Làm việc xung quanh giới hạn quy tắc ACL mạng AWS


12

Tối đa, ACL mạng VPC có thể có 40 quy tắc được áp dụng.

Tôi có một danh sách hơn 50 địa chỉ IP mà tôi cần chặn rõ ràng quyền truy cập vào hệ thống của chúng tôi, trên bất kỳ cổng và bất kỳ giao thức nào. Đây là một mục đích lý tưởng cho một ACL, nhưng giới hạn đang cản trở tôi hoàn thành nhiệm vụ này.

Tất nhiên, tôi có thể thực hiện điều này trong IPTables trên mỗi máy chủ, nhưng tôi muốn chặn bất kỳ và tất cả lưu lượng truy cập cho tất cả các thành phần trong VPC (ví dụ như ELB). Hơn nữa, lý tưởng hơn nhiều để quản lý các quy tắc này ở một nơi hơn là trên mỗi máy chủ.

Tôi hy vọng có một số cách tôi không hiểu làm điều này ở cấp độ hệ thống / nền tảng. Các nhóm bảo mật được cho phép rõ ràng, không có hành động từ chối, vì vậy họ sẽ không thực hiện thủ thuật này.


Sử dụng phần mềm cung cấp như Ansible để quản lý iptables và bạn đã hoàn thành. Rõ ràng là nó sẽ chỉ hoạt động trong các trường hợp EC2; không phải LB, v.v.
Kyslik

Có, tôi đồng ý thực hiện iptables là tốt cho EC2 nhưng 99% lưu lượng truy cập trong nước của tôi đạt cấu trúc ELB của chúng tôi. Chúng tôi sẽ trả tiền cho nhiều lượt truy cập từ những kẻ lừa đảo đã biết mà chúng tôi phải đối phó. Cảm ơn bạn đã nhập
emmdee

1
Chặn 50 IP riêng lẻ có vẻ như là một yêu cầu kỳ lạ.
user253751

@immibis Odd cho bạn có thể. Chúng tôi nhận được rất nhiều kẻ lừa đảo cố gắng lừa đảo với khách hàng hợp pháp của chúng tôi. Chúng tôi chặn tài khoản của họ nhưng cũng cấm các lệnh IP đầy đủ vì những kẻ lừa đảo rõ ràng là người Nga / Nigeria / Trung Quốc. Sản phẩm của chúng tôi có rất nhiều tương tác người dùng, trò chuyện / vv - hoàn toàn không lạ đối với một nền tảng như thế.
emmdee

1
... và không ai trong số những kẻ lừa đảo của bạn có IP động?
dùng253751

Câu trả lời:


8

Đây là một ý tưởng trường bên trái .. bạn có thể định tuyến null null 50 IP bị chặn, bằng cách thêm một tuyến đường bị hỏng của Google vào bảng tuyến VPC cho mỗi IP.

Điều này sẽ không ngăn lưu lượng truy cập từ các IP tấn công cơ sở hạ tầng của bạn (chỉ có NACL và SG sẽ ngăn chặn điều đó), nhưng nó sẽ ngăn lưu lượng truy cập trở lại từ mỗi lần đưa nó trở về nhà.


Tôi đã vô tình vô hiệu hóa lưu lượng truy cập một lần bằng cách tạo một cổng quá cảnh, thiết lập định tuyến, sau đó xóa cổng quá cảnh. Có thể có một cách dễ dàng hơn mặc dù.
Tim

Một ý tưởng không tồi. Rất ra khỏi hộp suy nghĩ cảm ơn. Tôi sẽ làm một số thử nghiệm. Có thể là con đường đúng đắn để đi mà không phải trả tiền cho WAF
emmdee

0

Không có cách nào để tăng giới hạn đối với NACL và một số lượng lớn các quy tắc NACL ảnh hưởng đến hiệu suất mạng.

Bạn có thể có một vấn đề kiến ​​trúc trên tất cả.

  1. Các trường hợp của bạn phải ở trong mạng con công cộng?
  2. Bạn đã thiết lập các cổng NAT để hạn chế lưu lượng truy cập vào chưa?
  3. Đối với những trường hợp phải có trong mạng con công cộng, bạn có quy tắc nhóm bảo mật trong nước tối thiểu không?
  4. Bạn có đang sử dụng các điều kiện khớp IP AWS WAF để chặn lưu lượng truy cập không mong muốn vào CloudFront và Cân bằng tải của bạn không?

