AWS - Firewall Manager Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
AWS Firewall Manager спрощує управління та обслуговування AWS WAF, AWS Shield Advanced, груп безпеки Amazon VPC та списків контролю доступу до мережі (ACL), а також AWS Network Firewall, AWS Route 53 Resolver DNS Firewall та сторонніх брандмауерів через кілька облікових записів та ресурсів. Це дозволяє вам налаштувати правила брандмауера, захист Shield Advanced, групи безпеки VPC та налаштування Network Firewall лише один раз, при цьому сервіс автоматично застосовує ці правила та захисти до ваших облікових записів та ресурсів, включаючи нові.
Сервіс пропонує можливість групувати та захищати конкретні ресурси разом, наприклад, ті, що мають спільну мітку або всі ваші розподіли CloudFront. Значною перевагою Firewall Manager є його здатність автоматично розширювати захист на нові ресурси, додані до вашого облікового запису.
Група правил (збірка правил WAF) може бути включена до політики AWS Firewall Manager, яка потім пов'язується з конкретними ресурсами AWS, такими як розподіли CloudFront або балансувальники навантаження додатків.
AWS Firewall Manager надає керовані списки додатків та протоколів для спрощення налаштування та управління політиками груп безпеки. Ці списки дозволяють вам визначити протоколи та додатки, дозволені або заборонені вашими політиками. Існує два типи керованих списків:
Керовані списки Firewall Manager: Ці списки включають FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed та FMS-Default-Protocols-Allowed. Вони керуються Firewall Manager і включають загальновживані додатки та протоколи, які повинні бути дозволені або заборонені для загального доступу. Немає можливості редагувати або видаляти їх, однак ви можете вибрати їх версію.
Користувацькі керовані списки: Ви керуєте цими списками самостійно. Ви можете створювати користувацькі списки додатків та протоколів, адаптовані до потреб вашої організації. На відміну від керованих списків Firewall Manager, ці списки не мають версій, але ви маєте повний контроль над користувацькими списками, що дозволяє вам створювати, редагувати та видаляти їх за потреби.
Важливо зазначити, що політики Firewall Manager дозволяють лише дії "Блокувати" або "Підрахувати" для групи правил, без опції "Дозволити".
Наступні попередні кроки повинні бути виконані перед тим, як перейти до налаштування Firewall Manager для ефективного захисту ресурсів вашої організації. Ці кроки забезпечують базову налаштування, необхідну для того, щоб Firewall Manager міг застосовувати політики безпеки та забезпечувати відповідність у вашому середовищі AWS:
Приєднайтеся та налаштуйте AWS Organizations: Переконайтеся, що ваш обліковий запис AWS є частиною організації AWS Organizations, де планується впровадження політик AWS Firewall Manager. Це дозволяє централізовано управляти ресурсами та політиками через кілька облікових записів AWS в межах організації.
Створіть обліковий запис адміністратора за замовчуванням AWS Firewall Manager: Встановіть обліковий запис адміністратора за замовчуванням, спеціально для управління політиками безпеки Firewall Manager. Цей обліковий запис буде відповідати за налаштування та застосування політик безпеки в межах організації. Лише обліковий запис управління організації може створювати облікові записи адміністратора за замовчуванням Firewall Manager.
Увімкніть AWS Config: Активуйте AWS Config, щоб надати Firewall Manager необхідні дані конфігурації та інсайти, необхідні для ефективного застосування політик безпеки. AWS Config допомагає аналізувати, перевіряти, моніторити та перевіряти конфігурації ресурсів та зміни, що сприяє кращому управлінню безпекою.
Для політик сторонніх постачальників підпишіться в AWS Marketplace та налаштуйте параметри сторонніх постачальників: Якщо ви плануєте використовувати політики брандмауера сторонніх постачальників, підпишіться на них у AWS Marketplace та налаштуйте необхідні параметри. Цей крок забезпечує інтеграцію та застосування політик від надійних сторонніх постачальників.
Для політик Network Firewall та DNS Firewall увімкніть спільний доступ до ресурсів: Увімкніть спільний доступ до ресурсів спеціально для політик Network Firewall та DNS Firewall. Це дозволяє Firewall Manager застосовувати захист брандмауера до VPC вашої організації та DNS-резолюції, підвищуючи безпеку мережі.
