AWS - Firewall Manager Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
AWS Firewall Manager inarahisisha usimamizi na matengenezo ya AWS WAF, AWS Shield Advanced, vikundi vya usalama vya Amazon VPC na Orodha za Udhibiti wa Upatikanaji wa Mtandao (ACLs), na AWS Network Firewall, AWS Route 53 Resolver DNS Firewall na firewalls za wahusika wengine katika akaunti na rasilimali nyingi. Inakuruhusu kuunda sheria za firewall, ulinzi wa Shield Advanced, vikundi vya usalama vya VPC, na mipangilio ya Network Firewall mara moja, huku huduma hiyo ikiweka sheria na ulinzi hizi kiotomatiki katika akaunti na rasilimali zako, ikiwa ni pamoja na zile zilizoongezwa hivi karibuni.
Huduma hii inatoa uwezo wa kundi na kulinda rasilimali maalum pamoja, kama zile zinazoshiriki lebo ya kawaida au usambazaji wako wote wa CloudFront. Faida kubwa ya Firewall Manager ni uwezo wake wa kupanua ulinzi kiotomatiki kwa rasilimali zilizoongezwa hivi karibuni katika akaunti yako.
Kikundi cha sheria (mkusanyiko wa sheria za WAF) kinaweza kuunganishwa katika Sera ya AWS Firewall Manager, ambayo kisha inahusishwa na rasilimali maalum za AWS kama vile usambazaji wa CloudFront au balancer za mzigo wa programu.
AWS Firewall Manager inatoa orodha za programu na protokali zinazodhibitiwa ili kurahisisha usanidi na usimamizi wa sera za vikundi vya usalama. Orodha hizi zinakuruhusu kufafanua protokali na programu zinazoruhusiwa au kukataliwa na sera zako. Kuna aina mbili za orodha zinazodhibitiwa:
Orodha zinazodhibitiwa na Firewall Manager: Orodha hizi zinajumuisha FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed na FMS-Default-Protocols-Allowed. Zinadhibitiwa na Firewall Manager na zinajumuisha programu na protokali zinazotumika mara kwa mara ambazo zinapaswa kuruhusiwa au kukataliwa kwa umma. Haiwezekani kuhariri au kufuta, hata hivyo, unaweza kuchagua toleo lake.
Orodha za kawaida zinazodhibitiwa: Unazisimamia orodha hizi mwenyewe. Unaweza kuunda orodha za programu na protokali za kawaida zinazofaa mahitaji ya shirika lako. Tofauti na orodha zinazodhibitiwa na Firewall Manager, orodha hizi hazina matoleo, lakini una udhibiti kamili juu ya orodha za kawaida, na kukuruhusu kuunda, kuhariri, na kufuta kadri inavyohitajika.
Ni muhimu kutambua kwamba sera za Firewall Manager zinaruhusu tu vitendo vya "Block" au "Count" kwa kikundi cha sheria, bila chaguo la "Allow".
Hatua zifuatazo za awali lazima zikamilishwe kabla ya kuendelea kuunda Firewall Manager ili kuanza kulinda rasilimali za shirika lako kwa ufanisi. Hatua hizi zinatoa usanidi wa msingi unaohitajika kwa Firewall Manager kutekeleza sera za usalama na kuhakikisha kufuata sheria katika mazingira yako ya AWS:
Jiunge na usanidi AWS Organizations: Hakikisha akaunti yako ya AWS ni sehemu ya shirika la AWS Organizations ambapo sera za AWS Firewall Manager zinapangwa kutekelezwa. Hii inaruhusu usimamizi wa rasilimali na sera kwa njia ya kati katika akaunti nyingi za AWS ndani ya shirika.
Unda Akaunti ya Msimamizi wa AWS Firewall Manager Default: Kuanzisha akaunti ya msimamizi wa default mahsusi kwa usimamizi wa sera za usalama za Firewall Manager. Akaunti hii itakuwa na jukumu la kuunda na kutekeleza sera za usalama katika shirika. Ni akaunti ya usimamizi ya shirika pekee inayoweza kuunda akaunti za msimamizi wa default za Firewall Manager.
