注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 7887|回复: 0

[技术文章] 导致攻击者容易利用的顶级防火墙错误配置

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
47860
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   708 小时
   最后登录
   2022-8-23
发表于 2021-3-29 20:38:42 | 显示全部楼层 |阅读模式
对于迁移到云的公司而言,网络安全应该是主要重点。云网络暴露于Internet,并且公司无法直接控制运行它们的硬件。如果配置不正确,云中的网络可能会受到攻击和破坏。

AWS可帮助您在云中构建网络并承担一些负担。在本系列的第1部分中,我们详细讨论了AWS共享责任模型。AWS将其服务分为三类:基础结构服务,容器服务和抽象服务。每组服务对客户和亚马逊之间的安全性负责。了解作为客户的责任是什么,可以帮助您了解保持安全所需的安全控制措施。

在本文中,我们将讨论在AWS中保护网络所需的条件。这是客户对基础结构服务(EC2,EBS)和容器服务(RDS,Elastic Beanstalk)的责任。让我们潜入。

AWS中的网络基础架构
首先概述一下AWS中的网络实际上是有益的。让我们讨论AWS网络功能的主要部分以建立基准。然后,我们将解决导致容易攻击的主要问题。

首先,AWS提供了虚拟私有云或VPC。VPC为客户提供了一小部分的AWS网络基础架构。如果AWS网络是一棵树,那么您的VPC就是为您和您的朋友而建的树屋,您必须知道秘密密码才能获得输入(不是真的,但是我们将在一分钟内真正看到它的工作原理)。您可以完全控制VPC和内部的网络控制,包括IP地址,子网和路由表的配置。VPC是AWS基础设施服务的一部分,可为您提供与本地环境几乎相同的控制。

接下来,我们将讨论网络访问控制列表或ACL。网络ACL使客户可以访问无状态防火墙规则,以允许或阻止对您的VPC的访问。网络ACL是可选的,但可用作深度防御和网络的高级防护栏。例如,您可以将对网络的访问限制为公司IP地址。您可以阻止某些已知的IP,如果它们连接会很危险。

如果EC2实例需要访问Internet才能完成其工作,则可以使用NAT网关。NAT网关为您的EC2实例提供网络地址转换服务。实例的内部IP地址将在通往公共Internet的途中进行更改。当请求返回时,NAT网关会将其转换回正确的IP地址。另一种选择是使用NAT实例,它们实质上是充当NAT路由器的EC2实例。但是,NAT网关由AWS管理,并提供更好的性能和吞吐量,因此建议使用它们。

最后,安全组是网络ACL的更好替代方案。甲安全组是一个虚拟状态防火墙,其控制流量到一个或多个实例。它们比网络ACL更具可配置性,并且可以应用于EC2实例组。可以根据协议,端口号和IP地址范围来限制流量。这使您可以为端口80(HTTP)或443(HTTPS)打开的Web服务器设置一个安全组。您可以为打开正确端口的应用程序服务器和数据库服务器创建另一个组,并分别仅允许Web服务器和应用程序服务器连接。

到此结束了AWS网络基础架构的介绍。现在,让我们来了解配置网络资源时的常见错误以及避免这些错误的最佳实践。

网络配置错误导致容易受到攻击
在许多企业环境中,网络配置可能很复杂。这是一些常见的错误,它们使攻击者更容易进入您的网络。

不要打开前门
如果未正确配置安全组,则管理员可能会使EC2实例处于打开状态,无法与Internet上的任何计算机进行通信。具体来说,允许访问IP地址范围0.0.0.0/0意味着允许所有IP地址都可以连接。如果您通过SSH协议使用0.0.0.0/0,并且允许Internet上的任何人使用SSH连接到该实例。这是令人惊讶的普遍。

为了快速设置实例,此设置可能很诱人,但是非常危险。而是将访问限制为仅需要绝对连接的IP地址。

开放式VPC
另一个相关的错误配置是允许Internet访问您的VPC。您不希望从通用Internet访问VPC或其中的EC2实例。使用网络ACL将对VPC的访问限制为企业IP地址和基础架构中的其他VPC。

不受管理的复杂性
企业网络可以迅速变得复杂。如果无法正确管理这种复杂性,您将留下漏洞供攻击者查找。例如,一个EC2实例可以站在正式批准的VPC之外,供您的公司使用。这里需要最小特权原则。不允许任何人在您的AWS环境中创建实例。

了解您在云中运行的内容也很重要。确保您正在使用CloudTrail日志来观察环境中发生的事情。可见性是调查问题或事件出现时的唯一方法。不要设置您的网络,然后再忽略它。

AWS NETWORK最佳实践
我们已经讨论了可能导致妥协的网络基础知识和错误。现在,让我们来看一下AWS内置网络的一些最佳实践。

网络安全监视:高效的监视对于网络安全至关重要。CloudWatch日志由EC2实例生成,并告诉您来自EC2实例的网络流量是多少。CloudWatch可以帮助您找到模式并确定异常的网络流量。VPC流日志记录了进出VPC的网络流量,也是有用的信息。请查看VPC网络并在AWS上监视最佳实践以了解更多详细信息。
使用Network Ingress Controls:监视谁连接到您的AWS网络是安全的关键。注意谁在连接以及他们在做什么。使用网络ACL和安全组来控制谁可以访问您的网络。亚马逊还提供了WAF,以阻止针对Web应用程序的常见攻击。
使用网络出口控制:安全组可以控制来自VPC以及进入VPC的流量。VPC还提供了路由表,您可以用来确定哪些流量可以流向何处。使用路由表和专用子网,您可以在将关键EC2实例的流量路由到批准的出站网络网关的同时将它们屏蔽于公共Internet。这样可以降低攻击面,同时仅允许需要Internet访问的实例拥有攻击面。请查看控制VPC出口流量以了解更多详细信息。
保护您的网络
AWS共享责任模型在三个服务组中的两个服务组中将网络安全责任分配给客户。了解AWS网络安全性的工作原理对于确保网络不受入侵者的安全至关重要。

使用VPC创建仅组织可以访问的专用网络。可以使用安全组和网络ACL进行配置。除非您希望公共Internet上的每台计算机都可以访问您的EC2实例,否则切勿使用0.0.0.0/0。

始终使用VPC流日志,CloudWatch和CloudTrail监视您的网络。使用这些日志来查找异常的网络流量并对其做出快速反应。不要小看AWS为您提供的功能。如果您了解它,则可以使用它来锁定网络并阻止攻击者。

如果您想知道由黑客提供的安全性如何帮助您保持网络安全,请联系。我们很乐意为您提供帮助。

发表回复

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则


快速回复 返回顶部 返回列表