Щоб використовувати AWS Firewall Manager у регіонах, які за замовчуванням вимкнені: Якщо ви плануєте використовувати Firewall Manager у регіонах AWS, які за замовчуванням вимкнені, переконайтеся, що ви вжили необхідних заходів для активації його функціональності в цих регіонах. Це забезпечує послідовне застосування безпеки в усіх регіонах, де працює ваша організація.
Для отримання додаткової інформації перегляньте: Getting started with AWS Firewall Manager AWS WAF policies.
AWS Firewall Manager управляє кількома типами політик для забезпечення контролю безпеки в різних аспектах інфраструктури вашої організації:
Політика AWS WAF: Цей тип політики підтримує як AWS WAF, так і AWS WAF Classic. Ви можете визначити, які ресурси захищені політикою. Для політик AWS WAF ви можете вказати набори груп правил, які виконуються першими та останніми в веб ACL. Крім того, власники облікових записів можуть додавати правила та групи правил для виконання між цими наборами.
Політика Shield Advanced: Ця політика застосовує захист Shield Advanced по всій вашій організації для вказаних типів ресурсів. Вона допомагає захистити від DDoS-атак та інших загроз.
Політика групи безпеки Amazon VPC: З цією політикою ви можете управляти групами безпеки, що використовуються в усій вашій організації, застосовуючи базовий набір правил у вашому середовищі AWS для контролю доступу до мережі.
Політика списку контролю доступу до мережі (ACL) Amazon VPC: Цей тип політики надає вам контроль над мережевими ACL, що використовуються у вашій організації, дозволяючи вам застосовувати базовий набір мережевих ACL у вашому середовищі AWS.
Політика Network Firewall: Ця політика застосовує захист AWS Network Firewall до VPC вашої організації, підвищуючи безпеку мережі шляхом фільтрації трафіку на основі попередньо визначених правил.
Політика DNS Firewall Amazon Route 53 Resolver: Ця політика застосовує захист DNS Firewall до VPC вашої організації, допомагаючи блокувати спроби шкідливої резолюції доменів та забезпечувати політики безпеки для DNS-трафіку.
Політика брандмауера сторонніх постачальників: Цей тип політики застосовує захист від брандмауерів сторонніх постачальників, які доступні за підпискою через консоль AWS Marketplace. Це дозволяє інтегрувати додаткові заходи безпеки від надійних постачальників у ваше середовище AWS.
Політика Palo Alto Networks Cloud NGFW: Ця політика застосовує захист Palo Alto Networks Cloud Next Generation Firewall (NGFW) та набори правил до VPC вашої організації, забезпечуючи просунуте запобігання загрозам та контроль безпеки на рівні додатків.
Політика Fortigate Cloud Native Firewall (CNF) as a Service: Ця політика застосовує захист Fortigate Cloud Native Firewall (CNF) as a Service, пропонуючи провідне в галузі запобігання загрозам, брандмауер веб-додатків (WAF) та захист API, адаптований для хмарних інфраструктур.
AWS Firewall Manager пропонує гнучкість в управлінні ресурсами брандмауера в межах вашої організації через свій адміністративний обсяг та два типи облікових записів адміністратора.
Адміністративний обсяг визначає ресурси, якими може управляти адміністратор Firewall Manager. Після того, як обліковий запис управління AWS Organizations приєднує організацію до Firewall Manager, він може створювати додаткових адміністраторів з різними адміністративними обсягами. Ці обсяги можуть включати:
Облікові записи або організаційні одиниці (OU), до яких адміністратор може застосовувати політики.
Регіони, в яких адміністратор може виконувати дії.
Типи політик Firewall Manager, якими адміністратор може управляти.
Адміністративний обсяг може бути повним або обмеженим. Повний обсяг надає адміністратору доступ до усіх вказаних типів ресурсів, регіонів та типів політик. Натомість обмежений обсяг надає адміністративні права лише на підмножину ресурсів, регіонів або типів політик. Рекомендується надавати адміністраторам лише ті дозволи, які їм потрібні для ефективного виконання своїх обов'язків. Ви можете застосувати будь-яку комбінацію цих умов адміністративного обсягу до адміністратора, забезпечуючи дотримання принципу найменшого привілею.