Washa AWS Config: Washa AWS Config ili kutoa Firewall Manager na data na maarifa muhimu yanayohitajika kutekeleza sera za usalama kwa ufanisi. AWS Config husaidia kuchambua, kukagua, kufuatilia na kukagua usanidi wa rasilimali na mabadiliko, kurahisisha usimamizi bora wa usalama.
Kwa Sera za Wahusika Wengine, Jiandikishe katika AWS Marketplace na Usanidi Mipangilio ya Wahusika Wengine: Ikiwa unatarajia kutumia sera za firewall za wahusika wengine, jiandikishe kwao katika AWS Marketplace na usanidi mipangilio inayohitajika. Hatua hii inahakikisha kwamba Firewall Manager inaweza kuunganisha na kutekeleza sera kutoka kwa wauzaji wa wahusika wengine wanaoaminika.
Kwa Sera za Network Firewall na DNS Firewall, wezesha ushirikiano wa rasilimali: Wezesha ushirikiano wa rasilimali mahsusi kwa sera za Network Firewall na DNS Firewall. Hii inaruhusu Firewall Manager kutekeleza ulinzi wa firewall kwa VPC za shirika lako na ufumbuzi wa DNS, kuimarisha usalama wa mtandao.
Ili kutumia AWS Firewall Manager katika Mikoa ambayo zimezimwa kwa chaguo-msingi: Ikiwa unakusudia kutumia Firewall Manager katika mikoa ya AWS ambazo zimezimwa kwa chaguo-msingi, hakikisha unachukua hatua zinazohitajika ili kuwezesha kazi yake katika mikoa hiyo. Hii inahakikisha utekelezaji wa usalama unaoendelea katika mikoa yote ambapo shirika lako linafanya kazi.
Kwa maelezo zaidi, angalia: Getting started with AWS Firewall Manager AWS WAF policies.
AWS Firewall Manager inasimamia aina kadhaa za sera ili kutekeleza udhibiti wa usalama katika nyanja tofauti za miundombinu ya shirika lako:
AWS WAF Policy: Aina hii ya sera inasaidia AWS WAF na AWS WAF Classic. Unaweza kufafanua ni rasilimali zipi zinazolindwa na sera hiyo. Kwa sera za AWS WAF, unaweza kufafanua seti za vikundi vya sheria ambazo zitakimbia kwanza na mwisho katika web ACL. Aidha, wamiliki wa akaunti wanaweza kuongeza sheria na vikundi vya sheria kukimbia kati ya seti hizi.
Shield Advanced Policy: Sera hii inatumika kwa ulinzi wa Shield Advanced katika shirika lako kwa aina maalum za rasilimali. Inasaidia kulinda dhidi ya mashambulizi ya DDoS na vitisho vingine.
Amazon VPC Security Group Policy: Kwa sera hii, unaweza kusimamia vikundi vya usalama vinavyotumika katika shirika lako, ukitekeleza seti ya msingi ya sheria katika mazingira yako ya AWS ili kudhibiti upatikanaji wa mtandao.
Amazon VPC Network Access Control List (ACL) Policy: Aina hii ya sera inakupa udhibiti juu ya ACLs za mtandao zinazotumika katika shirika lako, ikiruhusu kutekeleza seti ya msingi ya ACLs za mtandao katika mazingira yako ya AWS.
Network Firewall Policy: Sera hii inatumika kwa ulinzi wa AWS Network Firewall kwa VPC za shirika lako, ikiongeza usalama wa mtandao kwa kuchuja trafiki kulingana na sheria zilizowekwa.
Amazon Route 53 Resolver DNS Firewall Policy: Sera hii inatumika kwa ulinzi wa DNS Firewall kwa VPC za shirika lako, ikisaidia kuzuia majaribio ya kutatua majina mabaya na kutekeleza sera za usalama kwa trafiki ya DNS.
Third-Party Firewall Policy: Aina hii ya sera inatumika kwa ulinzi kutoka kwa firewalls za wahusika wengine, ambazo zinapatikana kwa usajili kupitia konsoli ya AWS Marketplace. Inakuruhusu kuunganisha hatua za ziada za usalama kutoka kwa wauzaji wanaoaminika katika mazingira yako ya AWS.
Palo Alto Networks Cloud NGFW Policy: Sera hii inatumika kwa ulinzi wa Palo Alto Networks Cloud Next Generation Firewall (NGFW) na seti za sheria kwa VPC za shirika lako, ikitoa kinga ya juu dhidi ya vitisho na udhibiti wa usalama wa kiwango cha programu.
