pode gerenciar.
O escopo administrativo pode ser total ou restrito. O escopo total concede ao administrador acesso a todos os tipos de recursos, regiões e tipos de políticas especificados. Em contraste, o escopo restrito fornece permissão administrativa apenas a um subconjunto de recursos, regiões ou tipos de políticas. É aconselhável conceder aos administradores apenas as permissões necessárias para cumprir suas funções de forma eficaz. Você pode aplicar qualquer combinação dessas condições de escopo administrativo a um administrador, garantindo a adesão ao princípio do menor privilégio.
Existem dois tipos distintos de contas de administrador, cada uma servindo a papéis e responsabilidades específicas:
Administrador Padrão:
A conta de administrador padrão é criada pela conta de gerenciamento da organização do AWS Organizations durante o processo de integração ao Firewall Manager.
Esta conta tem a capacidade de gerenciar firewalls de terceiros e possui escopo administrativo total.
Ela serve como a conta de administrador principal do Firewall Manager, responsável por configurar e aplicar políticas de segurança em toda a organização.
Embora o administrador padrão tenha acesso total a todos os tipos de recursos e funcionalidades administrativas, ele opera no mesmo nível de paridade que outros administradores se múltiplos administradores forem utilizados dentro da organização.
Administradores do Firewall Manager:
Esses administradores podem gerenciar recursos dentro do escopo designado pela conta de gerenciamento do AWS Organizations, conforme definido pela configuração do escopo administrativo.
Administradores do Firewall Manager são criados para cumprir papéis específicos dentro da organização, permitindo a delegação de responsabilidades enquanto mantêm padrões de segurança e conformidade.
Ao serem criados, o Firewall Manager verifica com o AWS Organizations para determinar se a conta já é um administrador delegado. Se não for, o Firewall Manager chama o Organizations para designar a conta como um administrador delegado para o Firewall Manager.
Gerenciar essas contas de administrador envolve criá-las dentro do Firewall Manager e definir seus escopos administrativos de acordo com os requisitos de segurança da organização e o princípio do menor privilégio. Ao atribuir papéis administrativos apropriados, as organizações podem garantir uma gestão de segurança eficaz enquanto mantêm controle granular sobre o acesso a recursos sensíveis.
É importante destacar que apenas uma conta dentro de uma organização pode servir como o administrador padrão do Firewall Manager, aderindo ao princípio de "primeiro a entrar, último a sair". Para designar um novo administrador padrão, uma série de passos deve ser seguida:
Primeiro, cada conta de administrador do Firewall deve revogar sua própria conta.
Em seguida, o administrador padrão existente pode revogar sua própria conta, efetivamente desintegrando a organização do Firewall Manager. Este processo resulta na exclusão de todas as políticas do Firewall Manager criadas pela conta revogada.
Para concluir, a conta de gerenciamento do AWS Organizations deve designar o administrador padrão do Firewall Manager.
organizations:DescribeOrganization
& (fms:AssociateAdminAccount
, fms:DisassociateAdminAccount
, fms:PutAdminAccount
)Um atacante com a permissão fms:AssociateAdminAccount
seria capaz de definir a conta de administrador padrão do Firewall Manager. Com a permissão fms:PutAdminAccount
, um atacante poderia criar ou atualizar uma conta de administrador do Firewall Manager e, com a permissão fms:DisassociateAdminAccount
, um potencial atacante poderia remover a associação da conta de administrador atual do Firewall Manager.
A desassociação do administrador padrão do Firewall Manager segue a política de primeiro a entrar, último a sair. Todos os administradores do Firewall Manager devem se desassociar antes que o administrador padrão do Firewall Manager possa desassociar a conta.
Para criar um administrador do Firewall Manager por meio de PutAdminAccount, a conta deve pertencer à organização que foi previamente integrada ao Firewall Manager usando AssociateAdminAccount.
A criação de uma conta de administrador do Firewall Manager só pode ser feita pela conta de gerenciamento da organização.
Impacto Potencial: Perda de gerenciamento centralizado, evasão de políticas, violações de conformidade e interrupção dos controles de segurança dentro do ambiente.
fms:PutPolicy
, fms:DeletePolicy
Um atacante com as permissões fms:PutPolicy
, fms:DeletePolicy
seria capaz de criar, modificar ou excluir permanentemente uma política do AWS Firewall Manager.
