AWS - EC2, EBS, ELB, SSM, VPC & VPN Enum
VPC & Mtandao
Jifunze ni nini VPC na kuhusu vipengele vyake katika:
pageAWS - VPC & Networking Basic InformationEC2
Amazon EC2 hutumiwa kuanzisha seva za kisasa. Inaruhusu usanidi wa usalama na mtandao na usimamizi wa uhifadhi. Upana wa Amazon EC2 unaonekana katika uwezo wake wa kupanua rasilimali juu na chini, kuzoea kwa ufanisi mabadiliko ya mahitaji au kuongezeka kwa umaarufu. Kipengele hiki hupunguza hitaji la utabiri sahihi wa trafiki.
Vitu vya kuvutia vya kuhesabu katika EC2:
Mashine za Kisasa
SSH Keys
Data ya Mtumiaji
EC2s/AMIs/Snapshots Zilizopo
Mtandao
Mitandao
Mitandao ya Pembezoni
Anwani za IP za Umma
Milango iliyofunguliwa
Mawasiliano yaliyounganishwa na mitandao mingine nje ya AWS
Profaili za Kifaa
Kutumia majukumu kutoa ruhusa kwa programu zinazoendesha kwenye vifaa vya EC2 inahitaji hatua kidogo ya ziada ya usanidi. Programu inayoendesha kwenye kifaa cha EC2 imefichuliwa kutoka AWS na mfumo wa uendeshaji uliofanyiwa upya. Kwa sababu ya utengano huu wa ziada, unahitaji hatua ya ziada ya kumtambulisha jukumu la AWS na ruhusa zake zinazohusiana kwa kifaa cha EC2 na kuzifanya zipatikane kwa programu zake.
Hatua hii ya ziada ni ujenzi wa profil ya kifaa iliyowekwa kwenye kifaa. Profaili ya kifaa ina jukumu na inaweza kutoa vibali vya muda vya jukumu kwa programu inayoendesha kwenye kifaa. Vibali vya muda hivyo basi vinaweza kutumika katika wito wa API wa programu kufikia rasilimali na kuzuia upatikanaji wa rasilimali hizo tu ambazo jukumu linabainisha. Tafadhali kumbuka kwamba jukumu moja tu linaweza kumtambulishwa kwa kifaa cha EC2 kwa wakati mmoja, na programu zote kwenye kifaa hushiriki jukumu na ruhusa sawa.
Mwisho wa Metadata
Metadata ya AWS EC2 ni habari kuhusu kifaa cha Amazon Elastic Compute Cloud (EC2) inayopatikana kwa kifaa wakati wa muda wa uendeshaji. Metadata hii hutumiwa kutoa habari kuhusu kifaa, kama vile kitambulisho cha kifaa, eneo la upatikanaji linapofanya kazi, jukumu la IAM linalohusishwa na kifaa, na jina la kifaa.
Uhesabuaji
Upatikanaji usiothibitishwa
pageAWS - EC2 Unauthenticated EnumPrivesc
Kwenye ukurasa ufuatao unaweza kuangalia jinsi ya kutumia ruhusa za EC2 kuboresha mamlaka:
pageAWS - EC2 PrivescBaada ya Uvamizi
pageAWS - EC2, EBS, SSM & VPC Post ExploitationEBS
Amazon EBS (Elastic Block Store) snapshots ni msingi wa nakala rudufu za kiasi cha AWS EBS. Kwa maneno mengine, ni nakala za diski zilizounganishwa na Kifaa cha EC2 kwa wakati maalum. Picha za EBS zinaweza kunakiliwa kati ya mikoa na akaunti, au hata kupakuliwa na kukimbia kwa kienyeji.
Picha za EBS zinaweza kuwa na habari nyeti kama mikodisho ya chanzo au funguo za API, kwa hivyo, ikiwa una nafasi, ni vyema kuichunguza.
