Este é o manual do usuário do Amazon Inspector Classic. Para obter informações sobre o novo Amazon Inspector, consulte o Guia do usuário do Amazon Inspector. Para acessar o console do Amazon Inspector Classic, abra o console do Amazon Inspector em https://console.aws.amazon.com/inspector/
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Acessibilidade de rede
ImportanteO Inspector Classic será aposentado em 18 de dezembro de 2024. Para excluir todas as avaliações de vulnerabilidade e acessibilidade de rede no Inspector Classic e, em seguida, passar para a nova versão do Inspector, consulte. Mudando para o novo Amazon Inspector Para saber mais sobre o novo Amazon Inspector, consulte Amazon Inspector |
As regras no pacote de regras de acessibilidade de rede analisam suas configurações de rede para encontrar vulnerabilidades de segurança de suas instâncias do EC2. As descobertas que o Amazon Inspector gera também fornecem orientações sobre como restringir o acesso que não é seguro.
O pacote de regras de acessibilidade de rede usa a tecnologia mais recente da iniciativa AWS Provable Security
As descobertas geradas por essas regras mostram se as portas podem ser acessadas pela Internet por meio de um gateway de Internet (incluindo instâncias atrás de Application Load Balancers ou Classic Load Balancers), uma conexão de emparelhamento de VPC ou uma VPN por meio de um gateway virtual. Esses resultados também destacam configurações de rede que permitem acessos potencialmente mal-intencionados, como grupos de segurança, IGWs ACLs, e assim por diante.
Essas regras ajudam a automatizar o monitoramento de suas redes da AWS e a identificar onde o acesso à rede para sua instância do EC2 pode estar configurado incorretamente. Incluindo esse pacote em sua execução de avaliação, você pode implementar as verificações de segurança de rede sem a necessidade de instalar scanners e enviar pacotes, que é complexo e caro para manter, especialmente em conexões de emparelhamento de VPCs e VPNs.
Importante
Um agente Amazon Inspector Classic não é necessário para avaliar suas instâncias do EC2 com esse pacote de regras. No entanto, um agente instalado pode fornecer informações sobre a presença de todos os processos de escuta nas portas. Não instale um agente em um sistema operacional incompatível com o Amazon Inspector Classic. Se um agente estiver presente em uma instância que executa um sistema operacional incompatível, o pacote de regras de acessibilidade de rede não funcionará nessa instância.
Para ter mais informações, consulte Pacotes de regras do Amazon Inspector Classic para sistemas operacionais compatíveis.
Configurações analisadas
Regras de Acessibilidade de rede analisam a configuração das seguintes entidades de vulnerabilidades:
Rotas de acessibilidade
Regras de acessibilidade de rede verificam as seguintes rotas de acessibilidade, que corresponde às formas nas quais suas portas podem ser acessadas de fora de sua VPC:
-
Internet- Gateways da Internet (incluindo Application Load Balancers e Classic Load Balancers) -
PeeredVPC- Conexões de emparelhamento de VPC -
VGW- Gateways privados virtuais
Tipos de descoberta
Uma avaliação que inclui pacote de regras de Acessibilidade de rede pode retornar os seguintes tipos de descobertas para cada rota de acessibilidade:
RecognizedPort
Uma porta que normalmente é usada para um serviço é acessível. Se um agente estiver presente na instância do EC2 de destino, a descoberta gerada também indicará se há um processo de escuta ativo na porta. Descobertas desse tipo recebem uma gravidade com base no impacto de segurança do serviço conhecido:
-
RecognizedPortWithListener– Uma porta reconhecida é alcançada externamente da Internet pública por meio de um componente de rede específico, e um processo está escutando na porta. -
RecognizedPortNoListener– Uma porta é acessível externamente da Internet pública por meio de um componente de rede específico, e não há processos escutando na porta. -
RecognizedPortNoAgent– Uma porta é externamente acessível pela Internet pública por meio de um componente de rede específico. A presença de um processo de escuta na porta não pode ser determinada sem instalar um agente na instância de destino.
A tabela a seguir mostra uma lista de portas reconhecidas:
|
Serviço |
Portas TCP |
Portas UDP |
|---|---|---|
|
SMB |
445 |
445 |
|
NetBIOS |
137, 139 |
137, 138 |
|
LDAP |
389 |
389 |
|
LDAP por TLS |
636 |
|
|
LDAP de catálogo global |
3268 |
|
|
LDAP de catálogo global sobre TLS |
3269 |
|
|
NFS |
111, 2049, 4045, 1110 |
111, 2049, 4045, 1110 |
|
Kerberos |
88, 464, 543, 544, 749, 751 |
88, 464, 749, 750, 751, 752 |
|
RPC |
111, 135, 530 |
111, 135, 530 |
|
WINS |
1512, 42 |
1512, 42 |
|
DHCP |
67, 68, 546, 547 |
67, 68, 546, 547 |
|
Syslog |
601 |
514 |
|
Serviços de impressão |
515 |
|
|
Telnet |
23 |
23 |
|
FTP |
21 |
21 |
|
SSH |
22 |
22 |
|
RDP |
3389 |
3389 |
|
MongoDB |
27017, 27018, 27019, 28017 |
|
|
SQL Server |
1433 |
1434 |
|
MySQL |
3306 |
|
|
PostgreSQL |
5432 |
|
|
Oracle |
1521, 1630 |
|
|
Elasticsearch |
9300, 9200 |
|
|
HTTP |
80 | 80 |
|
HTTPS |
443 | 443 |
UnrecogizedPortWithListener
Uma porta que não esteja listada na tabela anterior deve ser acessível e ter um processo de escuta ativo. Como as descobertas desse tipo mostram informações sobre processos de escuta, elas só podem ser geradas quando um agente do Amazon Inspector está instalado na instância do EC2 de destino. As descobertas deste tipo são determinadas como de gravidade Baixa.
NetworkExposure
As descobertas desse tipo mostram informações agregadas nas portas que estão disponíveis em sua instância do EC2. Para cada combinação de interfaces de rede elástica e grupos de segurança em uma instância do EC2, essas descobertas mostram o conjunto acessível de intervalos de portas TCP e UDP. As descobertas deste tipo tem a gravidade de Informação.
