AWS Network Firewallの入門

2021/10/05 2021/10/05

公式のGetting started with AWS Network Firewallを参考に試してみました。

構成

最終形はこうなるように試してみました。
VPCのサブネットはあらかじめ作成しておきました。

ルールグループの作成

ステートレスルールを選択して作成しました。
キャパシティはチュートリアルどおり10にしました。

これもチュートリアルどおり、アクションはドロップで、指定のCIDRを設定しました。

これでステートレスルールの設定は完了です。
存在しないIPアドレスに設定しても面白くないので、後に送信元をVPCのCIDRにして、実在するWebサーバーへの送信をブロックしてみました。

ステートフルルールも作成しました。
5-tuple、Domain list、Suricata互換のIPSルールから選択できますが、Suricata互換のIPSルールを選択しました。

drop tls $HOME_NET any -> $EXTERNAL_NET any (tls.sni; content:"evil.com"; startswith; nocase; endswith; msg:"matching TLS denylisted FQDNs"; priority:1; flow:to_server, established; sid:1; rev:1; gid:255;)

1 2	drop tls $HOME_NET any -> $EXTERNAL_NET any (tls.sni; content:"evil.com"; startswith; nocase; endswith; msg:"matching TLS denylisted FQDNs"; priority:1; flow:to_server, established; sid:1; rev:1; gid:255;)

stateful rule is invalid, rule: drop tls $HOME_NET any -> $EXTERNAL_NET any (tls.sni; content:”evil.com”; startswith; nocase; endswith; msg:”matching TLS denylisted FQDNs”; priority:1; flow:to_server, established; sid:1; rev:1; gid:255;) , reason: GIDs are not allowed. Illegal option(s): [gid:255]

チュートリアルの上記のルールでは、gidをサポートしてないってエラーになったので、最終的にgidを抜いて作りました。

drop tls $HOME_NET any -> $EXTERNAL_NET any (tls.sni; content:"evil.com"; startswith; nocase; endswith; msg:"matching TLS denylisted FQDNs"; priority:1; flow:to_server, established; sid:1; rev:1;)

1 2	drop tls $HOME_NET any -> $EXTERNAL_NET any (tls.sni; content:"evil.com"; startswith; nocase; endswith; msg:"matching TLS denylisted FQDNs"; priority:1; flow:to_server, established; sid:1; rev:1;)

ステートフルとステートレスのルールができました。

ルールポリシーの作成

先程作ったステートレスルールとステートフルルールを選択しました。

ファイヤーウォールの作成

Network Firewall用に作成したサブネットを指定しました。

さきほど作成したポリシーを関連付けしました。

ログの設定

アラートが出力されるように設定しました。

ルートテーブルの設定

以下を追加しました。

IGWイングレスルートテーブル

FirewallエンドポイントのVPCエンドポイントIDをターゲットとして、NATゲートウェイが配置されたサブネットを指定しました。

Firewallエンドポイントのサブネット

0.0.0.0/0へのターゲットにインターネットゲートウェイを指定しました。

NATゲートウェイのサブネット

0.0.0.0/0へのターゲットにFirewallエンドポイントのVPCエンドポイントIDを指定しました。

プライベートサブネット

従来のプライベートサブネットと変わりなく、NATゲートウェイへ向けています。

確認

SSMManagedInstanceCoreポリシーをアタッチしたIAMロールを設定したEC2インスタンスをプライベートサブネットで起動して、セッションマネージャで接続しました。

Suricata互換のIPSルールでは、どうやら”https://evil.com”へのリクエストがブロックされるのかなと思い試しました。
念の為、手元のMacからは、https://evil.comもhttps://www.evil.comも接続できることを確認しています。

$ curl -I https://www.evil.com
HTTP/1.1 200 OK
Date: Mon, 13 Sep 2021 12:16:55 GMT
Content-Type: text/html
Content-Length: 3812
Connection: keep-alive
Server: Apache/2
Last-Modified: Tue, 05 Jan 2021 00:34:04 GMT
Accept-Ranges: bytes
Cache-Control: max-age=3600
Etag: "ee4-5b81c5d245ae6"
Expires: Mon, 13 Sep 2021 12:20:05 GMT
Age: 3410

$ curl -I https://evil.com
curl: (28) Operation timed out after 300519 milliseconds with 0 out of 0 bytes received

$ curl -I https://www.evil.com

HTTP/1.1 200 OK

Date: Mon, 13 Sep 2021 12:16:55 GMT

Content-Type: text/html

Content-Length: 3812

Connection: keep-alive

Server: Apache/2

Last-Modified: Tue, 05 Jan 2021 00:34:04 GMT

Accept-Ranges: bytes

Cache-Control: max-age=3600

Etag: "ee4-5b81c5d245ae6"

Expires: Mon, 13 Sep 2021 12:20:05 GMT

Age: 3410

$ curl -I https://evil.com

curl: (28) Operation timed out after 300519 milliseconds with 0 out of 0 bytes received

