云环境下的网络检测问题
人们可能希望监视云环境中的网络流量有很多原因——出于攻击和防御的目的。 被动的网络检查在云环境中可能很困难,而且在这之前需要对网络配置进行重大修改,以确保每台主机都被监控,并且不会被恶意用户绕过。 这意味着作为一个攻击者,监视整个网络会产生数量难以置信的噪声,而且破坏任何东西也变得非常危险。
对于在云端进行通用网络检查遇到的困难,渗透测试人员采用了其他更简单的方法,比如审查 Elastic Load Balancer 访问日志。 这些日志可以为 你提供一些信息,但与全面的网络流量检查相比,这些日志里面的信息非常有限。
然而,AWS 最近在今年六月的 re: Inforce 上发布了一个被动网络检测的新功能,称为“ VPC 流量镜像”。 使用这个新特性,我们创建了一个名为“ malmirror”的脚本,用于部署必要的基础设施来镜像和提取 VPC 流量。
VPC 流量镜像: 一种潜在的 AWS 网络监测解决方案
VPC 流量镜像是在 VPC 中复制 EC2实例的入站和出站流量,而不需要在实例中安装任何东西。 这些重复的流量通常会被发送到类似于网络入侵预防系统服务器(IDS)之类的地方进行分析和监控。
随着 VPC 流量镜像的发布,AWS 中的 VPC 网络检测变得更加容易,无论是进攻还是防守。 现在只需要一些 AWS API 调用(以及使用这些 API 的必要权限) ,就可以在 AWS VPC 中监视网络流量。
恶意 VPC 流量镜像的影响及其可能性
恶意的 VPC 流量镜像可能产生极大的影响,因为在 VPC 内移动的网络流量通常包含对攻击者有用的敏感信息。 实现恶意的 VPC 流量镜像的可能性也非常高,因为通过 VPC 往往有大量的明文流量。 使用明文流量的一个常见原因是,在流量镜像之前,流量不太可能被探测到,所以风险不大。
这方面的一个例子是今年1月发布的一个特性,即用于网络负载均衡的 TLS 终止。 通常的做法是,环境在其负载均衡器处终止 TLS,然后以明文形式将请求传递给后端服务器。 这意味着在 VPC 中将会有大量的明文流量被我们恶意的 VPC 镜像抓取。 关于负载均衡器的 TLS 终止的更多信息可以在这里找到,关于最佳实践的一些讨论可以在这里找到。
由于 TLS 对性能的巨大影响,所以许多公司还将在其内部网络中使用明文协议。 以前做这些事情感觉很安全,