AWS Network Firewallの入門

2021/10/05 2021/10/05

公式のGetting started with AWS Network Firewallを参考に試してみました。

構成

最終形はこうなるように試してみました。
VPCのサブネットはあらかじめ作成しておきました。

ルールグループの作成

ステートレスルールを選択して作成しました。
キャパシティはチュートリアルどおり10にしました。

これもチュートリアルどおり、アクションはドロップで、指定のCIDRを設定しました。

これでステートレスルールの設定は完了です。
存在しないIPアドレスに設定しても面白くないので、後に送信元をVPCのCIDRにして、実在するWebサーバーへの送信をブロックしてみました。

ステートフルルールも作成しました。
5-tuple、Domain list、Suricata互換のIPSルールから選択できますが、Suricata互換のIPSルールを選択しました。

drop tls $HOME_NET any -> $EXTERNAL_NET any (tls.sni; content:"evil.com"; startswith; nocase; endswith; msg:"matching TLS denylisted FQDNs"; priority:1; flow:to_server, established; sid:1; rev:1; gid:255;)

1 2	drop tls $HOME_NET any -> $EXTERNAL_NET any (tls.sni; content:"evil.com"; startswith; nocase; endswith; msg:"matching TLS denylisted FQDNs"; priority:1; flow:to_server, established; sid:1; rev:1; gid:255;)

stateful rule is invalid, rule: drop tls $HOME_NET any -> $EXTERNAL_NET any (tls.sni; content:”evil.com”; startswith; nocase; endswith; msg:”matching TLS denylisted FQDNs”; priority:1; flow:to_server, established; sid:1; rev:1; gid:255;) , reason: GIDs are not allowed. Illegal option(s): [gid:255]

チュートリアルの上記のルールでは、gidをサポートしてないってエラーになったので、最終的にgidを抜いて作りました。

drop tls $HOME_NET any -> $EXTERNAL_NET any (tls.sni; content:"evil.com"; startswith; nocase; endswith; msg:"matching TLS denylisted FQDNs"; priority:1; flow:to_server, established; sid:1; rev:1;)

1 2	drop tls $HOME_NET any -> $EXTERNAL_NET any (tls.sni; content:"evil.com"; startswith; nocase; endswith; msg:"matching TLS denylisted FQDNs"; priority:1; flow:to_server, established; sid:1; rev:1;)

ステートフルとステートレスのルールができました。

ルールポリシーの作成

先程作ったステートレスルールとステートフルルールを選択しました。

ファイヤーウォールの作成

Network Firewall用に作成したサブネットを指定しました。

さきほど作成したポリシーを関連付けしました。

ログの設定

アラートが出力されるように設定しました。

ルートテーブルの設定

以下を追加しました。

IGWイングレスルートテーブル

FirewallエンドポイントのVPCエンドポイントIDをターゲットとして、NATゲートウェイが配置されたサブネットを指定しました。

Firewallエンドポイントのサブネット

0.0.0.0/0へのターゲットにインターネットゲートウェイを指定しました。

NATゲートウェイのサブネット

0.0.0.0/0へのターゲットにFirewallエンドポイントのVPCエンドポイントIDを指定しました。

プライベートサブネット

従来のプライベートサブネットと変わりなく、NATゲートウェイへ向けています。

確認

SSMManagedInstanceCoreポリシーをアタッチしたIAMロールを設定したEC2インスタンスをプライベートサブネットで起動して、セッションマネージャで接続しました。

Suricata互換のIPSルールでは、どうやら”https://evil.com”へのリクエストがブロックされるのかなと思い試しました。
念の為、手元のMacからは、https://evil.comもhttps://www.evil.comも接続できることを確認しています。

$ curl -I https://www.evil.com
HTTP/1.1 200 OK
Date: Mon, 13 Sep 2021 12:16:55 GMT
Content-Type: text/html
Content-Length: 3812
Connection: keep-alive
Server: Apache/2
Last-Modified: Tue, 05 Jan 2021 00:34:04 GMT
Accept-Ranges: bytes
Cache-Control: max-age=3600
Etag: "ee4-5b81c5d245ae6"
Expires: Mon, 13 Sep 2021 12:20:05 GMT
Age: 3410

$ curl -I https://evil.com
curl: (28) Operation timed out after 300519 milliseconds with 0 out of 0 bytes received

$ curl -I https://www.evil.com

HTTP/1.1 200 OK

Date: Mon, 13 Sep 2021 12:16:55 GMT

Content-Type: text/html

Content-Length: 3812

Connection: keep-alive

Server: Apache/2

Last-Modified: Tue, 05 Jan 2021 00:34:04 GMT

Accept-Ranges: bytes

Cache-Control: max-age=3600

Etag: "ee4-5b81c5d245ae6"

