Acessibilidade de rede - Amazon Inspector Classic

Este é o manual do usuário do Amazon Inspector Classic. Para obter informações sobre o novo Amazon Inspector, consulte o Guia do usuário do Amazon Inspector. Para acessar o console do Amazon Inspector Classic, abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/ e escolha Amazon Inspector Classic no painel de navegação.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Acessibilidade de rede

As regras no pacote de regras de acessibilidade de rede analisam suas configurações de rede para encontrar vulnerabilidades de segurança de suas instâncias do EC2. As descobertas que o Amazon Inspector gera também fornecem orientações sobre como restringir o acesso que não é seguro.

O pacote de regras de acessibilidade de rede usa a tecnologia mais recente da iniciativa AWS Provable Security.

As descobertas geradas por essas regras mostram se as portas podem ser acessadas pela Internet por meio de um gateway de Internet (incluindo instâncias atrás de Application Load Balancers ou Classic Load Balancers), uma conexão de emparelhamento de VPC ou uma VPN por meio de um gateway virtual. Esses resultados também destacam configurações de rede que permitem acessos potencialmente mal-intencionados, como grupos de segurança, IGWs ACLs, e assim por diante.

Essas regras ajudam a automatizar o monitoramento de suas redes da AWS e a identificar onde o acesso à rede para sua instância do EC2 pode estar configurado incorretamente. Incluindo esse pacote em sua execução de avaliação, você pode implementar as verificações de segurança de rede sem a necessidade de instalar scanners e enviar pacotes, que é complexo e caro para manter, especialmente em conexões de emparelhamento de VPCs e VPNs.

Importante

Um agente Amazon Inspector Classic não é necessário para avaliar suas instâncias do EC2 com esse pacote de regras. No entanto, um agente instalado pode fornecer informações sobre a presença de todos os processos de escuta nas portas. Não instale um agente em um sistema operacional incompatível com o Amazon Inspector Classic. Se um agente estiver presente em uma instância que executa um sistema operacional incompatível, o pacote de regras de acessibilidade de rede não funcionará nessa instância.

Para ter mais informações, consulte Pacotes de regras do Amazon Inspector Classic para sistemas operacionais compatíveis.

Configurações analisadas

Regras de Acessibilidade de rede analisam a configuração das seguintes entidades de vulnerabilidades:

Rotas de acessibilidade

Regras de acessibilidade de rede verificam as seguintes rotas de acessibilidade, que corresponde às formas nas quais suas portas podem ser acessadas de fora de sua VPC:

  • Internet - Gateways da Internet (incluindo Application Load Balancers e Classic Load Balancers)

  • PeeredVPC - Conexões de emparelhamento de VPC

  • VGW - Gateways privados virtuais

Tipos de descoberta

Uma avaliação que inclui pacote de regras de Acessibilidade de rede pode retornar os seguintes tipos de descobertas para cada rota de acessibilidade:

RecognizedPort

Uma porta que normalmente é usada para um serviço é acessível. Se um agente estiver presente na instância do EC2 de destino, a descoberta gerada também indicará se há um processo de escuta ativo na porta. Descobertas desse tipo recebem uma gravidade com base no impacto de segurança do serviço conhecido:

  • RecognizedPortWithListener – Uma porta reconhecida é alcançada externamente da Internet pública por meio de um componente de rede específico, e um processo está escutando na porta.

  • RecognizedPortNoListener – Uma porta é acessível externamente da Internet pública por meio de um componente de rede específico, e não há processos escutando na porta.

  • RecognizedPortNoAgent – Uma porta é externamente acessível pela Internet pública por meio de um componente de rede específico. A presença de um processo de escuta na porta não pode ser determinada sem instalar um agente na instância de destino.

A tabela a seguir mostra uma lista de portas reconhecidas:

Serviço

Portas TCP

Portas UDP

SMB

445

445

NetBIOS

137, 139

137, 138

LDAP

389

389

LDAP por TLS

636

LDAP de catálogo global

3268

LDAP de catálogo global sobre TLS

3269

NFS

111, 2049, 4045, 1110

111, 2049, 4045, 1110

Kerberos

88, 464, 543, 544, 749, 751

88, 464, 749, 750, 751, 752

RPC

111, 135, 530

111, 135, 530

WINS

1512, 42

1512, 42

DHCP

67, 68, 546, 547

67, 68, 546, 547

Syslog

601

514

Serviços de impressão

515

Telnet

23

23

FTP

21

21

SSH

22

22

RDP

3389

3389

MongoDB

27017, 27018, 27019, 28017

SQL Server

1433

1434

MySQL

3306

PostgreSQL

5432

Oracle

1521, 1630

Elasticsearch

9300, 9200

HTTP

80 80

HTTPS

443 443

UnrecogizedPortWithListener

Uma porta que não esteja listada na tabela anterior deve ser acessível e ter um processo de escuta ativo. Como as descobertas desse tipo mostram informações sobre processos de escuta, elas só podem ser geradas quando um agente do Amazon Inspector está instalado na instância do EC2 de destino. As descobertas deste tipo são determinadas como de gravidade Baixa.

NetworkExposure

As descobertas desse tipo mostram informações agregadas nas portas que estão disponíveis em sua instância do EC2. Para cada combinação de interfaces de rede elástica e grupos de segurança em uma instância do EC2, essas descobertas mostram o conjunto acessível de intervalos de portas TCP e UDP. As descobertas deste tipo tem a gravidade de Informação.