Netzwerkerreichbarkeit - Amazon Inspector Classic

Dies ist das Benutzerhandbuch für Amazon Inspector Classic. Informationen zum neuen Amazon Inspector finden Sie im Amazon Inspector Inspector-Benutzerhandbuch. Um auf die Amazon Inspector Classic-Konsole zuzugreifen, öffnen Sie die Amazon Inspector-Konsole unter https://console.aws.amazon.com/inspector/ und wählen Sie dann Amazon Inspector Classic im Navigationsbereich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Netzwerkerreichbarkeit

Wichtig

Inspector Classic wird am 18. Dezember 2024 in den Ruhestand versetzt. Informationen zum Löschen aller Sicherheitslücken und zur Erreichbarkeit von Netzwerken in Inspector Classic und anschließender Umstellung auf die neue Version von Inspector finden Sie unter. Umstellung auf den neuen Amazon Inspector Weitere Informationen zum neuen Amazon Inspector finden Sie unter Amazon Inspector.

Die Regeln im Network Reachability-Paket analysieren Ihre Netzwerkkonfigurationen, um Sicherheitslücken Ihrer EC2-Instances zu finden. Die Ergebnisse von Amazon Inspector dienen auch als Leitfaden bei der Einschränkung von Zugriff, der nicht sicher ist.

Das Regelpaket zur Netzwerkerreichbarkeit verwendet die neueste Technologie der Provable Security-Initiative. AWS

Die Ergebnisse dieser Regeln zeigen auf, ob Ihre Ports aus dem Internet über ein Internet-Gateway (einschließlich Instances hinter Application Load Balancern oder Classic Load Balancern), über eine VPC-Peering-Verbindung oder über ein VPN über ein virtuelles Gateway erreichbar sind. Diese Ergebnisse heben zudem Netzwerkkonfigurationen hervor, die einen potenziell schädlichen Zugriff zulassen, wie z. B. nachlässig verwaltete Sicherheitsgruppen, ACLs, IGWs usw.

Diese Regeln helfen dabei, die Überwachung Ihrer AWS-Netzwerke zu automatisieren und zu ermitteln, wo der Netzwerkzugriff auf Ihre EC2-Instances möglicherweise falsch konfiguriert ist. Durch Einschließen dieses Pakets in Ihren Bewertungslauf können Sie detaillierte Netzwerksicherheitsprüfungen implementieren, ohne Scanner installieren und Pakete senden zu müssen, die komplex und kostenintensiv in der Wartung sind, insbesondere über VPC-Peering-Verbindungen und VPNs.

Wichtig

Ein Amazon Inspector Classic-Agent ist nicht erforderlich, um Ihre EC2-Instances mit diesem Regelpaket zu bewerten. Ein installierter Agent kann aber Informationen zu vorhandenen Prozessen bereitstellen, mit denen Ports überwacht werden. Installieren Sie keinen Agenten auf einem Betriebssystem, das Amazon Inspector Classic nicht unterstützt. Wenn ein Agent auf einer Instance vorhanden ist, auf der ein nicht unterstütztes Betriebssystem ausgeführt wird, funktioniert das Regelpaket für die Netzwerkerreichbarkeit auf dieser Instance nicht.

Weitere Informationen finden Sie unter Regelpakete von Amazon Inspector Classic für unterstützte Betriebssysteme.

Analysierte Konfigurationen

Regeln für die Netzwerkerreichbarkeit analysieren die Konfiguration der folgenden Entitäten auf Schwachstellen:

Erreichbarkeitsrouten

Regeln für die Netzwerkerreichbarkeit prüfen auf die folgenden Erreichbarkeitsrouten, die mögliche Wege für den Zugriff auf Ports von außerhalb Ihrer VPC darstellen:

  • Internet: Internet-Gateways (einschließlich Application Load Balancern und Classic Load Balancern)

  • PeeredVPC – VPC-Peering-Verbindungen

  • VGW: Virtuelle private Gateways

Ergebnistypen

Eine Bewertung mit dem Regelpaket zur Netzwerkerreichbarkeit kann die folgenden Arten von Ergebnissen für jede einzelne Erreichbarkeitsroute zurückgeben:

RecognizedPort

Ein Port, der gewöhnlich für einen bekannten Service verwendet wird, ist erreichbar. Wenn auf der EC2-Zielinstanz ein Agent vorhanden ist, gibt das generierte Ergebnis auch an, ob auf dem Port ein aktiver Abhörprozess stattfindet. Ergebnissen dieser Art wird je nach den Auswirkungen auf die Sicherheit des bekannten Service ein Schweregrad zugewiesen:

  • RecognizedPortWithListener— Ein erkannter Port ist über eine bestimmte Netzwerkkomponente extern vom öffentlichen Internet aus erreichbar, und ein Prozess überwacht den Port.

  • RecognizedPortNoListener— Ein Port ist vom öffentlichen Internet aus über eine bestimmte Netzwerkkomponente extern erreichbar, und es gibt keine Prozesse, die den Port abhören.

  • RecognizedPortNoAgent— Ein Port ist vom öffentlichen Internet aus über eine bestimmte Netzwerkkomponente extern erreichbar. Um erkennen zu können, ob ein den Port überwachender Prozess vorhanden ist, muss zuerst ein Agent auf der Ziel-Instance installiert werden.

Die folgende Tabelle zeigt eine Liste erkannter Ports:

Service

TCP-Ports

UDP-Ports

SMB

445

445

NetBIOS

137, 139

137, 138

LDAP

389

389

LDAP über TLS

636

Global Catalog LDAP

3268

Global Catalog LDAP über TLS

3269

NFS

111, 2049, 4045, 1110

111, 2049, 4045, 1110

Kerberos

88, 464, 543, 544, 749, 751

88, 464, 749, 750, 751, 752

RPC

111, 135, 530

111, 135, 530

WINS

1512, 42

1512, 42

DHCP

67, 68, 546, 547

67, 68, 546, 547

Syslog

601

514

Druckdienste

515

Telnet

23

23

FTP

21

21

SSH

22

22

RDP

3389

3389

MongoDB

27017, 27018, 27019, 28017

SQL Server

1433

1434

MySQL

3306

PostgreSQL

5432

Oracle

1521, 1630

Elasticsearch

9300, 9200

HTTP

80 80

HTTPS

443 443

UnrecogizedPortWithListener

Ein Port, der nicht in der vorangegangenen Tabelle aufgelistet wird, ist erreichbar und auf ihm ist ein Überwachungsprozess aktiv. Da Ergebnisse dieses Typs Informationen über Listening-Prozesse enthalten, können sie nur generiert werden, wenn ein Amazon Inspector-Agent auf der Ziel-EC2-Instance installiert ist. Ergebnisse diese Art erhalten den Schweregrad Low (Niedrig).

NetworkExposure

Ergebnisse dieses Typs zeigen zusammengefasste Informationen zu den Ports, die auf Ihrer EC2-Instance erreichbar sind. Für jede Kombination von Elastic Network-Schnittstellen und Sicherheitsgruppen auf einer EC2-Instance zeigen diese Ergebnisse den erreichbaren Satz von TCP- und UDP-Portbereichen. Ergebnisse dieser Art haben den Schweregrad Informational (Zur Information).