Овај чланак ће вас научити о ЕЦ2 метаподацима и зашто су они важни. Такође ћете научити како да онемогућите метаподатке да бисте се заштитили од напада као што је ССРФ.
Амазон Веб Сервицес (АВС) има услугу Амазон Еластиц Цомпуте Цлоуд (Амазон ЕЦ2), која пружа могућност скалабилне обраде. Коришћењем Амазон ЕЦ2 можете брже да развијате и примењујете апликације без улагања у хардвер унапред.
У зависности од ваших потреба, покрените онолико или мање виртуелних сервера. Подесите мрежна и безбедносна подешавања и контролишите складиштење помоћу Амазон ЕЦ2.
Информације о вашој инстанци које се могу прилагодити или којима се може управљати у покренутој инстанци познате су као метаподаци инстанце. Категорије метаподатака инстанце укључују име хоста, догађаје и безбедносне групе. Поред тога, можете приступити корисничким подацима које сте навели приликом покретања инстанце користећи метаподатке инстанце.
Можете укључити кратку скрипту или одредити параметре док конфигуришете своју инстанцу. Користећи корисничке податке, можете креирати генеричке АМИ и мењати конфигурационе датотеке за време покретања.
Можете да подесите нове или постојеће инстанце да извршавају следеће задатке користећи опције метаподатака инстанце:
- Захтевајте да се захтеви за метаподатке инстанце шаљу преко ИМДСв2
- Ставите ПУТ ограничење скока одговора.
- Приступ метаподацима инстанце закључавања
Могуће је приступити метаподацима из активне ЕЦ2 инстанце користећи једну од следећих техника: ИМДСв1сИМДСв2
Услуга метаподатака инстанце позната је као ИМДС. Као што можете претпоставити, методологије се мало разликују; ИМДСв1 користи методу захтева/одговора, док је ИМДСв2 оријентисан на сесију.
АВС вас позива да користите ИМДСв2, што је преферирани метод. АВС СДК подразумевано користи ИМДСв2 позиве и можете захтевати од корисника да конфигуришу нови ЕЦ2 са омогућеним ИМДСв2 коришћењем кључева услова ИАМ у ИАМ смерницама.
Користите следеће ИПв4 или ИПв6 УРИ да бисте видели све типове метаподатака инстанце из покренуте инстанце.
ИПв4
цурл хттп://169.254.169.254/латест/мета-дата/
ИПв6
цурл хттп://[fd00:ec2::254]/најновије/мета-подаци/
ИП адресе су локалне адресе везе и важеће су само из инстанце.
Да бисте видели метаподатке инстанце, можете да користите само локалну адресу везе 169.254.169.254. Захтеви за метаподатке преко УРИ-ја су бесплатни, тако да нема додатних трошкова од АВС-а.
Преглед садржаја
Потреба за онемогућавањем метаподатака
У АВС подешавањима, ССРФ напад је чест и свима добро познат. Мандиант (фирма за сајбер безбедност) пронашао је нападаче који аутоматизују скенирање рањивости и прикупљају ИАМ акредитиве из јавно доступних онлајн апликација.
Примена ИМДСв2 за све ЕЦ2 инстанце, која има додатне безбедносне предности, смањила би ове ризике за вашу компанију. Могућност да непријатељ украде ИАМ акредитиве преко ССРФ-а значајно би се смањила са ИМДСв2.
Коришћење фалсификовања захтева на страни сервера (ССРФ) за добијање приступа ЕЦ2 услузи метаподатака је једна од техника за АВС експлоатацију која се најчешће учи.
Услуга метаподатака је доступна већини ЕЦ2 инстанци на адреси 169.254.169.254. Ово садржи корисне информације о инстанци, као што су њена ИП адреса, назив безбедносне групе итд.
Ако је ИАМ улога повезана са ЕЦ2 инстанцом, услуга метаподатака ће такође садржати ИАМ акредитиве за аутентификацију као ова улога. Можемо украсти те акредитиве у зависности од верзије ИМДС-а у употреби и могућности ССРФ-а.
Такође је вредно узети у обзир да би противник са приступом љуске ЕЦ2 инстанци могао да добије ове акредитиве.
У овом примеру, веб сервер ради на порту 80 ЕЦ2 инстанце. Овај веб сервер има једноставну ССРФ рањивост, која нам омогућава да шаљемо ГЕТ захтеве на било коју адресу. Ово се може користити за слање захтева на хттп://169.254.169.254.
Да бисте онемогућили метаподатке
Блокирањем ХТТП крајње тачке услуге метаподатака инстанце, можете спречити приступ метаподацима инстанце, без обзира коју верзију услуге метаподатака инстанце користите.
Ову промену можете поништити у било ком тренутку тако што ћете омогућити ХТТП крајњу тачку. Користите ЦЛИ команду модифи-инстанце-метадата-оптионс и подесите параметар хттп-ендпоинт на дисаблед да бисте онемогућили метаподатке за своју инстанцу.
Да бисте онемогућили метаподатке, покрените ову команду:
авс ец2 модифи-инстанце-метадата-оптионс –инстанце-ид и-0558еа153450674 –хттп-ендпоинт дисаблед
онемогућавање метаподатака
Можете видети да након што онемогућим своје метаподатке, ако покушам да им приступим, добијам поруку ЗАБРАЊЕНО.
Ако желите поново да омогућите своје метаподатке, покрените ову команду:
авс ец2 модифи-инстанце-метадата-оптионс –инстанце-ид и-0558еа153450674 –хттп-ендпоинт енаблед
поново омогућавање метаподатака
Закључак
Метаподаци могу бити корисни за издвајање информација из великих складишта података. Међутим, може се злоупотребити и сазнање о локацији или идентитету особе без њеног знања или пристанка. Пошто бележи сваку промену коју направите, укључујући брисања и коментаре, морате бити свесни да може да садржи информације које не бисте желели да други могу да виде. Као резултат тога, уклањање метаподатака је кључно за одржавање ваше приватности и анонимности на мрежи.
Такође можете истражити неке АВС кључне терминологије које унапређују ваше АВС учење.