AWS Network Firewallの入門

2021/10/05 2021/10/05

公式のGetting started with AWS Network Firewallを参考に試してみました。

構成

最終形はこうなるように試してみました。
VPCのサブネットはあらかじめ作成しておきました。

ルールグループの作成

ステートレスルールを選択して作成しました。
キャパシティはチュートリアルどおり10にしました。

これもチュートリアルどおり、アクションはドロップで、指定のCIDRを設定しました。

これでステートレスルールの設定は完了です。
存在しないIPアドレスに設定しても面白くないので、後に送信元をVPCのCIDRにして、実在するWebサーバーへの送信をブロックしてみました。

ステートフルルールも作成しました。
5-tuple、Domain list、Suricata互換のIPSルールから選択できますが、Suricata互換のIPSルールを選択しました。

drop tls $HOME_NET any -> $EXTERNAL_NET any (tls.sni; content:"evil.com"; startswith; nocase; endswith; msg:"matching TLS denylisted FQDNs"; priority:1; flow:to_server, established; sid:1; rev:1; gid:255;)

1 2	drop tls $HOME_NET any -> $EXTERNAL_NET any (tls.sni; content:"evil.com"; startswith; nocase; endswith; msg:"matching TLS denylisted FQDNs"; priority:1; flow:to_server, established; sid:1; rev:1; gid:255;)

stateful rule is invalid, rule: drop tls $HOME_NET any -> $EXTERNAL_NET any (tls.sni; content:”evil.com”; startswith; nocase; endswith; msg:”matching TLS denylisted FQDNs”; priority:1; flow:to_server, established; sid:1; rev:1; gid:255;) , reason: GIDs are not allowed. Illegal option(s): [gid:255]

チュートリアルの上記のルールでは、gidをサポートしてないってエラーになったので、最終的にgidを抜いて作りました。

drop tls $HOME_NET any -> $EXTERNAL_NET any (tls.sni; content:"evil.com"; startswith; nocase; endswith; msg:"matching TLS denylisted FQDNs"; priority:1; flow:to_server, established; sid:1; rev:1;)

1 2	drop tls $HOME_NET any -> $EXTERNAL_NET any (tls.sni; content:"evil.com"; startswith; nocase; endswith; msg:"matching TLS denylisted FQDNs"; priority:1; flow:to_server, established; sid:1; rev:1;)

ステートフルとステートレスのルールができました。

ルールポリシーの作成

先程作ったステートレスルールとステートフルルールを選択しました。

ファイヤーウォールの作成

Network Firewall用に作成したサブネットを指定しました。

さきほど作成したポリシーを関連付けしました。

ログの設定

アラートが出力されるように設定しました。

ルートテーブルの設定

以下を追加しました。

IGWイングレスルートテーブル

FirewallエンドポイントのVPCエンドポイントIDをターゲットとして、NATゲートウェイが配置されたサブネットを指定しました。

Firewallエンドポイントのサブネット

0.0.0.0/0へのターゲットにインターネットゲートウェイを指定しました。

NATゲートウェイのサブネット

0.0.0.0/0へのターゲットにFirewallエンドポイントのVPCエンドポイントIDを指定しました。

プライベートサブネット

従来のプライベートサブネットと変わりなく、NATゲートウェイへ向けています。

確認

SSMManagedInstanceCoreポリシーをアタッチしたIAMロールを設定したEC2インスタンスをプライベートサブネットで起動して、セッションマネージャで接続しました。

Suricata互換のIPSルールでは、どうやら”https://evil.com”へのリクエストがブロックされるのかなと思い試しました。
念の為、手元のMacからは、https://evil.comもhttps://www.evil.comも接続できることを確認しています。

$ curl -I https://www.evil.com
HTTP/1.1 200 OK
Date: Mon, 13 Sep 2021 12:16:55 GMT
Content-Type: text/html
Content-Length: 3812
Connection: keep-alive
Server: Apache/2
Last-Modified: Tue, 05 Jan 2021 00:34:04 GMT
Accept-Ranges: bytes
Cache-Control: max-age=3600
Etag: "ee4-5b81c5d245ae6"
Expires: Mon, 13 Sep 2021 12:20:05 GMT
Age: 3410

$ curl -I https://evil.com
curl: (28) Operation timed out after 300519 milliseconds with 0 out of 0 bytes received

$ curl -I https://www.evil.com

HTTP/1.1 200 OK

Date: Mon, 13 Sep 2021 12:16:55 GMT

Content-Type: text/html

Content-Length: 3812

Connection: keep-alive

Server: Apache/2

Last-Modified: Tue, 05 Jan 2021 00:34:04 GMT

Accept-Ranges: bytes

Cache-Control: max-age=3600

Etag: "ee4-5b81c5d245ae6"

Expires: Mon, 13 Sep 2021 12:20:05 GMT

Age: 3410

$ curl -I https://evil.com

curl: (28) Operation timed out after 300519 milliseconds with 0 out of 0 bytes received

ステートフルルールが効いているようです。

CloudWatch Logsにもalertログが出力されていました。

{
    "firewall_name": "DemoNFW",
    "availability_zone": "us-east-1a",
    "event_timestamp": "1631535433",
    "event": {
        "timestamp": "2021-09-13T12:17:13.926969+0000",
        "flow_id": 1554871598306309,
        "event_type": "alert",
        "src_ip": "10.0.0.215",
        "src_port": 14456,
        "dest_ip": "66.96.146.129",
        "dest_port": 443,
        "proto": "TCP",
        "tx_id": 0,
        "alert": {
            "action": "blocked",
            "signature_id": 1,
            "rev": 1,
            "signature": "matching TLS denylisted FQDNs",
            "category": "",
            "severity": 1
        },
        "tls": {
            "sni": "evil.com",
            "version": "UNDETERMINED",
            "ja3": {},
            "ja3s": {}
        },
        "app_proto": "tls"
    }
}