AWS - Firewall Manager Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
AWS Firewall Manager pojednostavljuje upravljanje i održavanje AWS WAF, AWS Shield Advanced, Amazon VPC sigurnosnih grupa i Lista za kontrolu pristupa mreži (ACL), kao i AWS Network Firewall, AWS Route 53 Resolver DNS Firewall i vatrozida trećih strana širom više naloga i resursa. Omogućava vam da konfigurišete pravila vatrozida, Shield Advanced zaštite, VPC sigurnosne grupe i postavke mrežnog vatrozida samo jednom, uz to što usluga automatski sprovodi ova pravila i zaštite širom vaših naloga i resursa, uključujući novododate.
Usluga nudi mogućnost da grupisete i zaštitite specifične resurse zajedno, kao što su oni koji dele zajedničku oznaku ili sve vaše CloudFront distribucije. Značajna prednost Firewall Manager-a je njegova sposobnost da automatski proširi zaštitu na novododate resurse u vašem nalogu.
Grupa pravila (kolekcija WAF pravila) može biti uključena u AWS Firewall Manager politiku, koja je zatim povezana sa specifičnim AWS resursima kao što su CloudFront distribucije ili aplikacijski balansatori opterećenja.
AWS Firewall Manager pruža upravljane liste aplikacija i protokola kako bi pojednostavio konfiguraciju i upravljanje politikama sigurnosnih grupa. Ove liste vam omogućavaju da definišete protokole i aplikacije koje su dozvoljene ili zabranjene vašim politikama. Postoje dve vrste upravljanih lista:
Upravljane liste Firewall Manager-a: Ove liste uključuju FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed i FMS-Default-Protocols-Allowed. Njima upravlja Firewall Manager i uključuju često korišćene aplikacije i protokole koji bi trebali biti dozvoljeni ili zabranjeni široj javnosti. Nije moguće uređivati ili brisati ove liste, međutim, možete odabrati njihovu verziju.
Prilagođene upravljane liste: Ove liste upravljate sami. Možete kreirati prilagođene liste aplikacija i protokola prilagođene potrebama vaše organizacije. Za razliku od upravljanih lista Firewall Manager-a, ove liste nemaju verzije, ali imate potpunu kontrolu nad prilagođenim listama, što vam omogućava da ih kreirate, uređujete i brišete prema potrebi.
Važno je napomenuti da Firewall Manager politike dozvoljavaju samo "Block" ili "Count" akcije za grupu pravila, bez opcije "Allow".
Sledeći koraci preduslova moraju biti završeni pre nego što nastavite sa konfigurisanjem Firewall Manager-a kako biste efikasno zaštitili resurse vaše organizacije. Ovi koraci pružaju osnovnu postavku potrebnu za Firewall Manager da sprovodi sigurnosne politike i osigura usklađenost širom vašeg AWS okruženja:
Pridružite se i konfigurišite AWS Organizations: Osigurajte da je vaš AWS nalog deo AWS Organizations organizacije u kojoj se planiraju implementirati AWS Firewall Manager politike. Ovo omogućava centralizovano upravljanje resursima i politikama širom više AWS naloga unutar organizacije.
Kreirajte AWS Firewall Manager Default Administrator Account: Uspostavite podrazumevani administratorski nalog posebno za upravljanje Firewall Manager sigurnosnim politikama. Ovaj nalog će biti odgovoran za konfiguraciju i sprovođenje sigurnosnih politika širom organizacije. Samo nalog za upravljanje organizacijom može kreirati podrazumevane administratorske naloge Firewall Manager-a.
Omogućite AWS Config: Aktivirajte AWS Config kako biste obezbedili Firewall Manager-u potrebne podatke o konfiguraciji i uvide potrebne za efikasno sprovođenje sigurnosnih politika. AWS Config pomaže u analizi, reviziji, praćenju i reviziji konfiguracija resursa i promena, olakšavajući bolje upravljanje sigurnošću.
Za politike trećih strana, pretplatite se u AWS Marketplace i konfigurišite postavke trećih strana: Ako planirate da koristite politike vatrozida trećih strana, pretplatite se na njih u AWS Marketplace-u i konfigurišite potrebne postavke. Ovaj korak osigurava da Firewall Manager može integrisati i sprovoditi politike od pouzdanih dobavljača trećih strana.
Za politike mrežnog vatrozida i DNS vatrozida, omogućite deljenje resursa: Omogućite deljenje resursa posebno za politike mrežnog vatrozida i DNS vatrozida. Ovo omogućava Firewall Manager-u da primeni zaštitu vatrozida na VPC-ove vaše organizacije i DNS rezoluciju, poboljšavajući mrežnu sigurnost.
