Always-Try(정보보안 및 일상)

AWS Security Group을 관리하다 보면, 간혹 아래와 같이 Security Group의 소스 부분에 IP가 아닌 Security Group Rule ID가 들어가 있는 경우를 볼 수 있다. 이는 특정 IP를 지정하는 것이 아닌 해당 Security Group을 거쳐서 온 모든 IP에 대해서 허용해주겠다는 의미이다. 그럼 어떠한 경우에 이와 같이 사용할까? 필자가 경험한 바에 의하면 정답은 아래와 같다. K8S Pod나 ELB IP 등 특정할 수 없는 IP 대역에 대한 Security Group Rule 을 생성하고 싶을때 사용 이게 무슨 말이냐하면, K8S Pod나 ELB IP 등은 IP가 고정되어 있지 않고 DHCP와 같이 지정된 Subnet 내에서 IP가 유동적으로 바뀐다. 오늘 IP랑 내..

AWS WAF는 CloudFront, API Gateway, Load Balancer 에 연결 가능하다. 각자 운영하는 환경에 맞도록 구축하면 되고, 설정하는 것은 딱히 어려운 점이 없으며 본 포스팅은 간단하게 WAF에서 어떤 기능들을 제공해주는지 확인해본다. 웹 트래픽 필터링 IP 주소, HTTP 헤더 및 본문 또는 사용자 정의 URI와 같은 조건을 기준으로 웹 트래픽을 필터링(rate based rule 포함)하도록 규칙을 생성할 수 있으며, SQL 명령어 주입과 교차 사이트 스크립팅 같은 일반적인 웹 취약점 공격을 차단하는 규칙을 손쉽게 생성할 수 있다. 당연히 아래와 같이 필터링 된 트래픽에 대한 상세 정보도 확인 가능하다. (Body 값 제외) Rule Set을 무한정 사용할 수는 없고 기본적으..

인/아웃바운드 점검 80, 443 포트 IP ALL 오픈 여부 점검 Unknown 포트 IP ALL 오픈 여부 점검 (추가 검증 필요) Security Group과 매핑되는 EC2 찾기 import boto3 from botocore.exceptions import ClientError ec2 = boto3.client('ec2') def get_sg_list(): response = ec2.describe_security_groups()['SecurityGroups'] print("1. Inbound ALL:ALL policy check") for i in response: sg_id = i['GroupId'] sg_Name = i['GroupName'] check_inbound_rule(sg_id, ..

def get_instance_name(): try: response = ec2.describe_instances() for reservation in response['Reservations']: for instance in reservation['Instances']: print("Instance: " + instance['InstanceId']) for securityGroup in instance['SecurityGroups']: print("SG ID: {}, Name: {}".format(securityGroup['GroupId'], securityGroup['GroupName'])) except Exception as e: print('get_instance_error', e) pass