Nếu bạn đạt giới hạn quy tắc NACL thì rất có thể là do bạn không sử dụng phương pháp khuyến nghị AWS cho kiến ​​trúc VPC và sử dụng các dịch vụ như WAF (và Shield cho DDoS) để chặn lưu lượng truy cập không mong muốn và vượt qua các cuộc tấn công.

Nếu mối quan tâm của bạn là các cuộc tấn công DDoS: Cách giúp bảo vệ các ứng dụng web động chống lại các cuộc tấn công DDoS bằng cách sử dụng Amazon CloudFront và Amazon Route 53


Cổng NAT dành cho giao thông ra ngoài chứ không phải trong nước.
Tim

Đúng @Tim, do đó, đặt các cá thể của bạn vào các mạng con riêng phía sau các cổng NAT sẽ cho chúng kết nối ra bên ngoài mà không cần mở chúng cho các cuộc tấn công vào trong và không cần phải chặn IP trong NACLs
fo.

WAF là khá đắt cho các trang web lưu lượng truy cập rất cao. Cố gắng tránh nó vì lý do đó. Thực tế là các nhóm bảo mật không thể chặn rõ ràng và ACL web có giới hạn này có vẻ giống như một khoản tiền mặt lớn.
emmdee

Tôi đoán nó phụ thuộc vào trường hợp sử dụng, điều này chưa được giải thích. Nếu lý do để chặn các IP này là chúng đã tấn công máy chủ web, thì vẫn cần có quyền truy cập công khai vào máy chủ, có nghĩa là bộ cân bằng tải hoặc proxy. Một mạng con riêng sẽ không giúp ích trong trường hợp đó.
Tim

Trường hợp sử dụng của tôi là 99% ELB đang có lưu lượng truy cập vào. Các trường hợp EC2 là riêng tư đằng sau ELB.
emmdee

0

Đây không phải là chính xác những gì bạn yêu cầu, nhưng có thể làm công việc đủ tốt.

Thiết lập CloudFront trước cơ sở hạ tầng của bạn. Sử dụng Điều kiện đối sánh IP để chặn lưu lượng hiệu quả. CloudFront hoạt động với cả nội dung tĩnh và động và có thể tăng tốc nội dung động vì nó sử dụng xương sống AWS thay vì internet công cộng. Đây là những gì các tài liệu nói

Nếu bạn muốn cho phép một số yêu cầu web và chặn những yêu cầu khác dựa trên địa chỉ IP mà yêu cầu bắt nguồn từ đó, hãy tạo điều kiện khớp IP cho các địa chỉ IP mà bạn muốn cho phép và một điều kiện khớp IP khác cho các địa chỉ IP mà bạn muốn chặn .

Khi sử dụng CloudFront, bạn nên chặn truy cập trực tiếp vào bất kỳ tài nguyên nào bằng các nhóm bảo mật. Các nhóm bảo mật cập nhật AWS lambda sẽ cập nhật các nhóm bảo mật của bạn để cho phép lưu lượng truy cập CloudFront nhưng từ chối lưu lượng truy cập khác. Nếu bạn chuyển hướng http sang https bằng CloudFront, bạn có thể điều chỉnh các tập lệnh một chút để ngăn http chạm vào cơ sở hạ tầng của bạn. Bạn cũng có thể đưa danh sách trắng bất kỳ IP nào cần truy cập quản trị viên trực tiếp.

Thay phiên, bạn có thể sử dụng CDN của bên thứ ba như CloudFlare. CloudFlare có một tường lửa hiệu quả, nhưng với số lượng quy tắc bạn muốn là $ 200 mỗi tháng. Điều đó có thể rẻ hơn CloudFront, băng thông AWS khá đắt. Gói miễn phí chỉ cung cấp cho bạn 5 quy tắc tường lửa.


Chúng tôi đã sử dụng mặt trước đám mây cho nội dung tĩnh nhưng rất nhiều trang web là nội dung web động.
emmdee

CloudFront cũng có thể được sử dụng cho nội dung động aws.amazon.com/bloss/networking-and-content-delivery/ trộm
fo.

CloudFront có thể tăng tốc nội dung động, tôi tin rằng nó sử dụng xương sống AWS chứ không phải internet công cộng. CloudFront có băng thông rẻ hơn một chút so với EC2 và tôi nghĩ rằng tôi đã thấy một thông báo trước đó rằng băng thông CloudFront trở lại EC2 là miễn phí.
Tim
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.