Tofauti kati ya AMI & EBS
AMI hutumiwa kuzindua kifaa cha EC2, wakati Snapshot ya EC2 hutumiwa kufanya nakala rudufu na kurejesha data iliyohifadhiwa kwenye kiasi cha EBS. Ingawa Snapshot ya EC2 inaweza kutumika kuunda AMI mpya, sio kitu sawa na AMI, na haitoi habari kuhusu mfumo wa uendeshaji, seva ya programu, au programu nyingine inayohitajika kufanya kazi.
Privesc
Kwenye ukurasa ufuatao unaweza kuangalia jinsi ya kutumia ruhusa za EBS kuboresha mamlaka:
pageAWS - EBS PrivescSSM
Amazon Simple Systems Manager (SSM) inaruhusu kusimamia float za vifaa vya EC2 kijijini ili kufanya utawala wao kuwa rahisi zaidi. Kila moja ya vifaa hivi inahitaji kuendesha huduma ya SSM Agent kwani huduma hiyo ndiyo itakayopata vitendo na kuyatekeleza kutoka kwa API ya AWS.
SSM Agent inawezesha Systems Manager kusasisha, kusimamia, na kusanidi rasilimali hizi. Wakala hutekeleza maombi kutoka kwa huduma ya Systems Manager katika AWS Cloud, na kisha kuyatekeleza kama ilivyoelezwa katika ombi.
SSM Agent inakuja imefungwa kabla kwenye baadhi ya AMIs au unahitaji kuiweka kwa mikono kwenye vifaa. Pia, Jukumu la IAM lililotumiwa ndani ya kifaa lazima liwe na sera ya AmazonEC2RoleforSSM ili kuweza kuwasiliana.
Uorodheshaji
Unaweza kuangalia kwenye kifaa cha EC2 ikiwa Systems Manager inaendeshwa kwa kutekeleza:
Privesc
Kwenye ukurasa ufuatao unaweza kuangalia jinsi ya kutumia ruhusa za SSM kuinua mamlaka:
pageAWS - SSM PrivescELB
Elastic Load Balancing (ELB) ni huduma ya usawa wa mzigo kwa Amazon Web Services (AWS) mizigo. ELB kiotomatiki hugawa trafiki ya maombi inayoingia na kuzidisha rasilimali kukidhi mahitaji ya trafiki.
Templeti za Kuzindua & Vikundi vya Kupanuka Kiotomatiki
Uchambuzi
Nitro
AWS Nitro ni seti ya teknolojia za ubunifu ambazo hufanya jukwaa la msingi kwa ajili ya kesi za AWS EC2. Iliyotolewa na Amazon ili kuimarisha usalama, utendaji, na uaminifu, Nitro inatumia vipengele vya vifaa maalum na hypervisor nyepesi. Inaficha sehemu kubwa ya utendaji wa jadi wa uwekaji wa kazi kwa vifaa na programu maalum, kupunguza eneo la mashambulizi na kuboresha ufanisi wa rasilimali. Kwa kuchukua majukumu ya kazi za uwekaji wa kazi, Nitro inaruhusu kesi za EC2 kutoa utendaji karibu sawa na chuma cha msingi, hivyo kuwa na manufaa hasa kwa maombi yanayohitaji rasilimali nyingi. Aidha, Chip ya Usalama ya Nitro inahakikisha usalama wa vifaa na firmware, ikithibitisha zaidi muundo wake imara.
Pata maelezo zaidi na jinsi ya kuihesabu kutoka:
pageAWS - Nitro EnumVPN
VPN inaruhusu kuunganisha mtandao wako wa ndani (VPN ya tovuti hadi tovuti) au laptopi za wafanyakazi (VPN ya Mteja) na AWS VPC ili huduma ziweze kupatikana bila haja ya kuzifunua kwa mtandao.
