Seguimiento de conexiones de grupos de seguridad - Amazon Elastic Compute Cloud

Seguimiento de conexiones de grupos de seguridad

Los grupos de seguridad utilizan el seguimiento de las conexiones para realizar un seguimiento de la información sobre el tráfico hacia y desde la instancia. Las reglas se aplican según el estado de la conexión del tráfico para determinar si el tráfico se permite o se deniega. Con este enfoque, los grupos de seguridad tienen estado. Esto significa que se permite la salida de las repuestas al tráfico de entrada de la instancia, independientemente de las reglas de salida del grupo de seguridad y viceversa.

Por ejemplo, suponga que inicia un comando ping ICMP para acceder a las instancias desde el equipo doméstico y las reglas de tráfico de entrada del grupo de seguridad permiten el tráfico de ICMP. Se realiza un seguimiento de la información sobre la conexión (incluida la información del puerto). El tráfico de respuesta desde la instancia del comando ping no se sigue como una nueva solicitud, sino como una conexión establecida, y se permite que salga de la instancia, aunque las reglas de salida del grupo de seguridad restrinjan el tráfico de ICMP de salida.

En el caso de otros protocolos que no sean TCP, UDP o ICMP, solo se realiza el seguimiento de la dirección IP y del número de protocolo. Si la instancia envía tráfico a otro host (host B) y el host B inicia el mismo tipo de tráfico a su instancia en una solicitud distinta en el plazo de 600 segundos de la solicitud o respuesta original, la instancia la acepta independientemente de las reglas de entrada del grupo de seguridad. Su instancia lo acepta porque se considera tráfico de respuesta.

Para asegurarse de que el tráfico se interrumpe inmediatamente al quitar una regla de grupo de seguridad o para asegurarse de que todo el tráfico entrante está sujeto a reglas de firewall, puede utilizar una ACL de red para la subred. Las ACL de red son sin estado y, por lo tanto, no permiten automáticamente el tráfico de respuesta. Para obtener más información, consulte la sección relacionada con las ACL de red en la Guía del usuario de Amazon VPC.

Conexiones sin seguimiento

No se realiza un seguimiento de todos los flujos de tráfico. Si una regla del grupo de seguridad permite los flujos TCP o UDP para todo el tráfico (0.0.0.0/0 o ::/0) y hay una regla correspondiente en la otra dirección que permita todo el tráfico de respuesta (0.0.0.0/0 o ::/0) para todos los puertos (0-65535), no se realizará un seguimiento de ese flujo de tráfico. Por consiguiente, se permite que el tráfico de respuesta fluya según la regla de entrada o de salida que permita el tráfico de respuesta y no según la información de seguimiento.

Un flujo de tráfico del que no se realiza seguimiento se interrumpe de inmediato si se elimina o modifica la regla que permite el flujo. Por ejemplo, si tiene una regla de salida abierta (0.0.0.0/0) y elimina una regla que permite todo el tráfico SSH (puerto TCP 22) entrante (0.0.0.0/0) a la instancia (o la modifica de modo que la conexión ya no se permita), las conexiones SSH existentes a la instancia se eliminan inmediatamente. La conexión no estaba siendo rastreada previamente, por lo que el cambio romperá la conexión. Por otro lado, si tiene una regla de entrada más estrecha que inicialmente permite la conexión SSH (lo que significa que se rastreó la conexión), pero cambia esa regla para que ya no permita nuevas conexiones desde la dirección del cliente SSH actual, la conexión existente no se romperá cambiando la regla.

Example

En el siguiente ejemplo, el grupo de seguridad incluye reglas de entrada específicas para el tráfico TCP e ICMP y reglas de salida que permiten todo el tráfico de salida IPv4 e IPv6.

Reglas de entrada
Tipo de protocolo Número de puerto IP de origen
TCP 22 (SSH) 203.0.113.1/32
TCP 80 (HTTP) 0.0.0.0/0
TCP 80 (HTTP) ::/0
ICMP All 0.0.0.0/0
Reglas de salida
Tipo de protocolo Número de puerto IP de destino
All All 0.0.0.0/0
All All ::/0
  • Se realiza un seguimiento del tráfico TCP en el puerto 22 (SSH) hacia y desde la instancia, porque la regla de entrada solo permite el tráfico desde 203.0.113.1/32 y no todas las direcciones IP (0.0.0.0/0).

  • No se realiza un seguimiento del tráfico TCP en el puerto 80 (HTTP) hacia y desde la instancia, ya que tanto las reglas de entrada como las de salida permiten todo el tráfico (0.0.0.0/0 o ::/0).

  • Siempre se realiza el seguimiento del tráfico ICMP, independientemente de las reglas.

  • Si elimina la regla de salida del grupo de seguridad, se hace un seguimiento de todo el tráfico hacia y desde la instancia, incluido el tráfico del puerto 80 (HTTP).

Throttling

Amazon EC2 define el número máximo de conexiones que se pueden rastrear por instancia. Una vez alcanzado el máximo, los paquetes que se envían o reciben se pierden porque no se puede establecer una nueva conexión. Cuando esto sucede, las aplicaciones que envían y reciben paquetes no pueden comunicarse correctamente.

Para determinar si los paquetes se descartaron porque el tráfico de red de la instancia excedió el número máximo de conexiones que se pueden rastrear, utilice la métrica de rendimiento de red conntrack_allowance_exceeded. Para obtener más información, consulte Monitorear el rendimiento de la red de la instancia EC2.

Las conexiones realizadas a través de un equilibrador de carga de red se rastrean de manera automática, incluso si la configuración del grupo de seguridad no requiere seguimiento. Si supera el número máximo de conexiones que se pueden rastrear por instancia, se recomienda escalar el número de instancias registradas con el equilibrador de carga o el tamaño de instancias registradas con el equilibrador de carga.