ステートフルルールが効いているようです。

CloudWatch Logsにもalertログが出力されていました。

{
    "firewall_name": "DemoNFW",
    "availability_zone": "us-east-1a",
    "event_timestamp": "1631535433",
    "event": {
        "timestamp": "2021-09-13T12:17:13.926969+0000",
        "flow_id": 1554871598306309,
        "event_type": "alert",
        "src_ip": "10.0.0.215",
        "src_port": 14456,
        "dest_ip": "66.96.146.129",
        "dest_port": 443,
        "proto": "TCP",
        "tx_id": 0,
        "alert": {
            "action": "blocked",
            "signature_id": 1,
            "rev": 1,
            "signature": "matching TLS denylisted FQDNs",
            "category": "",
            "severity": 1
        },
        "tls": {
            "sni": "evil.com",
            "version": "UNDETERMINED",
            "ja3": {},
            "ja3s": {}
        },
        "app_proto": "tls"
    }
}

{

"firewall_name": "DemoNFW",

"availability_zone": "us-east-1a",

"event_timestamp": "1631535433",

"event": {

"timestamp": "2021-09-13T12:17:13.926969+0000",

"flow_id": 1554871598306309,

"event_type": "alert",

"src_ip": "10.0.0.215",

"src_port": 14456,

"dest_ip": "66.96.146.129",

"dest_port": 443,

"proto": "TCP",

"tx_id": 0,

"alert": {

"action": "blocked",

"signature_id": 1,

"rev": 1,

"signature": "matching TLS denylisted FQDNs",

"category": "",

"severity": 1

"tls": {

"sni": "evil.com",

"version": "UNDETERMINED",

"ja3": {},

"ja3s": {}

"app_proto": "tls"

}

最後までお読みいただきましてありがとうございました！

【PR】「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】「AWSではじめるLinux入門ガイド」という本を書きました。

【PR】「ポケットスタディ AWS認定デベロッパーアソシエイト」という本を書きました。

【PR】「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, vpc

: WordPressのwp-login.php , xmlrpc.phpへのアクセスをAWS WAFで接続元IPアドレスを制限する

AWS CloudWatch LogsエージェントでAmazon EC2上のNg …

: AWS Global Acceleratorでアクセラレーターを作成する

バージニア北部、東京、大阪のEC2インスタンスをエンドポイントにして作成してみま …

: EC2とRDSのMySQLを他のAWSアカウントへ移設する

他のAWSアカウントへシステムごと移設した場合の手順です。構成はEC2とRDS …

: X-Ray SDK for Python でライブラリへのパッチ適用

boto3でのAWS呼び出しとrequestsでの外部API呼び出しにパッチ適用 …

: S3 過去のオブジェクトバージョンをコピーしてロールバックしました

バージョニングを有効にしているS3バケットで、オブジェクトを以前のバージョンに戻 …

: AWSアカウントの解約

アカウント作成メニュー確認のために作成したAWSアカウントを解約しました。使っ …

: Amazon S3バケットでMFA Deleteを有効にする

バージョニングが有効なバケットでバージョン削除でMFA Deleteを有効にして …

: EC2インスタンスが到達不能になって復旧してMackerelで監視し始めた

きっとばりばり使っておられる方ならよくある事なんだろうけど、はじめて体験したので …

: AWS東京リージョンのAZ(apne1-az1)障害時の当ブログで発生していたことの記録

日本時間2/19 23:01頃より、東京リージョン、特定AZの1つでEC2インス …

: RDSの拡張モニタリングを有効にしました

RDS for MySQLです。変更メニューで、[拡張モニタリングを有効にする …

PREV: AWS Systems Manager Session Managerでログを有効にする
NEXT: Amazon ECS Workshop for AWS Summit Online

AWS Network Firewallの入門

構成

ルールグループの作成

ルールポリシーの作成

ファイヤーウォールの作成

ログの設定

ルートテーブルの設定

IGWイングレスルートテーブル

Firewallエンドポイントのサブネット

NATゲートウェイのサブネット

プライベートサブネット

確認

ad

ad

関連記事

WordPressのwp-login.php , xmlrpc.phpへのアクセスをAWS WAFで接続元IPアドレスを制限する

AWS Global Acceleratorでアクセラレーターを作成する

EC2とRDSのMySQLを他のAWSアカウントへ移設する

X-Ray SDK for Python でライブラリへのパッチ適用

S3 過去のオブジェクトバージョンをコピーしてロールバックしました

AWSアカウントの解約

Amazon S3バケットでMFA Deleteを有効にする

EC2インスタンスが到達不能になって復旧してMackerelで監視し始めた

AWS東京リージョンのAZ(apne1-az1)障害時の当ブログで発生していたことの記録

RDSの拡張モニタリングを有効にしました