Назад | Перейти на главную страницу

злоумышленники обходят aws waf, чтобы напрямую перейти к экземплярам ec2

Моя установка

У меня есть приложение Elastic Beanstalk с общедоступным LoadBalancer и общедоступными IP-адресами на EC2. Приложение находится за CloudFront, который защищен AWS WAF от различных атак, с которыми я сейчас сталкиваюсь. Route 53 перенаправляет запросы DNS к CloudFront.

Моя проблема

WAF есть только на CloudFront. По-прежнему существует общедоступное DNS-имя Elastic Beanstalk, общедоступное DNS-имя эластичного балансировщика нагрузки и общедоступный IP-адрес экземпляра EC2. Злоумышленники бьют их и обходят WAF.

Мой запрос

Мне не нужно ничего, кроме CloudFront, для доступа в Интернет. Как мне удалить все общедоступные DNS и IP-адреса из всех или хотя бы некоторых из этих ресурсов, чтобы они все еще работали? В идеале CloudFront будет пересылать запросы через внутренний домен Amazon.

Что я пробовал

Я попытался установить для ELB частный режим на вкладке «Конфигурация сети» BeanStalk, но это не удалось. При установке для публичного IP-адреса значения false он просто перестает работать с ошибкой 502

Вам необходимо изменить группы безопасности, чтобы только IP-адреса CloudFront могли связываться с сервером. Вы также можете внести свой собственный IP-адрес в белый список. Их ключ - впускать только выбранные адреса.

это Пример кода AWS обновит вашу группу безопасности при изменении IP-адресов CloudFront. Я подозреваю, что он выполнит начальную настройку за вас после того, как вы развернете функцию и создадите требуемые группы безопасности. Из-за количества диапазонов IP-адресов CloudFront использует четыре группы безопасности, и это нормально, вы можете связать их все с балансировщиком нагрузки и / или экземпляром EC2.

Вы можете скачать IP-адреса AWS здесь, отфильтруйте CLOUDFRONT для этих IP-адресов, если вы хотите сделать это вручную. Остерегайтесь изменения диапазонов IP-адресов, в результате чего некоторые узлы CloudFront не смогут связаться с вашим сервером, если вы сделаете это вручную.

Обратите внимание, что вы не можете использовать NACL, поскольку они имеют слишком низкий лимит. Интересно, что NACL работают на аппаратном обеспечении экземпляра (возможно, сейчас на карте Nitro), но если вы находитесь под DDOS, NACL отправляются в CloudFront, чтобы отклонять трафик на границе. Я считаю, что группы безопасности также работают на аппаратном обеспечении экземпляра или на нитрокарте, но, конечно же, управляются AWS.