Um exemplo de política permissiva através de um grupo de segurança permissivo, a fim de contornar a detecção, poderia ser o seguinte:
Impacto Potencial: Desmantelamento de controles de segurança, evasão de políticas, violações de conformidade, interrupções operacionais e possíveis vazamentos de dados dentro do ambiente.
fms:BatchAssociateResource
, fms:BatchDisassociateResource
, fms:PutResourceSet
, fms:DeleteResourceSet
Um atacante com as permissões fms:BatchAssociateResource
e fms:BatchDisassociateResource
seria capaz de associar ou desassociar recursos de um conjunto de recursos do Firewall Manager, respectivamente. Além disso, as permissões fms:PutResourceSet
e fms:DeleteResourceSet
permitiriam que um atacante criasse, modificasse ou excluísse esses conjuntos de recursos do AWS Firewall Manager.
Impacto Potencial: A adição de uma quantidade desnecessária de itens a um conjunto de recursos aumentará o nível de ruído no Serviço, potencialmente causando um DoS. Além disso, mudanças nos conjuntos de recursos podem levar a uma interrupção de recursos, evasão de políticas, violações de conformidade e interrupção dos controles de segurança dentro do ambiente.
fms:PutAppsList
, fms:DeleteAppsList
Um atacante com as permissões fms:PutAppsList
e fms:DeleteAppsList
seria capaz de criar, modificar ou excluir listas de aplicativos do AWS Firewall Manager. Isso poderia ser crítico, pois aplicativos não autorizados poderiam ter acesso ao público em geral, ou o acesso a aplicativos autorizados poderia ser negado, causando um DoS.
Impacto Potencial: Isso poderia resultar em configurações incorretas, evasão de políticas, violações de conformidade e interrupção dos controles de segurança dentro do ambiente.
fms:PutProtocolsList
, fms:DeleteProtocolsList
Um atacante com as permissões fms:PutProtocolsList
e fms:DeleteProtocolsList
seria capaz de criar, modificar ou excluir listas de protocolos do AWS Firewall Manager. Da mesma forma que com listas de aplicativos, isso poderia ser crítico, uma vez que protocolos não autorizados poderiam ser usados pelo público em geral, ou o uso de protocolos autorizados poderia ser negado, causando um DoS.
Impacto Potencial: Isso pode resultar em configurações incorretas, evasão de políticas, violações de conformidade e interrupção dos controles de segurança dentro do ambiente.
fms:PutNotificationChannel
, fms:DeleteNotificationChannel
Um atacante com as permissões fms:PutNotificationChannel
e fms:DeleteNotificationChannel
seria capaz de excluir e designar o papel IAM e o tópico do Amazon Simple Notification Service (SNS) que o Firewall Manager usa para registrar logs do SNS.
Para usar fms:PutNotificationChannel
fora do console, você precisa configurar a política de acesso do tópico SNS, permitindo que o SnsRoleName especificado publique logs do SNS. Se o SnsRoleName fornecido for um papel diferente do AWSServiceRoleForFMS
, ele requer um relacionamento de confiança configurado para permitir que o principal de serviço do Firewall Manager fms.amazonaws.com assuma esse papel.
Para informações sobre como configurar uma política de acesso do SNS:
https://github.com/HackTricks-wiki/hacktricks-cloud/blob/pt/pentesting-cloud/aws-security/aws-services/aws-services/aws-sns-enum.mdImpacto Potencial: Isso poderia levar a alertas de segurança perdidos, resposta a incidentes atrasada, possíveis vazamentos de dados e interrupções operacionais dentro do ambiente.
fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
Um atacante com as permissões fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
seria capaz de associar ou desassociar firewalls de terceiros para serem gerenciados centralmente através do AWS Firewall Manager.
Apenas o administrador padrão pode criar e gerenciar firewalls de terceiros.
Impacto Potencial: A desassociação levaria a uma evasão de política, violações de conformidade e interrupção dos controles de segurança dentro do ambiente. A associação, por outro lado, levaria a uma interrupção da alocação de custos e orçamento.
fms:TagResource
, fms:UntagResource
Um atacante seria capaz de adicionar, modificar ou remover tags dos recursos do Firewall Manager, interrompendo a alocação de custos da sua organização, o rastreamento de recursos e as políticas de controle de acesso baseadas em tags.
Impacto Potencial: Interrupção da alocação de custos, rastreamento de recursos e políticas de controle de acesso baseadas em tags.
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)