Jak deaktivovat metadata AWS EC2?

autor:
Tweet
Share
Share
Pin

Tento článek vás naučí o metadatech EC2 a o tom, proč jsou důležitá. Dozvíte se také, jak deaktivovat metadata, abyste se chránili před útoky, jako je SSRF.

Amazon Web Services (AWS) má službu Amazon Elastic Compute Cloud (Amazon EC2), která poskytuje škálovatelné možnosti zpracování. Pomocí Amazon EC2 můžete vyvíjet a nasazovat aplikace rychleji, aniž byste museli předem investovat do hardwaru.

V závislosti na vašich potřebách spusťte tolik nebo jen málo virtuálních serverů. Nastavte síť a nastavení zabezpečení a ovládejte úložiště pomocí Amazon EC2.

Informace o vaší instanci, které lze přizpůsobit nebo spravovat v běžící instanci, se nazývají metadata instance. Kategorie metadat instance zahrnují název hostitele, události a skupiny zabezpečení. Navíc můžete přistupovat k uživatelským datům, která jste zadali při spouštění instance, pomocí metadat instance.

Při konfiguraci instance můžete zahrnout krátký skript nebo zadat parametry. Pomocí uživatelských dat můžete vytvářet generické rozhraní AMI a měnit konfigurační soubory při spuštění.

Pomocí voleb metadat instance můžete nastavit nové nebo existující instance k provádění následujících úloh:

  • Vyžadovat odeslání požadavků na metadata instance prostřednictvím IMDSv2
  • Vložte limit skoku odezvy PUT.
  • Uzamčení přístupu k metadatům instance
  8 Proxy služeb ISP k použití právě teď

K metadatům z aktivní instance EC2 je možné přistupovat pomocí jedné z následujících technik: IMDSv1sIMDSv2

Služba metadat instance je známá jako IMDS. Jak můžete předpokládat, metodiky se mírně liší; IMDSv1 využívá metodu požadavek/odpověď, zatímco IMDSv2 je orientovaný na relaci.

AWS vás vyzývá, abyste používali IMDSv2, což je preferovaná metoda. Ve výchozím nastavení používá sada AWS SDK volání IMDSv2 a můžete vyžadovat, aby uživatelé nakonfigurovali nový EC2 s povoleným IMDSv2 pomocí klíčů podmínek IAM v zásadách IAM.

K zobrazení všech typů metadat instance ze spuštěné instance použijte následující identifikátory URI IPv4 nebo IPv6.

IPv4

curl http://169.254.169.254/latest/meta-data/

IPv6

curl http://[fd00:ec2::254]/nejnovější/meta-data/

IP adresy jsou lokální adresy a jsou platné pouze z instance.

K zobrazení metadat instance můžete použít pouze místní adresu odkazu 169.254.169.254 . Žádosti o metadata prostřednictvím URI jsou bezplatné, takže ze strany AWS nejsou účtovány žádné další poplatky.

Potřeba deaktivace metadat

V nastaveních AWS je útok SSRF častý a všem dobře známý. Společnost Mandiant (firma pro kybernetickou bezpečnost) našla útočníky, kteří automatizují skenování zranitelnosti a shromažďují přihlašovací údaje IAM z veřejně přístupných online aplikací.

  Jak vytvořit a aktualizovat tabulku obrázků v aplikaci Microsoft Word

Implementace IMDSv2 pro všechny instance EC2, která má další bezpečnostní výhody, by tato rizika pro vaši společnost snížila. Možnost, že by nepřítel ukradl přihlašovací údaje IAM přes SSRF, by se s IMDSv2 výrazně snížila.

Použití SSRF (Server Side Request Forgery) k získání přístupu ke službě metadat EC2 je jednou z technik využívání AWS, která se nejčastěji učí.

Služba metadat je dostupná pro většinu instancí EC2 na čísle 169.254.169.254. Obsahuje užitečné informace o instanci, jako je její IP adresa, název skupiny zabezpečení atd.

Pokud je k instanci EC2 připojena role IAM, bude služba metadat obsahovat také pověření IAM pro ověření této role. Tyto přihlašovací údaje můžeme ukrást v závislosti na používané verzi IMDS a možnostech SSRF.

Rovněž stojí za zvážení, že tyto přihlašovací údaje by mohl získat protivník s přístupem k instanci EC2.

V tomto příkladu běží webový server na portu 80 instance EC2. Tento webový server má jednoduchou zranitelnost SSRF, která nám umožňuje odesílat požadavky GET na libovolnou adresu. To lze použít k odeslání požadavku na http://169.254.169.254.

Chcete-li zakázat metadata

Zablokováním koncového bodu HTTP služby metadat instance můžete zabránit přístupu k metadatům instance bez ohledu na to, kterou verzi služby metadat instance používáte.

  8 Otázky a odpovědi úhlového rozhovoru [2022]

Tuto změnu můžete kdykoli vrátit povolením koncového bodu HTTP. Chcete-li zakázat metadata pro vaši instanci, použijte příkaz příkazového rozhraní příkazového řádku upravit-instance-metadata-options a nastavte parametr http-endpoint na vypnuto.

Chcete-li zakázat metadata, spusťte tento příkaz:

aws ec2 upravit-instance-metadata-options –instance-id i-0558ea153450674 –http-endpoint vypnuto

deaktivace metadat

Můžete vidět, že poté, co zakážu svá metadata, při pokusu o přístup k nim dostanu zprávu ZAKÁZÁNO.

Pokud chcete metadata znovu povolit, spusťte tento příkaz:

aws ec2 upravit-instance-metadata-options –id-instance i-0558ea153450674 – povoleno http-endpoint

znovu aktivovat metadata

Závěr

Metadata mohou být užitečná pro extrakci informací z velkých datových úložišť. Lze jej však také zneužít k tomu, abychom věděli o poloze nebo identitě osoby bez jejího vědomí nebo souhlasu. Protože zaznamenává každou změnu, kterou provedete, včetně smazání a komentářů, musíte si být vědomi toho, že může obsahovat informace, které nechcete, aby ostatní viděli. V důsledku toho je odstranění metadat zásadní pro zachování vašeho online soukromí a anonymity.

Můžete také prozkoumat některé klíčové terminologie AWS, které rozšiřují vaše učení AWS.