Існує два різних типи облікових записів адміністратора, кожен з яких виконує специфічні ролі та обов'язки:
Адміністратор за замовчуванням:
Обліковий запис адміністратора за замовчуванням створюється обліковим записом управління організації AWS Organizations під час процесу приєднання до Firewall Manager.
Цей обліковий запис має можливість управляти брандмауерами сторонніх постачальників і має повний адміністративний обсяг.
Він слугує основним обліковим записом адміністратора для Firewall Manager, відповідальним за налаштування та застосування політик безпеки в межах організації.
Хоча адміністратор за замовчуванням має повний доступ до всіх типів ресурсів та адміністративних функцій, він працює на тому ж рівні, що й інші адміністратори, якщо в організації використовується кілька адміністраторів.
Адміністратори Firewall Manager:
Ці адміністратори можуть управляти ресурсами в межах обсягу, визначеного обліковим записом управління AWS Organizations, як визначено конфігурацією адміністративного обсягу.
Адміністратори Firewall Manager створюються для виконання специфічних ролей в організації, що дозволяє делегувати обов'язки, зберігаючи при цьому стандарти безпеки та відповідності.
Після створення Firewall Manager перевіряє з AWS Organizations, щоб визначити, чи є обліковий запис вже делегованим адміністратором. Якщо ні, Firewall Manager викликає Organizations, щоб призначити обліковий запис делегованим адміністратором для Firewall Manager.
Управління цими обліковими записами адміністратора включає їх створення в Firewall Manager та визначення їх адміністративних обсягів відповідно до вимог безпеки організації та принципу найменшого привілею. Призначаючи відповідні адміністративні ролі, організації можуть забезпечити ефективне управління безпекою, зберігаючи при цьому детальний контроль над доступом до чутливих ресурсів.
Важливо підкреслити, що лише один обліковий запис в організації може виконувати роль адміністратора за замовчуванням Firewall Manager, дотримуючись принципу "перший прийшов, останній вийшов". Щоб призначити нового адміністратора за замовчуванням, необхідно виконати ряд кроків:
Спочатку кожен обліковий запис адміністратора Firewall Manager повинен відкликати свій власний обліковий запис.
Потім існуючий адміністратор за замовчуванням може відкликати свій власний обліковий запис, ефективно виводячи організацію з Firewall Manager. Цей процес призводить до видалення всіх політик Firewall Manager, створених відкликаним обліковим записом.
На завершення обліковий запис управління AWS Organizations повинен призначити адміністратора за замовчуванням Firewall Manager.
organizations:DescribeOrganization
& (fms:AssociateAdminAccount
, fms:DisassociateAdminAccount
, fms:PutAdminAccount
)Зловмисник з дозволом fms:AssociateAdminAccount
зможе встановити обліковий запис адміністратора за замовчуванням для Firewall Manager. З дозволом fms:PutAdminAccount
зловмисник зможе створити або оновити обліковий запис адміністратора Firewall Manager, а з дозволом fms:DisassociateAdminAccount
потенційний зловмисник зможе видалити асоціацію поточного облікового запису адміністратора Firewall Manager.
Від'єднання облікового запису адміністратора за замовчуванням Firewall Manager відбувається за принципом перший прийшов - останній вийшов. Усі адміністратори Firewall Manager повинні від'єднатися, перш ніж обліковий запис адміністратора за замовчуванням Firewall Manager зможе від'єднати обліковий запис.
Щоб створити адміністратора Firewall Manager за допомогою PutAdminAccount, обліковий запис повинен належати організації, яка раніше була підключена до Firewall Manager за допомогою AssociateAdminAccount.
Створення облікового запису адміністратора Firewall Manager може бути виконано лише обліковим записом управління організації.
Потенційний вплив: Втрата централізованого управління, ухилення від політики, порушення відповідності та порушення контролю безпеки в середовищі.
fms:PutPolicy
, fms:DeletePolicy
Зловмисник з правами fms:PutPolicy
, fms:DeletePolicy
зможе створювати, змінювати або назавжди видаляти політику AWS Firewall Manager.
