Esta es la guía del usuario de Amazon Inspector Classic. Para obtener más información acerca de Amazon Inspector, consulte la Guía del usuario de Amazon Inspector. Para acceder a la consola de Amazon Inspector Classic, abra la consola de Amazon Inspector en https://console.aws.amazon.com/inspector/
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Accesibilidad de red
Las reglas del paquete de accesibilidad de red analizan las configuraciones de red para buscar detectar de seguridad en las instancias de EC2. Los hallazgos que genera Amazon Inspector también ofrecen asesoramiento sobre la restricción del acceso que no es seguro.
El paquete de reglas de accesibilidad de la red utiliza la última tecnología de la iniciativa AWS Provable Security
Los hallazgos generados por estas reglas muestran si se puede acceder a los puertos desde Internet mediante una gateway de Internet (incluidas las instancias situadas detrás de balanceadores de carga de aplicaciones o balanceadores de carga clásicos), una interconexión con VPC o una VPN a través de una gateway virtual. Estos hallazgos también resaltan las configuraciones de red que permiten un posible acceso malintencionado, tales como grupos de seguridad mal administrados, ACL, IGW, etc.
Estas reglas ayudan a automatizar la monitorización de las redes de AWS e identificar dónde podría haber problemas de configuración con el acceso de red a las instancias de EC2. Al incluir este paquete en la ejecución de evaluación, puede implementar comprobaciones de seguridad de red detalladas sin necesidad de instalar escáneres y enviar paquetes, que son complejos y costosos de mantener, especialmente a través de interconexiones VPC y VPN.
importante
No es necesario un agente de Amazon Inspector Classic para evaluar su instancia de EC2 con este paquete de reglas. Sin embargo, un agente instalado puede proporcionar información acerca de la presencia de cualquier proceso que escuche en los puertos. No instale un agente en un sistema operativo que no sea compatible con Amazon Inspector Classic. Si hay un agente presente en una instancia que ejecuta un sistema operativo no compatible, el paquete de reglas de accesibilidad de red no funcionará en esa instancia.
Para obtener más información, consulte Paquetes de reglas de Amazon Inspector Classic para sistemas operativos compatibles.
Configuraciones analizadas
Las reglas de accesibilidad de red analizan la configuración de las siguientes entidades en busca de vulnerabilidades:
Rutas de accesibilidad
Las reglas de accesibilidad de red comprueban las siguientes rutas de accesibilidad, que corresponden a las formas en que se puede acceder a los puertos desde fuera de la VPC:
-
Internet: gateways de Internet (incluidos balanceadores de carga de aplicaciones y balanceadores de carga clásicos) -
PeeredVPC: interconexiones de VPC -
VGW: gateways privadas virtuales
Tipos de hallazgos
Una evaluación que incluye el paquete de reglas de accesibilidad de red puede devolver los siguientes tipos de hallazgos para cada ruta de accesibilidad:
RecognizedPort
Un puerto que se suele utilizar para un servicio conocido es accesible. Si existe un agente en la instancia de EC2 de destino, el resultado generado también indicará si hay un proceso de escucha activo en el puerto. Los hallazgos de este tipo reciben una gravedad en función de cómo afecta a la seguridad del servicio conocido:
-
RecognizedPortWithListener: se puede acceder externamente a un puerto reconocido desde la Internet pública a través de un componente de red específico, y un proceso está escuchando en el puerto. -
RecognizedPortNoListener: se puede acceder externamente a un puerto desde la Internet pública a través de un componente de red específico y no hay procesos que lo escuchen en el puerto. -
RecognizedPortNoAgent: se puede acceder externamente a un puerto desde la Internet pública a través de un componente de red específico. La presencia de un proceso que escucha en el puerto no se pueden determinar sin necesidad de instalar un agente en la instancia de destino.
En la siguiente tabla, se muestra una lista de los puertos reconocidos:
|
Servicio |
Puertos TCP |
Puertos UDP |
|---|---|---|
|
SMB |
445 |
445 |
|
NetBIOS |
137, 139 |
137, 138 |
|
LDAP |
389 |
389 |
|
LDAP sobre TLS |
636 |
|
|
LDAP catálogo global |
3268 |
|
|
LDAP catálogo global sobre TLS |
3269 |
|
|
NFS |
111, 2049, 4045, 1110 |
111, 2049, 4045, 1110 |
|
Kerberos |
88, 464, 543, 544, 749, 751 |
88, 464, 749, 750, 751, 752 |
|
RPC |
111, 135, 530 |
111, 135, 530 |
|
WINS |
1512, 42 |
1512, 42 |
|
DHCP |
67, 68, 546, 547 |
67, 68, 546, 547 |
|
Syslog |
601 |
514 |
|
Servicios de impresión |
515 |
|
|
Telnet |
23 |
23 |
|
FTP |
21 |
21 |
|
SSH |
22 |
22 |
|
RDP |
3389 |
3389 |
|
MongoDB |
27017, 27018, 27019, 28017 |
|
|
SQL Server |
1433 |
1434 |
|
MySQL |
3306 |
|
|
PostgreSQL |
5432 |
|
|
Oracle |
1521, 1630 |
|
|
Elasticsearch |
9300, 9200 |
|
|
HTTP |
80 | 80 |
|
HTTPS |
443 | 443 |
UnrecogizedPortWithListener
Un puerto que no aparece en la lista de la tabla anterior es accesible y tiene un proceso de escucha activo en él. Dado que los resultados de este tipo muestran información acerca de los procesos de escucha, solo se pueden generar cuando hay un agente de Amazon Inspector instalado en la instancia de EC2 de destino. A los hallazgos de este tipo se les asigna una gravedad Low (Baja).
NetworkExposure
Los resultados de este tipo muestran información agregada sobre los puertos a los que se puede acceder en la instancia de EC2. Para cada combinación de interfaces de red elásticas y grupos de seguridad en la instancia de EC2, estos resultados muestran el conjunto de rangos de puertos TCP y UDP accesibles. Los hallazgos de este tipo tienen una gravedad de Informational (Informativa).