Da biste koristili AWS Firewall Manager u regionima koji su podrazumevano onemogućeni: Ako nameravate da koristite Firewall Manager u AWS regionima koji su podrazumevano onemogućeni, osigurajte da preduzmete potrebne korake da omogućite njegovu funkcionalnost u tim regionima. Ovo osigurava dosledno sprovođenje sigurnosti širom svih regiona u kojima vaša organizacija posluje.
Za više informacija, pogledajte: Getting started with AWS Firewall Manager AWS WAF policies.
AWS Firewall Manager upravlja nekoliko vrsta politika za sprovođenje sigurnosnih kontrola širom različitih aspekata infrastrukture vaše organizacije:
AWS WAF Policy: Ova vrsta politike podržava i AWS WAF i AWS WAF Classic. Možete definisati koji resursi su zaštićeni politikom. Za AWS WAF politike, možete odrediti skupove grupa pravila koje će se izvršavati prve i poslednje u web ACL-u. Pored toga, vlasnici naloga mogu dodavati pravila i grupe pravila koja će se izvršavati između ovih skupova.
Shield Advanced Policy: Ova politika primenjuje Shield Advanced zaštite širom vaše organizacije za određene tipove resursa. Pomaže u zaštiti od DDoS napada i drugih pretnji.
Amazon VPC Security Group Policy: Sa ovom politikom, možete upravljati sigurnosnim grupama koje se koriste širom vaše organizacije, sprovodeći osnovni set pravila širom vašeg AWS okruženja kako biste kontrolisali mrežni pristup.
Amazon VPC Network Access Control List (ACL) Policy: Ova vrsta politike vam daje kontrolu nad mrežnim ACL-ima koji se koriste u vašoj organizaciji, omogućavajući vam da sprovodite osnovni set mrežnih ACL-a širom vašeg AWS okruženja.
Network Firewall Policy: Ova politika primenjuje AWS Network Firewall zaštitu na VPC-ove vaše organizacije, poboljšavajući mrežnu sigurnost filtriranjem saobraćaja na osnovu unapred definisanih pravila.
Amazon Route 53 Resolver DNS Firewall Policy: Ova politika primenjuje DNS Firewall zaštite na VPC-ove vaše organizacije, pomažući u blokiranju pokušaja zlonamerne rezolucije domena i sprovođenju sigurnosnih politika za DNS saobraćaj.
Third-Party Firewall Policy: Ova vrsta politike primenjuje zaštite od vatrozida trećih strana, koje su dostupne putem pretplate kroz AWS Marketplace konzolu. Omogućava vam da integrišete dodatne sigurnosne mere od pouzdanih dobavljača u vaše AWS okruženje.
Palo Alto Networks Cloud NGFW Policy: Ova politika primenjuje zaštite i pravila Palo Alto Networks Cloud Next Generation Firewall (NGFW) na VPC-ove vaše organizacije, pružajući naprednu prevenciju pretnji i kontrole sigurnosti na nivou aplikacija.
Fortigate Cloud Native Firewall (CNF) as a Service Policy: Ova politika primenjuje zaštite Fortigate Cloud Native Firewall (CNF) kao uslugu, nudeći vodeću prevenciju pretnji, vatrozid za web aplikacije (WAF) i zaštitu API-ja prilagođenu za cloud infrastrukture.
AWS Firewall Manager nudi fleksibilnost u upravljanju resursima vatrozida unutar vaše organizacije kroz svoj administrativni opseg i dva tipa administratorskih naloga.
Administrativni opseg definiše resurse kojima administrator Firewall Manager-a može upravljati. Nakon što AWS Organizations nalog za upravljanje uključi organizaciju u Firewall Manager, može kreirati dodatne administratore sa različitim administrativnim opsezima. Ovi opsezi mogu uključivati:
Nalozi ili organizacione jedinice (OU) na koje administrator može primeniti politike.
Regioni u kojima administrator može izvršavati akcije.
Tipovi politika Firewall Manager-a kojima administrator može upravljati.
Administrativni opseg može biti potpun ili ograničen. Potpuni opseg daje administratoru pristup svim navedenim tipovima resursa, regionima i tipovima politika. Nasuprot tome, ograničeni opseg pruža administrativna prava samo na podskup resursa, regiona ili tipova politika. Preporučuje se da se administratorima dodele samo prava koja su im potrebna da efikasno obavljaju svoje uloge. Možete primeniti bilo koju kombinaciju ovih uslova administrativnog opsega na administratora, osiguravajući pridržavanje principa minimalnih privilegija.
