الأخبار التكنولوجية والاستعراضات والنصائح!
blogs2

كيف يتم تعطيل البيانات الوصفية لـ AWS EC2؟

ستعلمك هذه المقالة عن البيانات الوصفية لـ EC2 وسبب أهميتها. ستتعلم أيضًا كيفية تعطيل البيانات الوصفية للحماية من الهجمات مثل SSRF.

Amazon خدمات الويب (AWS) لديها واحدة Amazon خدمة سحابة الحوسبة المرنة (Amazon EC2) ، والذي يوفر قدرة معالجة قابلة للتطوير. باستخدام Amazon يتيح لك EC2 تطوير التطبيقات ونشرها بشكل أسرع دون القيام باستثمار مسبق في الأجهزة.

بناءً على احتياجاتك ، ابدأ في تشغيل أكبر عدد ممكن من الخوادم الافتراضية أو أقلها. اضبط إعدادات الشبكة والأمان وتحكم في التخزين باستخدام ملفات Amazon EC2.

تسمى المعلومات المتعلقة بمثيلك التي يمكن تخصيصها أو إدارتها في مثيل قيد التشغيل ، بيانات تعريف المثيل. تتضمن فئات بيانات تعريف المثيل أسماء المضيف والأحداث ومجموعات الأمان. بالإضافة إلى ذلك ، يمكنك الوصول إلى بيانات المستخدم التي أدخلتها عند تشغيل المثيل باستخدام بيانات تعريف المثيل.

يمكنك تضمين نص قصير أو توفير معلمات عند تكوين المثيل الخاص بك. باستخدام بيانات المستخدم ، يمكنك إنشاء AMIs عامة وتعديل ملفات تكوين وقت بدء التشغيل.

يمكنك تعيين مثيلات جديدة أو حالية لتنفيذ المهام التالية باستخدام خيارات البيانات الأولية للمثيل:

  • طلب طلبات البيانات الوصفية من النسخ ليتم إرسالها عبر IMDSv2
  • أدخل حد قفزة استجابة PUT.
  • تأمين الوصول إلى البيانات الوصفية للمثيل

    • من الممكن الوصول إلى البيانات الوصفية من مثيل EC2 نشط باستخدام أي من الأساليب التالية: IMDSv1sIMDSv2

    تُعرف خدمة بيانات تعريف المثيل باسم IMDS. كما قد تتخيل ، الأساليب مختلفة قليلاً ؛ يستخدم IMDSv1 نهج الطلب / الاستجابة ، بينما IMDSv2 موجه للجلسة.

    تشجعك AWS على استخدام IMDSv2 ، وهي الطريقة المفضلة. بشكل افتراضي ، تستخدم AWS SDK مكالمات IMDSv2 ، ويمكنك مطالبة المستخدمين بتكوين EC2 جديد مع تمكين IMDSv2 باستخدام مفاتيح شرط IAM في سياسة IAM.

    استخدم عناوين IPv4 أو IPv6 التالية لعرض أي نوع من بيانات تعريف المثيل من مثيل قيد التشغيل.

    IPv4

    حليقة http://169.254.169.254/latest/meta-data/

    IPv6

    حليقة http: //[fd00:ec2::254]/ latest / metadata /

    عناوين IP هي عناوين ارتباط محلية وصالحة فقط من المثيل.

    لمشاهدة البيانات الوصفية للمثيل ، يمكنك فقط استخدام عنوان الارتباط المحلي 169.254.169.254. طلبات البيانات الوصفية عبر URI مجانية ، لذلك لا توجد رسوم إضافية من AWS.

    تحتاج إلى تعطيل البيانات الوصفية

    كيف يتم تعطيل البيانات الوصفية لـ AWS EC2؟ 1

    في إعدادات AWS ، يكون هجوم SSRF متكررًا ومعروفًا للجميع. تم العثور على المهاجمين الذين يقومون بأتمتة فحص نقاط الضعف وجمع بيانات اعتماد IAM من التطبيقات المتاحة للجمهور عبر الإنترنت بواسطة Mandiant (شركة للأمن السيبراني).