Fortigate Cloud Native Firewall (CNF) as a Service Policy: Sera hii inatumika kwa ulinzi wa Fortigate Cloud Native Firewall (CNF) kama Huduma, ikitoa kinga ya kiwango cha juu dhidi ya vitisho, firewall ya programu ya wavuti (WAF), na ulinzi wa API unaofaa kwa miundombinu ya wingu.
AWS Firewall Manager inatoa kubadilika katika usimamizi wa rasilimali za firewall ndani ya shirika lako kupitia upeo wake wa usimamizi na aina mbili za akaunti za wasimamizi.
Upeo wa usimamizi unafafanua rasilimali ambazo msimamizi wa Firewall Manager anaweza kusimamia. Baada ya akaunti ya usimamizi ya AWS Organizations kuanzisha shirika kwa Firewall Manager, inaweza kuunda wasimamizi wengine wenye upeo tofauti wa usimamizi. Upeo huu unaweza kujumuisha:
Akaunti au vitengo vya shirika (OUs) ambavyo msimamizi anaweza kutekeleza sera.
Mikoa ambapo msimamizi anaweza kufanya vitendo.
Aina za sera za Firewall Manager ambazo msimamizi anaweza kusimamia.
Upeo wa usimamizi unaweza kuwa kamili au mdogo. Upeo kamili unampa msimamizi ufikiaji wa aina zote za rasilimali zilizotajwa, mikoa, na aina za sera. Kinyume chake, upeo mdogo unatoa ruhusa ya usimamizi kwa sehemu tu ya rasilimali, mikoa, au aina za sera. Ni vyema kuwapa wasimamizi ruhusa tu wanazohitaji ili kutimiza majukumu yao kwa ufanisi. Unaweza kutumia mchanganyiko wowote wa masharti haya ya upeo wa usimamizi kwa msimamizi, kuhakikisha kufuata kanuni ya ruhusa ndogo.
Kuna aina mbili tofauti za akaunti za wasimamizi, kila moja ikihudumia majukumu na wajibu maalum:
Msimamizi wa Default:
Akaunti ya msimamizi wa default inaundwa na akaunti ya usimamizi ya shirika la AWS Organizations wakati wa mchakato wa kuanzisha Firewall Manager.
Akaunti hii ina uwezo wa kusimamia firewalls za wahusika wengine na ina upeo kamili wa usimamizi.
Inatumika kama akaunti kuu ya msimamizi wa Firewall Manager, yenye jukumu la kuunda na kutekeleza sera za usalama katika shirika.
Ingawa msimamizi wa default ana ufikiaji kamili wa aina zote za rasilimali na kazi za usimamizi, inafanya kazi kwa kiwango sawa na wasimamizi wengine ikiwa wasimamizi wengi wanatumika ndani ya shirika.
Wasimamizi wa Firewall Manager:
Wasimamizi hawa wanaweza kusimamia rasilimali ndani ya upeo ulioainishwa na akaunti ya usimamizi ya AWS Organizations, kama ilivyoainishwa na usanidi wa upeo wa usimamizi.
Wasimamizi wa Firewall Manager wanaanzishwa ili kutimiza majukumu maalum ndani ya shirika, wakiruhusu ugawaji wa majukumu huku wakihifadhi viwango vya usalama na kufuata sheria.
Mara baada ya kuanzishwa, Firewall Manager inakagua na AWS Organizations ili kubaini ikiwa akaunti tayari ni msimamizi aliyepewa. Ikiwa sivyo, Firewall Manager inaita Organizations ili kuainisha akaunti hiyo kama msimamizi aliyepewa kwa Firewall Manager.
Kusimamia akaunti hizi za wasimamizi kunahusisha kuziunda ndani ya Firewall Manager na kufafanua upeo wao wa usimamizi kulingana na mahitaji ya usalama ya shirika na kanuni ya ruhusa ndogo. Kwa kupewa majukumu sahihi ya usimamizi, mashirika yanaweza kuhakikisha usimamizi wa usalama wenye ufanisi huku wakihifadhi udhibiti wa kina juu ya ufikiaji wa rasilimali nyeti.
Ni muhimu kusisitiza kwamba ni akaunti moja tu ndani ya shirika inayoweza kutumikia kama msimamizi wa default wa Firewall Manager, ikifuata kanuni ya "wa kwanza kuingia, wa mwisho kutoka". Ili kuainisha msimamizi mpya wa default, mfululizo wa hatua lazima uzingatiwe:
Kwanza, kila akaunti ya msimamizi wa Firewall Administrator lazima ifute akaunti yao wenyewe.
Kisha, msimamizi wa default aliyepo anaweza kufuta akaunti yao wenyewe, kwa ufanisi kuondoa shirika kutoka kwa Firewall Manager. Mchakato huu unapelekea kufutwa kwa sera zote za Firewall Manager zilizoundwa na akaunti iliyofutwa.
Ili kumaliza, akaunti ya usimamizi ya AWS Organizations lazima iainishe msimamizi wa default wa Firewall Manager.
organizations:DescribeOrganization
& (fms:AssociateAdminAccount
, fms:DisassociateAdminAccount
, fms:PutAdminAccount
)Mshambuliaji mwenye ruhusa ya fms:AssociateAdminAccount
angeweza kuweka akaunti ya msimamizi wa Firewall Manager ya default. Kwa ruhusa ya fms:PutAdminAccount
, mshambuliaji angeweza kuunda au kusasisha akaunti ya msimamizi wa Firewall Manager na kwa ruhusa ya fms:DisassociateAdminAccount
, mshambuliaji mwenye uwezo anaweza kuondoa ushirikiano wa akaunti ya sasa ya msimamizi wa Firewall Manager.
Kuondolewa kwa ushirikiano wa msimamizi wa Firewall Manager wa default kunafuata sera ya kwanza ndani, ya mwisho nje. Wote wa wasimamizi wa Firewall Manager lazima waondoe ushirikiano kabla ya msimamizi wa Firewall Manager wa default kuondoa akaunti.
Ili kuunda msimamizi wa Firewall Manager kwa PutAdminAccount, akaunti lazima iwe ya shirika ambalo lilikuwa limeingizwa awali kwenye Firewall Manager kwa kutumia AssociateAdminAccount.
Uundaji wa akaunti ya msimamizi wa Firewall Manager unaweza kufanywa tu na akaunti ya usimamizi wa shirika.
Madhara Yanayoweza Kutokea: Kupoteza usimamizi wa kati, kukwepa sera, ukiukaji wa kufuata sheria, na kuingiliwa kwa udhibiti wa usalama ndani ya mazingira.
fms:PutPolicy
, fms:DeletePolicy
Mshambuliaji mwenye ruhusa za fms:PutPolicy
, fms:DeletePolicy
angeweza kuunda, kubadilisha au kufuta kabisa sera ya AWS Firewall Manager.
Mfano wa sera ya ruhusa kupitia kundi la usalama la ruhusa, ili kupita kwenye ugunduzi, unaweza kuwa kama ifuatavyo:
Madhara Yanayoweza Kutokea: Kuondolewa kwa udhibiti wa usalama, kukwepa sera, ukiukaji wa uzingativu, usumbufu wa operesheni, na uvunjaji wa data unaoweza kutokea ndani ya mazingira.
fms:BatchAssociateResource
, fms:BatchDisassociateResource
, fms:PutResourceSet
, fms:DeleteResourceSet
Mshambuliaji mwenye ruhusa za fms:BatchAssociateResource
na fms:BatchDisassociateResource
angeweza kuunganisha au kuondoa rasilimali kutoka kwa seti ya rasilimali ya Firewall Manager mtawalia. Aidha, ruhusa za fms:PutResourceSet
na fms:DeleteResourceSet
zingemwezesha mshambuliaji kuunda, kubadilisha au kufuta seti hizi za rasilimali kutoka AWS Firewall Manager.