Приклад поблажливої політики через поблажливу групу безпеки, щоб обійти виявлення, може бути таким:
Потенційний вплив: Демонтаж засобів безпеки, ухилення від політики, порушення відповідності, оперативні збої та потенційні витоки даних у середовищі.
fms:BatchAssociateResource
, fms:BatchDisassociateResource
, fms:PutResourceSet
, fms:DeleteResourceSet
Зловмисник з правами fms:BatchAssociateResource
та fms:BatchDisassociateResource
зможе асоціювати або від'єднувати ресурси від набору ресурсів Firewall Manager відповідно. Крім того, права fms:PutResourceSet
та fms:DeleteResourceSet
дозволять зловмиснику створювати, змінювати або видаляти ці набори ресурсів з AWS Firewall Manager.
Потенційний вплив: Додавання надмірної кількості елементів до набору ресурсів збільшить рівень шуму в Сервісі, що потенційно може викликати DoS. Крім того, зміни наборів ресурсів можуть призвести до порушення ресурсів, ухилення від політики, порушення вимог та порушення контролю безпеки в середовищі.
fms:PutAppsList
, fms:DeleteAppsList
Зловмисник з правами fms:PutAppsList
та fms:DeleteAppsList
зможе створювати, змінювати або видаляти списки додатків з AWS Firewall Manager. Це може бути критично, оскільки несанкціонованим додаткам може бути дозволено доступ до загальної публіки, або доступ до авторизованих додатків може бути відмовлено, що викликає DoS.
Потенційний вплив: Це може призвести до неправильних налаштувань, ухилення від політики, порушень відповідності та порушення контролю безпеки в середовищі.
fms:PutProtocolsList
, fms:DeleteProtocolsList
Зловмисник з правами fms:PutProtocolsList
та fms:DeleteProtocolsList
зможе створювати, змінювати або видаляти списки протоколів з AWS Firewall Manager. Аналогічно до списків додатків, це може бути критично важливо, оскільки несанкціоновані протоколи можуть бути використані загальною публікою, або використання санкціонованих протоколів може бути заборонено, що призведе до DoS.
Потенційний вплив: Це може призвести до неправильних налаштувань, ухилення від політики, порушень відповідності та порушення контролю безпеки в середовищі.
fms:PutNotificationChannel
, fms:DeleteNotificationChannel
Зловмисник з правами fms:PutNotificationChannel
та fms:DeleteNotificationChannel
зможе видаляти та призначати роль IAM і тему Amazon Simple Notification Service (SNS), яку Firewall Manager використовує для запису журналів SNS.
Щоб використовувати fms:PutNotificationChannel
поза консоллю, потрібно налаштувати політику доступу до теми SNS, дозволяючи вказаному SnsRoleName публікувати журнали SNS. Якщо наданий SnsRoleName є роллю, відмінною від AWSServiceRoleForFMS
, це вимагає налаштування довірчих відносин, щоб дозволити основному сервісу Firewall Manager fms.amazonaws.com приймати цю роль.
Для отримання інформації про налаштування політики доступу до SNS:
https://github.com/HackTricks-wiki/hacktricks-cloud/blob/ua/pentesting-cloud/aws-security/aws-services/aws-services/aws-sns-enum.mdПотенційний вплив: Це може призвести до пропущених сповіщень про безпеку, затримки у реагуванні на інциденти, потенційних витоків даних та оперативних збоїв у середовищі.
fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
Зловмисник з правами fms:AssociateThirdPartyFirewall
, fms:DisssociateThirdPartyFirewall
зможе асоціювати або дезасоціювати сторонні брандмауери для централізованого управління через AWS Firewall Manager.
Тільки за замовчуванням адміністратор може створювати та керувати сторонніми брандмауерами.
Потенційний вплив: Від'єднання призведе до ухилення від політики, порушення вимог та порушення контролю безпеки в середовищі. З іншого боку, асоціація призведе до порушення розподілу витрат та бюджету.
fms:TagResource
, fms:UntagResource
Зловмисник зможе додавати, змінювати або видаляти теги з ресурсів Firewall Manager, порушуючи розподіл витрат вашої організації, відстеження ресурсів та політики контролю доступу на основі тегів.
Потенційний вплив: Порушення розподілу витрат, відстеження ресурсів та політик контролю доступу на основі тегів.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)