    سيؤدي تنفيذ IMDSv2 لجميع مثيلات EC2 ، والتي لها مزايا أمان إضافية ، إلى تقليل هذه المخاطر على عملك. سيتم تقليل احتمالية قيام الخصم بسرقة بيانات اعتماد IAM عبر SSRF بشكل كبير باستخدام IMDSv2.

    يعد استخدام تزوير الطلب من جانب الخادم (SSRF) للوصول إلى خدمة بيانات تعريف EC2 أحد أكثر تقنيات استغلال AWS شيوعًا.

    تتوفر خدمة البيانات الوصفية لمعظم مثيلات EC2 على 169.254.169.254. يحتوي هذا على معلومات مفيدة حول المثيل ، مثل عنوان IP الخاص به واسم مجموعة الأمان وما إلى ذلك.

    إذا كان دور IAM مرتبطًا بمثيل EC2 ، فستحتوي خدمة البيانات الوصفية أيضًا على بيانات اعتماد IAM للمصادقة على أنها هذا الدور. يمكننا سرقة بيانات الاعتماد هذه اعتمادًا على إصدار IMDS المستخدم وقدرات SSRF.

    من الجدير أيضًا أن يؤخذ في الاعتبار أن الخصم الذي لديه وصول shell إلى مثيل EC2 يمكنه الحصول على بيانات الاعتماد هذه.

    في هذا المثال ، يعمل خادم الويب على منفذ مثيل EC2 80. يحتوي خادم الويب هذا على ثغرة SSRF بسيطة ، مما يسمح لنا بإرسال طلبات GET إلى أي عنوان. يمكن استخدام هذا لإرسال طلب إلى http://169.254.169.254.

    لتعطيل البيانات الوصفية

    من خلال حظر نقطة نهاية HTTP لخدمة بيانات تعريف المثيل ، يمكنك منع الوصول إلى بيانات تعريف المثيل ، بغض النظر عن إصدار خدمة بيانات تعريف المثيل الذي تستخدمه.

    يمكنك التراجع عن هذا التغيير في أي وقت عن طريق تمكين نقطة نهاية HTTP. استخدم أمر تعديل – مثيل – بيانات وصفية – خيارات CLI وقم بتعيين معلمة نقطة نهاية http لتعطيل البيانات الوصفية للمثيل الخاص بك.

    لتعطيل البيانات الوصفية ، قم بتشغيل هذا الأمر:

    تعديل aws ec2-مثيل-بيانات التعريف-خيارات-معرف الحالة i-0558ea153450674 -http-endpoint معطلة

    كيف يتم تعطيل البيانات الوصفية لـ AWS EC2؟ 2تعطيل البيانات الوصفية

    يمكنك أن ترى أنه بعد أن أقوم بتعطيل بيانات التعريف الخاصة بي ، أحصل على رسالة محظورة إذا حاولت الوصول إليها.

    لتمكين البيانات الوصفية مرة أخرى ، قم بتشغيل هذا الأمر:

    تعديل aws ec2-مثيل-بيانات التعريف-خيارات-معرف الحالة i-0558ea153450674-تمكين نقطة نهاية HTTP

    كيف يتم تعطيل البيانات الوصفية لـ AWS EC2؟ 3تمكين البيانات الوصفية مرة أخرى

    استنتاج

    يمكن أن تكون البيانات الوصفية مفيدة لاستخراج المعلومات من مخازن البيانات الكبيرة. ولكن يمكن أيضًا إساءة استخدام معرفة موقع الشخص أو هويته دون علمه أو موافقته. نظرًا لأنه يسجل جميع التغييرات التي تجريها ، بما في ذلك عمليات الحذف والتعليقات ، يجب أن تدرك أنه قد يحتوي على معلومات لا تريد أن يراها الآخرون. نتيجة لذلك ، فإن إزالة البيانات الوصفية أمر بالغ الأهمية للحفاظ على خصوصيتك على الإنترنت وإخفاء هويتك.

    يمكنك أيضًا استكشاف بعض مصطلحات AWS الرئيسية التي ستعزز تعلم AWS الخاص بك.

    نحن نوصيك: