Ini adalah panduan pengguna untuk Amazon Inspector Classic. Untuk informasi tentang Amazon Inspector yang baru, lihat Panduan Pengguna Amazon Inspector. Untuk mengakses konsol Amazon Inspector Classic, buka konsol Amazon Inspector di
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Keterjangkauan Jaringan
Aturan dalam paket Keterjangkauan Jaringan menganalisis konfigurasi jaringan Anda untuk menemukan kelemahan keamanan instans EC2 Anda. Temuan yang dihasilkan Amazon Inspector juga memberikan panduan tentang membatasi akses yang tidak aman.
Paket aturan Network Reachability menggunakan teknologi terbaru dari inisiatif AWS Provable
Temuan yang dihasilkan oleh aturan ini menunjukkan apakah port Anda dapat dijangkau dari internet melalui gateway internet (termasuk instans di balik Application Load Balancer atau Classic Load Balancer), koneksi peering VPC, atau VPN melalui gateway virtual. Temuan ini juga menyoroti konfigurasi jaringan yang memungkinkan akses yang berpotensi berbahaya, seperti grup keamanan yang salah dikelola, ACL, IGW, dan sebagainya.
Aturan-aturan ini membantu mengotomatiskan pemantauan jaringan AWS Anda dan mengidentifikasi di mana akses jaringan ke instans EC2 Anda mungkin salah dikonfigurasi. Dengan memasukkan paket ini dalam penilaian berjalan Anda, Anda dapat menerapkan pemeriksaan keamanan jaringan detail tanpa harus menginstal pemindai dan mengirim paket, yang kompleks dan mahal untuk dipelihara, terutama di koneksi peering VPC dan VPN.
penting
Agen Amazon Inspector Classic tidak diharuskan untuk menilai instans EC2 Anda dengan paket aturan ini. Namun, agen yang diinstal dapat memberikan informasi tentang adanya proses yang didengarkan pada port. Jangan menginstal agen pada sistem operasi yang tidak didukung Amazon Inspector Classic. Jika agen hadir pada instans yang menjalankan sistem operasi yang tidak didukung, paket aturan Keterjangkauan Jaringan tidak akan bekerja pada instans tersebut.
Untuk informasi selengkapnya, lihat Paket aturan Amazon Inspector Classic untuk sistem operasi yang didukung.
Konfigurasi yang dianalisis
Aturan Keterjangkauan Jaringan menganalisis konfigurasi entitas berikut untuk kelemahan:
Rute keterjangkauan
Aturan Keterjangkauan Jaringan memeriksa rute keterjangkauan berikut, yang sesuai dengan cara di mana port Anda dapat diakses dari luar VPC Anda:
-
Internet- Gateway Internet (termasuk Application Load Balancer dan Classic Load Balancer) -
PeeredVPC- Koneksi peering VPC -
VGW- Virtual private gateway
Jenis temuan
Penilaian yang mencakup paket aturan Keterjangkauan Jaringan dapat mengembalikan jenis temuan berikut untuk setiap rute keterjangkauan:
RecognizedPort
Port yang biasanya digunakan untuk layanan yang dikenal dapat dicapai. Jika agen terdapat pada instans EC2 target, temuan yang dihasilkan juga akan menunjukkan apakah ada proses mendengarkan aktif pada port. Temuan jenis ini diberi tingkat kepelikan berdasarkan dampak keamanan dari layanan yang dikenal:
-
RecognizedPortWithListener– Sebuah port yang dikenal secara eksternal dapat dijangkau dari internet publik melalui komponen jaringan tertentu, dan proses mendengarkan pada port. -
RecognizedPortNoListener– Sebuah port dapat dijangkau secara eksternal dari internet publik melalui komponen jaringan tertentu, dan tidak ada proses mendengarkan pada port. -
RecognizedPortNoAgent– Sebuah port dapat dijangkau secara eksternal dari internet publik melalui komponen jaringan tertentu. Adanya proses mendengarkan pada port tidak dapat ditentukan tanpa menginstal agen pada instans target.
Tabel berikut menunjukkan daftar port yang dikenal:
|
Layanan |
Port TCP |
Port UDP |
|---|---|---|
|
SMB |
445 |
445 |
|
NetBIOS |
137, 139 |
137, 138 |
|
LDAP |
389 |
389 |
|
LDAP melalui TLS |
636 |
|
|
Katalog global LDAP |
3268 |
|
|
Katalog global LDAP melalui TLS |
3269 |
|
|
NFS |
111, 2049, 4045, 1110 |
111, 2049, 4045, 1110 |
|
Kerberos |
88, 464, 543, 544, 749, 751 |
88, 464, 749, 750, 751, 752 |
|
RPC |
111, 135, 530 |
111, 135, 530 |
|
WINS |
1512, 42 |
1512, 42 |
|
DHCP |
67, 68, 546, 547 |
67, 68, 546, 547 |
|
Syslog |
601 |
514 |
|
Layanan cetak |
515 |
|
|
Telnet |
23 |
23 |
|
FTP |
21 |
21 |
|
SSH |
22 |
22 |
|
RDP |
3389 |
3389 |
|
MongoDB |
27017, 27018, 27019, 28017 |
|
|
SQL Server |
1433 |
1434 |
|
MySQL |
3306 |
|
|
PostgreSQL |
5432 |
|
|
Oracle |
1521, 1630 |
|
|
Elasticsearch |
9300, 9200 |
|
|
HTTP |
80 | 80 |
|
HTTPS |
443 | 443 |
UnrecogizedPortWithListener
Port yang tidak tercantum dalam tabel sebelumnya bersifat dapat dijangkau dan memiliki proses mendengarkan aktif. Karena temuan jenis ini menunjukkan informasi tentang proses mendengarkan, mereka dapat dihasilkan hanya ketika agen Amazon Inspector diinstal pada instans EC2 target. Temuan jenis ini diberi kepelikan Rendah.
NetworkExposure
Temuan jenis ini menunjukkan informasi agregat pada port yang dapat dijangkau pada instans EC2 Anda. Untuk setiap kombinasi dari antarmuka jaringan elastis dan grup keamanan pada instans EC2, temuan ini menunjukkan set dapat dijangkau rentang TCP dan UDP port. Temuan jenis ini memiliki tingkat kepelikan Informasi.