Madhara Yanayoweza Kutokea: Kuongeza idadi isiyo ya lazima ya vitu kwenye seti ya rasilimali kutainua kiwango cha kelele katika Huduma na huenda kukasababisha DoS. Aidha, mabadiliko ya seti za rasilimali yanaweza kusababisha usumbufu wa rasilimali, kukwepa sera, ukiukaji wa uzingatifu, na usumbufu wa udhibiti wa usalama ndani ya mazingira.
fms:PutAppsList
, fms:DeleteAppsList
Mshambuliaji mwenye ruhusa za fms:PutAppsList
na fms:DeleteAppsList
angeweza kuunda, kubadilisha au kufuta orodha za programu kutoka AWS Firewall Manager. Hii inaweza kuwa muhimu, kwani programu zisizoidhinishwa zinaweza kuruhusiwa kuingia kwa umma kwa ujumla, au ufikiaji wa programu zilizoidhinishwa unaweza kukataliwa, na kusababisha DoS.
Madhara Yanayoweza Kutokea: Hii inaweza kusababisha mipangilio isiyo sahihi, kukwepa sera, ukiukaji wa taratibu, na kuingiliwa kwa udhibiti wa usalama ndani ya mazingira.
fms:PutProtocolsList
, fms:DeleteProtocolsList
Mshambuliaji mwenye ruhusa za fms:PutProtocolsList
na fms:DeleteProtocolsList
angeweza kuunda, kubadilisha au kufuta orodha za protokali kutoka AWS Firewall Manager. Vivyo hivyo na orodha za maombi, hii inaweza kuwa muhimu kwani protokali zisizoidhinishwa zinaweza kutumika na umma kwa ujumla, au matumizi ya protokali zilizoidhinishwa yanaweza kukataliwa, na kusababisha DoS.
Madhara Yanayoweza Kutokea: Hii inaweza kusababisha mipangilio isiyo sahihi, kukwepa sera, ukiukaji wa uzingatiaji, na kuingiliwa kwa udhibiti wa usalama ndani ya mazingira.
fms:PutNotificationChannel
, fms:DeleteNotificationChannel
Mshambuliaji mwenye ruhusa za fms:PutNotificationChannel
na fms:DeleteNotificationChannel
angeweza kufuta na kuamua jukumu la IAM na mada ya Amazon Simple Notification Service (SNS) ambayo Firewall Manager inatumia kurekodi kumbukumbu za SNS.
Ili kutumia fms:PutNotificationChannel
nje ya console, unahitaji kuweka sera ya ufikiaji ya mada ya SNS, ikiruhusu SnsRoleName iliyotolewa kuchapisha kumbukumbu za SNS. Ikiwa SnsRoleName iliyotolewa ni jukumu tofauti na AWSServiceRoleForFMS
, inahitaji uhusiano wa kuaminiana uliowekwa ili kuruhusu huduma ya Firewall Manager fms.amazonaws.com kuchukua jukumu hili.
Kwa maelezo kuhusu kuweka sera ya ufikiaji ya SNS:
https://github.com/HackTricks-wiki/hacktricks-cloud/blob/sw/pentesting-cloud/aws-security/aws-services/aws-services/aws-sns-enum.mdMadhara Yanayoweza Kutokea: Hii inaweza kusababisha kukosa tahadhari za usalama, kuchelewesha majibu ya matukio, uvunjaji wa data unaoweza kutokea na usumbufu wa operesheni ndani ya mazingira.
fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
Mshambuliaji mwenye ruhusa za fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
angeweza kuunganisha au kuondoa moto wa tatu kutoka kwa usimamizi wa kati kupitia AWS Firewall Manager.
Msimamizi wa kawaida tu ndiye anaweza kuunda na kusimamia moto wa tatu.
Madhara Yanayoweza Kutokea: Kutenganishwa kutasababisha kukwepa sera, ukiukaji wa uzingativu, na kuvurugika kwa udhibiti wa usalama ndani ya mazingira. Kuunganishwa kwa upande mwingine kutasababisha kuvurugika kwa mgawanyo wa gharama na bajeti.
fms:TagResource
, fms:UntagResource
Mshambuliaji angeweza kuongeza, kubadilisha, au kuondoa lebo kutoka kwa rasilimali za Firewall Manager, akivuruga mgawanyo wa gharama wa shirika lako, ufuatiliaji wa rasilimali, na sera za udhibiti wa ufikiaji kulingana na lebo.
Madhara Yanayoweza Kutokea: Kuingiliwa kwa ugawaji wa gharama, ufuatiliaji wa rasilimali, na sera za udhibiti wa ufikiaji kulingana na lebo.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)