這是 Amazon Inspector 經典的用戶指南。如需有關新 Amazon Inspector 查器的資訊,請參閱 Amazon Inspector 使用者指南。若要存取 Amazon Inspector 經典主控台,請在 https://console.aws.amazon.com/inspector/
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
網路連線能力
網路連線功能套件中的規則會分析您的網路組態,以找出 EC2 執行個體的安全弱點。Amazon Inspector 產生的調查結果也可指導您如何限制不安全的存取。
網路連線規則套件使用 AWS 可證
這些規則產生的調查結果可顯示,您的連接埠是否可從網際網路透過網際網路閘道 (包括 Application Load Balancer 或 Classic Load Balancer 後面的執行個體)、VPC 互連連線或經由虛擬閘道的 VPN 加以連線。這些調查結果也特別指出放任可能惡意存取的網路組態,例如管理不善的安全群組、ACL、IGW 等等。
這些規則有助於自動監控 AWS 網路,並識別 EC2 執行個體的網路存取可能設定錯誤的位置。您可以將此套件納入評估執行中,以實作詳細的網路安全性檢查,而無需安裝掃描器和傳送封包,這維護起來很複雜又昂貴,尤其是透過 VPC 對等連線和 VPN。
重要
使用此規則套件不需要 Amazon Inspector 經典代理程式來評估您的 EC2 執行個體。不過,安裝代理程式可提供是否有任何程序在接聽連接埠的相關資訊。請勿在 Amazon Inspector 典型版不支援的作業系統上安裝代理程式。如果代理程式存在於執行不支援作業系統的執行個體上,網路連線能力規則套件將無法在該執行個體上運作。
如需詳細資訊,請參閱 Amazon Inspector 受支援作業系統的傳統規則套件。
分析的組態
網路連線能力規則會分析以下實體的組態是否有漏洞:
連線能力路由
網路連線能力規則會檢查以下連線能力路由,這對應於從 VPC 外部可存取連接埠的方式:
-
Internet- 網際網路閘道 (包括 Application Load Balancer 和 Classic Load Balancer) -
PeeredVPC- VPC 對等連線 -
VGW- 虛擬私有閘道
問題清單類型
含有網路連線能力規則套件的評估可針對每個連線能力路由,傳回以下類型的調查結果:
RecognizedPort
通常用於知名服務的連接埠都可連線。如果目標 EC2 執行個體上存在代理程式,則產生的發現項目也會指出連接埠上是否有作用中的監聽程序。根據知名服務的安全影響,此類型的調查結果會獲得一個嚴重等級:
-
RecognizedPortWithListener— 可透過特定網路元件從公用網際網路從外部連線到已辨識的連接埠,而且處理程序正在接聽連接埠。 -
RecognizedPortNoListener— 連接埠可透過特定網路元件從公用網際網路從外部連線,而且連接埠上沒有監聽的處理程序。 -
RecognizedPortNoAgent— 可從公用網際網路透過特定網路元件從外部連線到連接埠。如果沒有在目標執行個體上安裝代理程式,則無法判斷是否有程序在連接埠上接聽。
下表為認可的連接埠清單:
|
服務 |
TCP 連接埠 |
UDP 連接埠 |
|---|---|---|
|
SMB |
445 |
445 |
|
NetBIOS |
137、139 |
137、138 |
|
LDAP |
389 |
389 |
|
透過 TLS 的 LDAP |
636 |
|
|
通用類別目錄 LDAP |
3268 |
|
|
透過 TLS 的通用類別目錄 LDAP |
3269 |
|
|
NFS |
111、2049、4045、1110 |
111、2049、4045、1110 |
|
Kerberos |
88、464、543、544、749、751 |
88、464、749、750、751、752 |
|
RPC |
111、135、530 |
111、135、530 |
|
WINS |
1512、42 |
1512、42 |
|
DHCP |
67、68、546、547 |
67、68、546、547 |
|
Syslog |
601 |
514 |
|
列印服務 |
515 |
|
|
Telnet |
23 |
23 |
|
FTP |
21 |
21 |
|
SSH |
22 |
22 |
|
RDP |
3389 |
3389 |
|
MongoDB |
27017、27018、27019、28017 |
|
|
SQL Server |
1433 |
1434 |
|
MySQL |
3306 |
|
|
PostgreSQL |
5432 |
|
|
Oracle |
1521、1630 |
|
|
Elasticsearch |
9300、9200 |
|
|
HTTP |
80 | 80 |
|
HTTPS |
443 | 443 |
UnrecogizedPortWithListener
可連線至上表未列出的連接埠,且其擁有作用中的接聽程序。由於此類型的發現項目顯示有關監聽程序的資訊,因此只有在目標 EC2 執行個體上安裝 Amazon Inspector 代理程式時,才能產生這些程序。此類型的調查結果會獲得 Low (低) 嚴重等級。
NetworkExposure
此類型的發現項目會顯示 EC2 執行個體上可存取之連接埠的彙總資訊。針對 EC2 執行個體上彈性網路界面和安全群組的每個組合,這些發現項目會顯示可連線的 TCP 和 UDP 連接埠範圍集。此類型的調查結果具有 Informational (參考) 嚴重等級。