Postoje dva različita tipa administratorskih naloga, svaki sa specifičnim ulogama i odgovornostima:
Default Administrator:
Podrazumevani administratorski nalog kreira nalog za upravljanje AWS Organizations organizacije tokom procesa uključivanja u Firewall Manager.
Ovaj nalog ima sposobnost da upravlja vatrozidima trećih strana i poseduje potpuni administrativni opseg.
Služi kao primarni administratorski nalog za Firewall Manager, odgovoran za konfiguraciju i sprovođenje sigurnosnih politika širom organizacije.
Dok podrazumevani administrator ima potpuni pristup svim tipovima resursa i administrativnim funkcionalnostima, deluje na istom nivou kao i drugi administratori ako se više administratora koristi unutar organizacije.
Firewall Manager Administrators:
Ovi administratori mogu upravljati resursima unutar opsega koji je odredio nalog za upravljanje AWS Organizations, kako je definisano konfiguracijom administrativnog opsega.
Administratori Firewall Manager-a se kreiraju kako bi ispunili specifične uloge unutar organizacije, omogućavajući delegaciju odgovornosti uz održavanje sigurnosnih i usklađenosti standarda.
Prilikom kreiranja, Firewall Manager proverava sa AWS Organizations da li je nalog već delegirani administrator. Ako nije, Firewall Manager poziva Organizations da odredi nalog kao delegiranog administratora za Firewall Manager.
Upravljanje ovim administratorskim nalozima uključuje njihovo kreiranje unutar Firewall Manager-a i definisanje njihovih administrativnih opsega u skladu sa sigurnosnim zahtevima organizacije i principom minimalnih privilegija. Dodeljivanjem odgovarajućih administrativnih uloga, organizacije mogu osigurati efikasno upravljanje sigurnošću dok održavaju granularnu kontrolu nad pristupom osetljivim resursima.
Važno je naglasiti da samo jedan nalog unutar organizacije može služiti kao podrazumevani administrator Firewall Manager-a, pridržavajući se principa "prvi unutra, poslednji napolju". Da biste odredili novog podrazumevanog administratora, mora se slediti niz koraka:
Prvo, svaki Firewall Administrator administratorski nalog mora opozvati svoj nalog.
Zatim, postojeći podrazumevani administrator može opozvati svoj nalog, efikasno isključujući organizaciju iz Firewall Manager-a. Ovaj proces rezultira brisanjem svih Firewall Manager politika koje je kreirao opozvani nalog.
Na kraju, nalog za upravljanje AWS Organizations mora odrediti podrazumevanog administratora Firewall Manager-a.
organizations:DescribeOrganization
& (fms:AssociateAdminAccount
, fms:DisassociateAdminAccount
, fms:PutAdminAccount
)Napadač sa fms:AssociateAdminAccount
dozvolom bi mogao da postavi podrazumevani administratorski nalog Firewall Manager-a. Sa fms:PutAdminAccount
dozvolom, napadač bi mogao da kreira ili ažurira administratorski nalog Firewall Manager-a, a sa fms:DisassociateAdminAccount
dozvolom, potencijalni napadač bi mogao da ukloni trenutnu asocijaciju administratorskog naloga Firewall Manager-a.
Uklanjanje asocijacije podrazumevanog administratora Firewall Manager-a prati politiku prvi unutra, poslednji napolje. Svi administratori Firewall Manager-a moraju da se odjave pre nego što podrazumevani administrator Firewall Manager-a može da se odjavi iz naloga.
Da bi se kreirao administrator Firewall Manager-a putem PutAdminAccount, nalog mora pripadati organizaciji koja je prethodno onboardovana na Firewall Manager koristeći AssociateAdminAccount.
Kreiranje administratorskog naloga Firewall Manager-a može se izvršiti samo od strane upravljačkog naloga organizacije.
Potencijalni uticaj: Gubitak centralizovanog upravljanja, izbegavanje politika, kršenje usklađenosti i prekid bezbednosnih kontrola unutar okruženja.
fms:PutPolicy
, fms:DeletePolicy
Napadač sa fms:PutPolicy
, fms:DeletePolicy
dozvolama mogao bi da kreira, menja ili trajno obriše AWS Firewall Manager politiku.
