Il s'agit du guide de l'utilisateur d'Amazon Inspector Classic. Pour plus d'informations sur le nouvel Amazon Inspector, consultez le guide de l'utilisateur d'Amazon Inspector. Pour accéder à la console Amazon Inspector Classic, ouvrez la console Amazon Inspector à l'https://console.aws.amazon.com/inspector/
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Joignabilité de réseau
Les règles du package Network Reachability analysent les configurations de votre réseau afin de détecter les failles de sécurité de vos instances EC2. Les résultats qu'Amazon Inspector génère apprennent également à limiter l'accès qui n'est pas sécurisé.
Le package de règles d'accessibilité réseau utilise les dernières technologies issues de l'initiative AWS Provable Security
Les résultats générés par ces règles montrent si vos connexions sont accessibles depuis Internet via une passerelle Internet (y compris les instances derrière des Équilibreurs de charge d'application ou classiques), une connexion d'appairage de VPC ou une connexion VPN via une passerelle virtuelle. Ces résultats mettent également en évidence les configurations de réseau qui permettent un accès potentiellement malveillant, telles que les groupes de sécurité mal gérés, les listes de contrôle d'accès (ACL), les IGW, et ainsi de suite.
Ces règles permettent d'automatiser la surveillance de vos réseaux AWS et d'identifier les endroits où l'accès réseau à vos instances EC2 est susceptible d'être mal configuré. En incluant ce package dans votre exécution d'évaluation, vous pouvez mettre en œuvre des contrôles de sécurité de réseau détaillés sans avoir à installer les analyseurs et envoyer des paquets qui sont complexes et coûteux à gérer, notamment à travers des connexions d'appairage de VPC et des réseaux privés virtuels.
Important
Un agent Amazon Inspector Classic n'est pas nécessaire pour évaluer vos instances EC2 avec ce package de règles. Toutefois, un agent installé peut fournir des informations sur la présence d'un processus à l'écoute sur les ports. N'installez pas d'agent sur un système d'exploitation non pris en charge par Amazon Inspector Classic. Si un agent est présent sur une instance qui exécute un système d'exploitation non pris en charge, le package de règles de Joignabilité de réseau ne fonctionnera pas sur cette instance.
Pour plus d’informations, consultez Ensembles de règles Amazon Inspector Classic pour les systèmes d'exploitation pris en charge.
Configurations analysées
Les règles de Joignabilité de réseau analysent la configuration des entités suivantes pour des vulnérabilités :
Chemins de joignabilité
Les règles de Joignabilité de réseau vérifient les chemins de joignabilité suivants, qui correspondent aux façons dont vos connexions sont accessibles de l'extérieur de votre VPC :
-
Internet
- Passerelles Internet (y compris les Équilibreurs de charge d'application et les Équilibreurs de charge classiques) -
PeeredVPC
- Connexions d'appairage de VPC -
VGW
- Passerelles privées virtuelles
Types de résultats
Une évaluation qui comprend l'ensemble de règles de Joignabilité de réseau peut renvoyer les types suivants de résultats pour chaque chemin de joignabilité :
RecognizedPort
Un port qui est généralement utilisé pour un service bien connu est accessible. Si un agent est présent sur l'instance EC2 cible, le résultat généré indiquera également s'il existe un processus d'écoute actif sur le port. Les résultats de ce type sont indiqués en fonction de la gravité d'un impact de sécurité du service bien connu :
-
RecognizedPortWithListener
— Un port reconnu est accessible de l'extérieur depuis l'Internet public via un composant réseau spécifique, et un processus est en cours d'écoute sur le port. -
RecognizedPortNoListener
— Un port est accessible de l'extérieur depuis l'Internet public via un composant réseau spécifique, et aucun processus n'écoute le port. -
RecognizedPortNoAgent
— Un port est accessible de l'extérieur depuis l'Internet public via un composant réseau spécifique. La présence d'un processus d'écoute sur le port ne peut pas être déterminée sans l'installation d'agent sur l'instance cible.
Le tableau suivant présente une liste des ports reconnus :
Service |
Ports TCP |
Ports UDP |
---|---|---|
SMB |
445 |
445 |
NetBIOS |
137, 139 |
137, 138 |
LDAP |
389 |
389 |
LDAP via TLS |
636 |
|
Catalogue global LDAP |
3268 |
|
Catalogue global LDAP via TLS |
3269 |
|
NFS |
111, 2049, 4045, 1110 |
111, 2049, 4045, 1110 |
Kerberos |
88, 464, 543, 544, 749, 751 |
88, 464, 749, 750, 751, 752 |
RPC |
111, 135, 530 |
111, 135, 530 |
WINS |
1512, 42 |
1512, 42 |
DHCP |
67, 68, 546, 547 |
67, 68, 546, 547 |
Syslog |
601 |
514 |
Services d'impression |
515 |
|
Telnet |
23 |
23 |
FTP |
21 |
21 |
SSH |
22 |
22 |
RDP |
3389 |
3389 |
MongoDB |
27017, 27018, 27019, 28017 |
|
SQL Server |
1433 |
1434 |
MySQL |
3306 |
|
PostgreSQL |
5432 |
|
Oracle |
1521, 1630 |
|
Elasticsearch |
9300, 9200 |
|
HTTP |
80 | 80 |
HTTPS |
443 | 443 |
UnrecogizedPortWithListener
Un port qui n'est pas répertorié dans le tableau précédent est accessible et dispose d'un processus d'écoute actif. Les résultats de ce type contenant des informations sur les processus d'écoute, ils ne peuvent être générés que lorsqu'un agent Amazon Inspector est installé sur l'instance EC2 cible. Les résultats de ce type sont indiqués à faible gravité.
NetworkExposure
Les résultats de ce type présentent des informations agrégées sur les ports accessibles sur votre instance EC2. Pour chaque combinaison d'interfaces réseau élastiques et de groupes de sécurité sur une instance EC2, ces résultats indiquent l'ensemble accessible de plages de ports TCP et UDP. Les résultats de ce type disposent d'une sévérité Informative.