Dies ist das Benutzerhandbuch für Amazon Inspector Classic. Informationen zum neuen Amazon Inspector finden Sie im Amazon Inspector Inspector-Benutzerhandbuch. Um auf die Amazon Inspector Classic-Konsole zuzugreifen, öffnen Sie die Amazon Inspector-Konsole unter https://console.aws.amazon.com/inspector/
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Netzwerkerreichbarkeit
Die Regeln im Paket Network Reachability analysieren Ihre Netzwerkkonfigurationen, um Sicherheitslücken Ihrer EC2-Instances zu finden. Die Ergebnisse von Amazon Inspector dienen auch als Leitfaden bei der Einschränkung von Zugriff, der nicht sicher ist.
Die Ergebnisse dieser Regeln zeigen auf, ob Ihre Ports aus dem Internet über ein Internet-Gateway (einschließlich Instances hinter Application Load Balancern oder Classic Load Balancern), über eine VPC-Peering-Verbindung oder über ein VPN über ein virtuelles Gateway erreichbar sind. Diese Ergebnisse heben zudem Netzwerkkonfigurationen hervor, die einen potenziell schädlichen Zugriff zulassen, wie z. B. nachlässig verwaltete Sicherheitsgruppen, ACLs, IGWs usw.
Diese Regeln helfen dabei, die Überwachung Ihrer AWS-Netzwerke zu automatisieren und zu ermitteln, wo der Netzwerkzugriff auf Ihre EC2-Instances möglicherweise falsch konfiguriert ist. Durch Einschließen dieses Pakets in Ihren Bewertungslauf können Sie detaillierte Netzwerksicherheitsprüfungen implementieren, ohne Scanner installieren und Pakete senden zu müssen, die komplex und kostenintensiv in der Wartung sind, insbesondere über VPC-Peering-Verbindungen und VPNs.
Wichtig
Ein Amazon Inspector Classic-Agent ist nicht erforderlich, um Ihre EC2-Instances mit diesem Regelpaket zu bewerten. Ein installierter Agent kann aber Informationen zu vorhandenen Prozessen bereitstellen, mit denen Ports überwacht werden. Installieren Sie keinen Agenten auf einem Betriebssystem, das Amazon Inspector Classic nicht unterstützt. Wenn ein Agent auf einer Instance vorhanden ist, auf der ein nicht unterstütztes Betriebssystem ausgeführt wird, funktioniert das Regelpaket für die Netzwerkerreichbarkeit auf dieser Instance nicht.
Weitere Informationen finden Sie unter Regelpakete von Amazon Inspector Classic für unterstützte Betriebssysteme.
Analysierte Konfigurationen
Regeln für die Netzwerkerreichbarkeit analysieren die Konfiguration der folgenden Entitäten auf Schwachstellen:
Erreichbarkeitsrouten
Regeln für die Netzwerkerreichbarkeit prüfen auf die folgenden Erreichbarkeitsrouten, die mögliche Wege für den Zugriff auf Ports von außerhalb Ihrer VPC darstellen:
-
Internet
: Internet-Gateways (einschließlich Application Load Balancern und Classic Load Balancern) -
PeeredVPC
– VPC-Peering-Verbindungen -
VGW
: Virtuelle private Gateways
Ergebnistypen
Eine Bewertung mit dem Regelpaket zur Netzwerkerreichbarkeit kann die folgenden Arten von Ergebnissen für jede einzelne Erreichbarkeitsroute zurückgeben:
RecognizedPort
Ein Port, der gewöhnlich für einen bekannten Service verwendet wird, ist erreichbar. Wenn auf der EC2-Zielinstanz ein Agent vorhanden ist, gibt das generierte Ergebnis auch an, ob auf dem Port ein aktiver Abhörprozess stattfindet. Ergebnissen dieser Art wird je nach den Auswirkungen auf die Sicherheit des bekannten Service ein Schweregrad zugewiesen:
-
RecognizedPortWithListener
— Ein erkannter Port ist über eine bestimmte Netzwerkkomponente extern vom öffentlichen Internet aus erreichbar, und ein Prozess überwacht den Port. -
RecognizedPortNoListener
— Ein Port ist vom öffentlichen Internet aus über eine bestimmte Netzwerkkomponente extern erreichbar, und es gibt keine Prozesse, die den Port abhören. -
RecognizedPortNoAgent
— Ein Port ist vom öffentlichen Internet aus über eine bestimmte Netzwerkkomponente extern erreichbar. Um erkennen zu können, ob ein den Port überwachender Prozess vorhanden ist, muss zuerst ein Agent auf der Ziel-Instance installiert werden.
Die folgende Tabelle zeigt eine Liste erkannter Ports:
Service |
TCP-Ports |
UDP-Ports |
---|---|---|
SMB |
445 |
445 |
NetBIOS |
137, 139 |
137, 138 |
LDAP |
389 |
389 |
LDAP über TLS |
636 |
|
Global Catalog LDAP |
3268 |
|
Global Catalog LDAP über TLS |
3269 |
|
NFS |
111, 2049, 4045, 1110 |
111, 2049, 4045, 1110 |
Kerberos |
88, 464, 543, 544, 749, 751 |
88, 464, 749, 750, 751, 752 |
RPC |
111, 135, 530 |
111, 135, 530 |
WINS |
1512, 42 |
1512, 42 |
DHCP |
67, 68, 546, 547 |
67, 68, 546, 547 |
Syslog |
601 |
514 |
Druckdienste |
515 |
|
Telnet |
23 |
23 |
FTP |
21 |
21 |
SSH |
22 |
22 |
RDP |
3389 |
3389 |
MongoDB |
27017, 27018, 27019, 28017 |
|
SQL Server |
1433 |
1434 |
MySQL |
3306 |
|
PostgreSQL |
5432 |
|
Oracle |
1521, 1630 |
|
Elasticsearch |
9300, 9200 |
|
HTTP |
80 | 80 |
HTTPS |
443 | 443 |
UnrecogizedPortWithListener
Ein Port, der nicht in der vorangegangenen Tabelle aufgelistet wird, ist erreichbar und auf ihm ist ein Überwachungsprozess aktiv. Da Ergebnisse dieses Typs Informationen über Listening-Prozesse enthalten, können sie nur generiert werden, wenn ein Amazon Inspector-Agent auf der Ziel-EC2-Instance installiert ist. Ergebnisse diese Art erhalten den Schweregrad Low (Niedrig).
NetworkExposure
Ergebnisse dieses Typs zeigen zusammengefasste Informationen zu den Ports, die auf Ihrer EC2-Instance erreichbar sind. Für jede Kombination von Elastic Network-Schnittstellen und Sicherheitsgruppen auf einer EC2-Instance zeigen diese Ergebnisse den erreichbaren Satz von TCP- und UDP-Portbereichen. Ergebnisse dieser Art haben den Schweregrad Informational (Zur Information).