こんにちは、コカコーラ大好き、カジです。
システムでの Ingress(受信、入力)ネットワーク制御は、不正アクセスや侵入から保護するために不可欠ですが、Egress(発信、出力)ネットワーク制御は、新たな脅威に対するリスク軽減に同じぐらい有効ですね。 Egress制御はアウトバウンドのトラフィックを管理し、データの流出を防止し、侵害されたシステムからのコマンド アンド コントロール (C2) の通信を遮断できます。また、Log4jなどのゼロデイ脆弱性のリスクを軽減し、さらには初期アクセスを防ぐためにも効果的です。Egress 制御をすることで、潜在的な攻撃対象領域を減らし、ネットワーク内の横方向の動きを阻止できます。
ワークショップの概要
NIS374 Stopping zero-day attacks and ransomware with effective egress controls
In this workshop, learn how to implement AWS security best practices for egress controls with AWS Network Firewall, Amazon Route 53 Resolver DNS Firewall, AWS Firewall Manager, and Amazon CloudWatch to mitigate risks from software supply chain issues, zero-day attacks, cryptomining, and ransomware. You must bring your laptop to participate. You must bring your laptop to participate.
egressとは
以下の図の黄色い矢印の部分になり、アプリケーションサーバなどから、外部へのDNSへの名前解決と脅威となるC2などへの外部通信を遮断することを目的としたLabとなります。
アジェンダ
- lab 1 Amazon Route 53 Resolver DNS Firewall
- lab 1.1 出力 DNS クエリ フィルタリング
- lab 1.2 DNS Firewallで管理されるドメインのリスト
- lab 1.3 クエリログの構成
- lab 2 AWS Network Firewall
- lab 2.1 AWS Network Firewallでの Suricata ルールの使用
- lab 2.2 Route 53 Resolverの回避をブロックする
- lab 2.3 一般的なNetwork攻撃のブロック
- lab 2.4 暗号化された DNS のブロック
- lab 2.5 ドメインベースの許可ポリシーの構築
- lab 2.6 オプション Network Flight Simulator を使用した C2 テスト
- lab 2.7 オプション ステートレス ルールの操作
- lab 3 AWS Firewall マネージャー
Labの流れ
ラボの実施は下記のアーキテクチャからスタートします。Network Firewallはルールなしの状態で構築されています。
(テキストの構成図を引用)
まず、Amazon Route 53 Resolver DNS Firewallでよく悪用されるドメインへの名前解決を遮断し、Network Firewallで、以下の通信を止めるルールを追加していきます。
- DNS over TLS (DoT)のブロック
- DNS over HTTPS (DoH)のブロック
- HTTP通信をブロック
- HTTPS/TLSポート(443)を利用したHTTPダウンロードをブロック
- アウトバンドのFTP通信をブロック
- Log4jで利用するLDAPポートの遮断
- 非標準ポートを介したHTTPアウトバウンドをブロック
- SSHのアウトバウンドをブロック
- SMB通信のアウトバウンドをブロック
終わりに
手順書も英語でしたが、技術用語や普段マネージメントコンソールを触れていれば十分理解できる内容でした。 AWS Network Firewall、Amazon Route 53 DNS Firewallを使用したトラフィックの制御について学ぶことができますし、サンプルのNetwork Firewall Ruleは今後も活用でき、通信テストのスクリプトの便利で具体的なEgressの制御を学べる良いWorkshopでした。 re:inforce用のWorkshopのようですが、一般公開されることを期待しています。
このブログがほんの少しでもお役に立てれば嬉しいです。
2