Vipengele Msingi vya VPN ya AWS
Lango la Mteja:
Lango la Mteja ni rasilimali unayounda katika AWS kuwakilisha upande wako wa uhusiano wa VPN.
Kimsingi ni kifaa halisi au programu kwenye upande wako wa uhusiano wa VPN ya Tovuti hadi Tovuti.
Unatoa maelekezo ya uwekaji wa njia na anwani ya IP ya umma ya kifaa chako cha mtandao (kama router au firewall) kwa AWS ili kuunda Lango la Mteja.
Linatumika kama alama ya kumbukumbu ya kuweka uhusiano wa VPN na haina malipo ya ziada.
Lango Binafsi la Virtual:
Lango Binafsi la Virtual (VPG) ni kikusanyaji wa VPN upande wa Amazon wa uhusiano wa VPN ya Tovuti hadi Tovuti.
Limeunganishwa na VPC yako na hutumikia kama lengo la uhusiano wako wa VPN.
VPG ni mwisho wa upande wa AWS kwa uhusiano wa VPN.
Inashughulikia mawasiliano salama kati ya VPC yako na mtandao wako wa ndani.
Uhusiano wa VPN ya Tovuti hadi Tovuti:
Uhusiano wa VPN ya Tovuti hadi Tovuti unauunganisha mtandao wako wa ndani na VPC kupitia handaki salama la VPN la IPsec.
Aina hii ya uhusiano inahitaji Lango la Mteja na Lango Binafsi la Virtual.
Hutumiwa kwa mawasiliano salama, thabiti, na endelevu kati ya kituo chako cha data au mtandao na mazingira yako ya AWS.
Kawaida hutumiwa kwa mawasiliano ya kawaida, ya muda mrefu na inalipishwa kulingana na kiasi cha data kinachohamishwa kupitia uhusiano huo.
Mwisho wa VPN ya Mteja:
Mwisho wa VPN ya Mteja ni rasilimali unayounda katika AWS kuwezesha na kusimamia vikao vya VPN ya mteja.
Hutumiwa kuruhusu vifaa binafsi (kama laptopi, simu za mkononi, n.k.) kuunganisha kwa usalama kwenye rasilimali za AWS au mtandao wako wa ndani.
Inatofautiana na VPN ya Tovuti hadi Tovuti kwa kuwa imeundwa kwa wateja binafsi badala ya kuunganisha mitandao yote.
Kwa VPN ya Mteja, kila kifaa cha mteja hutumia programu ya mteja wa VPN kuweka uhusiano salama.
Unaweza kupata maelezo zaidi kuhusu faida na vipengele vya VPN za AWS hapa.
Uhesabuaji
Uchambuzi wa Kienyeji
Sifa za Muda za Muda za Muda
Wakati Mteja wa AWS VPN unapotumika kuunganisha kwenye VPN, mtumiaji kawaida huingia kwenye AWS ili kupata ufikiaji wa VPN. Kisha, baadhi ya sifa za AWS huzalishwa na kuhifadhiwa kienyeji ili kuanzisha uhusiano wa VPN. Sifa hizi zinahifadhiwa katika $HOME/.config/AWSVPNClient/TemporaryCredentials/<eneo>/temporary-credentials.txt
na ina AccessKey, SecretKey na Token.
Sifa hizo ni za mtumiaji arn:aws:sts::<acc-id>:assumed-role/aws-vpn-client-metrics-analytics-access-role/CognitoIdentityCredentials
(TODO: tafiti zaidi kuhusu ruhusa za sifa hizi).
Faili za mazingira za opvn
Ikiwa unganisho la VPN lilianzishwa unapaswa kutafuta faili za mazingira za .opvn
kwenye mfumo. Zaidi ya hayo, mahali ambapo unaweza kupata mipangilio ni katika $HOME/.config/AWSVPNClient/OpenVpnConfigs
Baada ya Uchimbaji
pageAWS - VPN Post ExploitationMarejeo
Last updated