Expires: Mon, 13 Sep 2021 12:20:05 GMT

Age: 3410

$ curl -I https://evil.com

curl: (28) Operation timed out after 300519 milliseconds with 0 out of 0 bytes received

ステートフルルールが効いているようです。

CloudWatch Logsにもalertログが出力されていました。

{
    "firewall_name": "DemoNFW",
    "availability_zone": "us-east-1a",
    "event_timestamp": "1631535433",
    "event": {
        "timestamp": "2021-09-13T12:17:13.926969+0000",
        "flow_id": 1554871598306309,
        "event_type": "alert",
        "src_ip": "10.0.0.215",
        "src_port": 14456,
        "dest_ip": "66.96.146.129",
        "dest_port": 443,
        "proto": "TCP",
        "tx_id": 0,
        "alert": {
            "action": "blocked",
            "signature_id": 1,
            "rev": 1,
            "signature": "matching TLS denylisted FQDNs",
            "category": "",
            "severity": 1
        },
        "tls": {
            "sni": "evil.com",
            "version": "UNDETERMINED",
            "ja3": {},
            "ja3s": {}
        },
        "app_proto": "tls"
    }
}

{

"firewall_name": "DemoNFW",

"availability_zone": "us-east-1a",

"event_timestamp": "1631535433",

"event": {

"timestamp": "2021-09-13T12:17:13.926969+0000",

"flow_id": 1554871598306309,

"event_type": "alert",

"src_ip": "10.0.0.215",

"src_port": 14456,

"dest_ip": "66.96.146.129",

"dest_port": 443,

"proto": "TCP",

"tx_id": 0,

"alert": {

"action": "blocked",

"signature_id": 1,

"rev": 1,

"signature": "matching TLS denylisted FQDNs",

"category": "",

"severity": 1

"tls": {

"sni": "evil.com",

"version": "UNDETERMINED",

"ja3": {},

"ja3s": {}

"app_proto": "tls"

}

最後までお読みいただきましてありがとうございました！

【PR】「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】「AWSではじめるLinux入門ガイド」という本を書きました。

【PR】「ポケットスタディ AWS認定デベロッパーアソシエイト」という本を書きました。

【PR】「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, vpc

: Amazon Chimeのチャットを使ってみました

Amazon Chimeはビデオミーティングや配信したりというサービスですが、チ …

: Amazon EC2のスクリーンショットとは

ドキュメント見てたらAmazon EC2でスクリーンショットって機能があったので …

: AWS Lambda(Python)で生成した文字をAmazon Connectで音声を設定して発信する

Amazon Connectから発信する電話の音声を動的に設定します。 Lamb …

: WordPressのwp-login.php , xmlrpc.phpへのアクセスをAWS WAFで接続元IPアドレスを制限する

AWS CloudWatch LogsエージェントでAmazon EC2上のNg …

: AMIをOrganizations組織で共有しました

よく使うAMIをOrganizations組織内のリソースパブリッシュ用のアカウ …

: WordPress W3 Total Cache のDatabaseCacheをAmazon ElastiCacheのmemcachedに格納する

このブログのアーキテクチャは現在こちらです。データベースは、Amazon Au …

: AWS BackupでRDSスナップショットをクロスリージョンコピー

クロスリージョンでコピーしたい対象と理由このブログはブログのアーキテクチャをコ …

: 既存のAWSアカウントをAWS Control Towerに追加

Account Factoryからは既存アカウントは追加できない？ AWS Co …

: CloudFormationドリフト検出

CloudFormationスタックのドリフト検出を確認しました。 CloudF …

: Amazon SNSサブスクリプションフィルターで優先度別のSQSキューにサブスクライブする

EC2のコンシューマーアプリケーションは優先度の高いキューのメッセージを先に処理 …

PREV: AWS Systems Manager Session Managerでログを有効にする
NEXT: Amazon ECS Workshop for AWS Summit Online

AWS Network Firewallの入門

構成

ルールグループの作成

ルールポリシーの作成

ファイヤーウォールの作成

ログの設定

ルートテーブルの設定

IGWイングレスルートテーブル

Firewallエンドポイントのサブネット

NATゲートウェイのサブネット

プライベートサブネット

確認

ad

ad

関連記事

Amazon Chimeのチャットを使ってみました

Amazon EC2のスクリーンショットとは

AWS Lambda(Python)で生成した文字をAmazon Connectで音声を設定して発信する

WordPressのwp-login.php , xmlrpc.phpへのアクセスをAWS WAFで接続元IPアドレスを制限する

AMIをOrganizations組織で共有しました

WordPress W3 Total Cache のDatabaseCacheをAmazon ElastiCacheのmemcachedに格納する

AWS BackupでRDSスナップショットをクロスリージョンコピー

既存のAWSアカウントをAWS Control Towerに追加

CloudFormationドリフト検出

Amazon SNSサブスクリプションフィルターで優先度別のSQSキューにサブスクライブする