Joignabilité de réseau

Important Inspector Classic sera retiré le 18 décembre 2024. Pour supprimer toutes les évaluations de vulnérabilité et d'accessibilité au réseau dans Inspector Classic, puis passer à la nouvelle version d'Inspector, voir. Passage au nouvel Amazon Inspector Pour en savoir plus sur le nouvel Amazon Inspector, consultez Amazon Inspector.

Les règles du package Network Reachability analysent les configurations de votre réseau afin de détecter les failles de sécurité de vos instances EC2. Les résultats qu'Amazon Inspector génère apprennent également à limiter l'accès qui n'est pas sécurisé.

Le package de règles d'accessibilité réseau utilise les dernières technologies issues de l'initiative AWS Provable Security.

Les résultats générés par ces règles montrent si vos connexions sont accessibles depuis Internet via une passerelle Internet (y compris les instances derrière des Équilibreurs de charge d'application ou classiques), une connexion d'appairage de VPC ou une connexion VPN via une passerelle virtuelle. Ces résultats mettent également en évidence les configurations de réseau qui permettent un accès potentiellement malveillant, telles que les groupes de sécurité mal gérés, les listes de contrôle d'accès (ACL), les IGW, et ainsi de suite.

Ces règles permettent d'automatiser la surveillance de vos réseaux AWS et d'identifier les endroits où l'accès réseau à vos instances EC2 est susceptible d'être mal configuré. En incluant ce package dans votre exécution d'évaluation, vous pouvez mettre en œuvre des contrôles de sécurité de réseau détaillés sans avoir à installer les analyseurs et envoyer des paquets qui sont complexes et coûteux à gérer, notamment à travers des connexions d'appairage de VPC et des réseaux privés virtuels.

Important

Un agent Amazon Inspector Classic n'est pas nécessaire pour évaluer vos instances EC2 avec ce package de règles. Toutefois, un agent installé peut fournir des informations sur la présence d'un processus à l'écoute sur les ports. N'installez pas d'agent sur un système d'exploitation non pris en charge par Amazon Inspector Classic. Si un agent est présent sur une instance qui exécute un système d'exploitation non pris en charge, le package de règles de Joignabilité de réseau ne fonctionnera pas sur cette instance.

Pour plus d’informations, consultez Ensembles de règles Amazon Inspector Classic pour les systèmes d'exploitation pris en charge.

Configurations analysées

Les règles de Joignabilité de réseau analysent la configuration des entités suivantes pour des vulnérabilités :

• Instances Amazon EC2

• Application Load Balancers

• Direct Connect

• Elastic Load Balancers

• Interfaces réseau Elastic

• Passerelles Internet (IGW)

• Listes de contrôle d'accès réseau (ACL)

• Tables de routage

• Groupes de sécurité (SG)

• Sous-réseaux

• Virtual Private Clouds (VPC)

• Passerelles privées virtuelles (VGW)

• Connexions d'appairage de VPC

Chemins de joignabilité

Les règles de Joignabilité de réseau vérifient les chemins de joignabilité suivants, qui correspondent aux façons dont vos connexions sont accessibles de l'extérieur de votre VPC :

• Internet - Passerelles Internet (y compris les Équilibreurs de charge d'application et les Équilibreurs de charge classiques)

• PeeredVPC - Connexions d'appairage de VPC

• VGW - Passerelles privées virtuelles

Types de résultats

Une évaluation qui comprend l'ensemble de règles de Joignabilité de réseau peut renvoyer les types suivants de résultats pour chaque chemin de joignabilité :

• RecognizedPort

• UnrecognizedPortWithListener

• NetworkExposure

RecognizedPort

Un port qui est généralement utilisé pour un service bien connu est accessible. Si un agent est présent sur l'instance EC2 cible, le résultat généré indiquera également s'il existe un processus d'écoute actif sur le port. Les résultats de ce type sont indiqués en fonction de la gravité d'un impact de sécurité du service bien connu :

• RecognizedPortWithListener— Un port reconnu est accessible de l'extérieur depuis l'Internet public via un composant réseau spécifique, et un processus est en cours d'écoute sur le port.

• RecognizedPortNoListener— Un port est accessible de l'extérieur depuis l'Internet public via un composant réseau spécifique, et aucun processus n'écoute le port.

• RecognizedPortNoAgent— Un port est accessible de l'extérieur depuis l'Internet public via un composant réseau spécifique. La présence d'un processus d'écoute sur le port ne peut pas être déterminée sans l'installation d'agent sur l'instance cible.

Le tableau suivant présente une liste des ports reconnus :

Service	Ports TCP	Ports UDP
SMB	445	445
NetBIOS	137, 139	137, 138
LDAP	389	389
LDAP via TLS	636
Catalogue global LDAP	3268
Catalogue global LDAP via TLS	3269
NFS	111, 2049, 4045, 1110	111, 2049, 4045, 1110
Kerberos	88, 464, 543, 544, 749, 751	88, 464, 749, 750, 751, 752
RPC	111, 135, 530	111, 135, 530
WINS	1512, 42	1512, 42
DHCP	67, 68, 546, 547	67, 68, 546, 547
Syslog	601	514
Services d'impression	515
Telnet	23	23
FTP	21	21
SSH	22	22
RDP	3389	3389
MongoDB	27017, 27018, 27019, 28017
SQL Server	1433	1434
MySQL	3306
PostgreSQL	5432
Oracle	1521, 1630
Elasticsearch	9300, 9200
HTTP	80	80
HTTPS	443	443

UnrecogizedPortWithListener

Un port qui n'est pas répertorié dans le tableau précédent est accessible et dispose d'un processus d'écoute actif. Les résultats de ce type contenant des informations sur les processus d'écoute, ils ne peuvent être générés que lorsqu'un agent Amazon Inspector est installé sur l'instance EC2 cible. Les résultats de ce type sont indiqués à faible gravité.

NetworkExposure

Les résultats de ce type présentent des informations agrégées sur les ports accessibles sur votre instance EC2. Pour chaque combinaison d'interfaces réseau élastiques et de groupes de sécurité sur une instance EC2, ces résultats indiquent l'ensemble accessible de plages de ports TCP et UDP. Les résultats de ce type disposent d'une sévérité Informative.