Questa è la guida per l'utente di Amazon Inspector Classic. Per informazioni sul nuovo Amazon Inspector, consulta la Amazon Inspector User Guide. Per accedere alla console Amazon Inspector Classic, apri la console Amazon Inspector https://console.aws.amazon.com/inspector/
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Network Reachability
Le regole del pacchetto Network Reachability analizzano le configurazioni di rete per individuare le vulnerabilità di sicurezza delle istanze EC2. I risultati generati da Amazon Inspector costituiscono anche una guida per la limitazione dell'accesso non protetto.
I risultati generati da queste regole mostrano se le tue porte sono raggiungibili da Internet tramite un Internet gateway (comprese le istanze con Application Load Balancer o Classic Load Balancer), una connessione peering VPC o una VPN tramite un gateway virtuale. Questi risultati evidenziano anche le configurazioni di rete che consentono un accesso potenzialmente dannoso, come gruppi di sicurezza, ACL, IGW gestiti non correttamente e così via.
Queste regole aiutano ad automatizzare il monitoraggio delle reti AWS e a identificare i punti in cui l'accesso di rete alle istanze EC2 potrebbe essere configurato in modo errato. Includendo questo pacchetto nell'esecuzione della valutazione, puoi implementare controlli dettagliati sulla sicurezza della rete senza dover installare scanner e inviare pacchetti, che sono complessi e costosi da mantenere, specialmente tra le connessioni peering VPC e VPN.
Importante
Non è necessario un agente Amazon Inspector Classic per valutare le istanze EC2 con questo pacchetto di regole. Tuttavia, un agente installato può fornire informazioni sulla presenza di processi in ascolto sulle porte. Non installare un agente su un sistema operativo non supportato da Amazon Inspector Classic. Se un agente è presente in un'istanza che esegue un sistema operativo non supportato, il pacchetto di regole Network Reachability non funzionerà su tale istanza.
Per ulteriori informazioni, consulta Pacchetti di regole di Amazon Inspector Classic per i sistemi operativi supportati.
Configurazioni analizzate
Le regole di Network Reachability analizzano la configurazione delle seguenti entità per cercare le vulnerabilità:
Route di raggiungibilità
Le regole di Network Reachability controllano le seguenti route di raggiungibilità che corrispondono ai modi in cui è possibile accedere alle porte dall'esterno del VPC:
-
Internet- Internet gateway (tra cui Application Load Balancer e Classic Load Balancer) -
PeeredVPC– Connessioni in peering di VPC -
VGW- Gateway privati virtuali
Tipi di risultati
Una valutazione che include il pacchetto di regole Network Reachability può restituire i seguenti tipi di risultati per ogni route di raggiungibilità:
RecognizedPort
Una porta che viene in genere utilizzata per un servizio noto è raggiungibile. Se sull'istanza EC2 di destinazione è presente un agente, i risultati generati indicheranno anche se esiste un processo di ascolto attivo sulla porta. I risultati di questo tipo vengono valutati in base all'impatto sulla sicurezza del servizio noto:
-
RecognizedPortWithListener— Una porta riconosciuta è raggiungibile esternamente dalla rete Internet pubblica tramite uno specifico componente di rete e un processo è in ascolto sulla porta. -
RecognizedPortNoListener— Una porta è raggiungibile esternamente dalla rete Internet pubblica tramite uno specifico componente di rete e non vi sono processi in ascolto sulla porta. -
RecognizedPortNoAgent— Una porta è raggiungibile esternamente dalla rete Internet pubblica tramite uno specifico componente di rete. La presenza di un processo in ascolto sulla porta non può essere determinata senza installare un agente sull'istanza di destinazione.
La tabella seguente mostra un elenco di porte riconosciute:
|
Servizio |
Porte TCP |
Porte UDP |
|---|---|---|
|
SMB |
445 |
445 |
|
NetBIOS |
137, 139 |
137, 138 |
|
LDAP |
389 |
389 |
|
LDAP over TLS |
636 |
|
|
Global catalog LDAP |
3268 |
|
|
Global catalog LDAP over TLS |
3269 |
|
|
NFS |
111, 2049, 4045, 1110 |
111, 2049, 4045, 1110 |
|
Kerberos |
88, 464, 543, 544, 749, 751 |
88, 464, 749, 750, 751, 752 |
|
RPC |
111, 135, 530 |
111, 135, 530 |
|
WINS |
1512, 42 |
1512, 42 |
|
DHCP |
67, 68, 546, 547 |
67, 68, 546, 547 |
|
Syslog |
601 |
514 |
|
Servizi di stampa |
515 |
|
|
Telnet |
23 |
23 |
|
FTP |
21 |
21 |
|
SSH |
22 |
22 |
|
RDP |
3389 |
3389 |
|
MongoDB |
27017, 27018, 27019, 28017 |
|
|
SQL Server |
1433 |
1434 |
|
MySQL |
3306 |
|
|
PostgreSQL |
5432 |
|
|
Oracle |
1521, 1630 |
|
|
Elasticsearch |
9300, 9200 |
|
|
HTTP |
80 | 80 |
|
HTTPS |
443 | 443 |
UnrecogizedPortWithListener
Se una porta non è elencata nella tabella precedente significa che è raggiungibile e ha un processo attivo in ascolto. Poiché i risultati di questo tipo mostrano informazioni sui processi di ascolto, possono essere generati solo quando un agente Amazon Inspector è installato sull'istanza EC2 di destinazione. I risultati di questo tipo hanno il livello di gravità Low (Bassa).
NetworkExposure
I risultati di questo tipo mostrano informazioni aggregate sulle porte raggiungibili sull'istanza EC2. Per ogni combinazione di interfacce di rete elastiche e gruppi di sicurezza su un'istanza EC2, questi risultati mostrano l'insieme raggiungibile di intervalli di porte TCP e UDP. I risultati di questo tipo hanno il livello di gravità Informational (Informativo).