Primer permisivne politike kroz permisivnu sigurnosnu grupu, kako bi se zaobišla detekcija, mogao bi biti sledeći:
Potencijalni uticaj: Demontiranje bezbednosnih kontrola, izbegavanje politika, kršenje usklađenosti, operativne smetnje i potencijalni curenja podataka unutar okruženja.
fms:BatchAssociateResource
, fms:BatchDisassociateResource
, fms:PutResourceSet
, fms:DeleteResourceSet
Napadač sa fms:BatchAssociateResource
i fms:BatchDisassociateResource
dozvolama mogao bi da poveže ili odvoji resurse iz skupa resursa Firewall Manager-a. Pored toga, fms:PutResourceSet
i fms:DeleteResourceSet
dozvole bi omogućile napadaču da kreira, menja ili briše ove skupove resursa iz AWS Firewall Manager-a.
Potencijalni Uticaj: Dodavanje nepotrebne količine stavki u skup resursa povećaće nivo šuma u Servisu, potencijalno uzrokujući DoS. Pored toga, promene u skupovima resursa mogle bi dovesti do prekida resursa, izbegavanja politika, kršenja usklađenosti i prekida bezbednosnih kontrola unutar okruženja.
fms:PutAppsList
, fms:DeleteAppsList
Napadač sa fms:PutAppsList
i fms:DeleteAppsList
dozvolama mogao bi da kreira, menja ili briše liste aplikacija iz AWS Firewall Manager-a. Ovo bi moglo biti kritično, jer bi neovlašćene aplikacije mogle dobiti pristup javnosti, ili bi pristup ovlašćenim aplikacijama mogao biti odbijen, uzrokujući DoS.
Potencijalni uticaj: Ovo bi moglo rezultirati pogrešnim konfiguracijama, izbegavanjem politika, kršenjem usklađenosti i prekidom bezbednosnih kontrola unutar okruženja.
fms:PutProtocolsList
, fms:DeleteProtocolsList
Napadač sa fms:PutProtocolsList
i fms:DeleteProtocolsList
dozvolama mogao bi da kreira, menja ili briše liste protokola iz AWS Firewall Manager-a. Slično kao kod lista aplikacija, ovo bi moglo biti kritično jer bi neovlašćeni protokoli mogli biti korišćeni od strane šire javnosti, ili bi korišćenje ovlašćenih protokola moglo biti onemogućeno, uzrokujući DoS.
Potencijalni uticaj: Ovo može rezultirati pogrešnim konfiguracijama, izbegavanjem politika, kršenjem usklađenosti i prekidom bezbednosnih kontrola unutar okruženja.
fms:PutNotificationChannel
, fms:DeleteNotificationChannel
Napadač sa fms:PutNotificationChannel
i fms:DeleteNotificationChannel
dozvolama bi mogao da obriše i odredi IAM ulogu i Amazon Simple Notification Service (SNS) temu koju Firewall Manager koristi za snimanje SNS logova.
Da biste koristili fms:PutNotificationChannel
van konzole, potrebno je da postavite pristupnu politiku za SNS temu, omogućavajući specificiranoj SnsRoleName da objavljuje SNS logove. Ako je navedena SnsRoleName uloga drugačija od AWSServiceRoleForFMS
, zahteva se uspostavljanje poverenja koje omogućava Firewall Manager servisnom principalu fms.amazonaws.com da preuzme ovu ulogu.
Za informacije o konfigurisanju pristupne politike za SNS:
Potencijalni Uticaj: Ovo bi potencijalno moglo dovesti do propuštenih bezbednosnih upozorenja, kašnjenja u odgovoru na incidente, potencijalnih curenja podataka i operativnih prekida unutar okruženja.
fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
Napadač sa fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
dozvolama mogao bi da poveže ili odvoji treće strane vatrozidove od centralnog upravljanja putem AWS Firewall Manager-a.
Samo podrazumevani administrator može da kreira i upravlja vatrozidovima trećih strana.
Potencijalni Uticaj: Disocijacija bi dovela do izbegavanja politike, kršenja usklađenosti i prekida bezbednosnih kontrola unutar okruženja. Asocijacija, s druge strane, bi dovela do prekida raspodele troškova i budžeta.
fms:TagResource
, fms:UntagResource
Napadač bi mogao da doda, izmeni ili ukloni oznake sa Firewall Manager resursa, ometajući raspodelu troškova vaše organizacije, praćenje resursa i politike kontrole pristupa zasnovane na oznakama.
Potencijalni uticaj: Poremećaj u alokaciji troškova, praćenju resursa i politikama kontrole pristupa zasnovanim na oznakama.
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)