كيف يتم تعطيل البيانات الوصفية لـ AWS EC2؟

ستعلمك هذه المقالة عن البيانات الوصفية لـ EC2 وسبب أهميتها. ستتعلم أيضًا كيفية تعطيل البيانات الوصفية لحماية نفسك من هجمات مثل SSRF.

تمتلك Amazon Web Services (AWS) خدمة Amazon Elastic Compute Cloud (Amazon EC2) ، والتي توفر إمكانية معالجة قابلة للتطوير. باستخدام Amazon EC2 ، يمكنك تطوير التطبيقات ونشرها بسرعة أكبر دون إجراء استثمار مسبق في الأجهزة.

بناءً على احتياجاتك ، قم بتشغيل العديد من الخوادم الافتراضية أو أقلها. قم بإعداد إعدادات الشبكات والأمان وتحكم في التخزين باستخدام Amazon EC2.

تُعرف المعلومات حول المثيل الذي يمكن تخصيصه أو إدارته في مثيل قيد التشغيل باسم بيانات تعريف المثيل. تتضمن فئات بيانات تعريف المثيل اسم المضيف والأحداث ومجموعات الأمان. بالإضافة إلى ذلك ، يمكنك الوصول إلى بيانات المستخدم التي حددتها عند تشغيل المثيل الخاص بك باستخدام بيانات تعريف المثيل.

يمكنك تضمين نص قصير أو تحديد معلمات أثناء تكوين المثيل الخاص بك. باستخدام بيانات المستخدم ، يمكنك إنشاء AMIs عامة وتغيير ملفات تكوين وقت التشغيل.

يمكنك إعداد مثيلات جديدة أو حالية لتنفيذ المهام التالية باستخدام خيارات بيانات تعريف المثيل:

  • طلب إرسال طلبات بيانات وصف المثيل عبر IMDSv2
  • ضع حد قفزة استجابة PUT.
  • تأمين الوصول إلى البيانات الوصفية للمثيل

من الممكن الوصول إلى البيانات الوصفية من مثيل EC2 نشط باستخدام أحد الأساليب التالية: IMDSv1sIMDSv2

تُعرف خدمة بيانات تعريف المثيل باسم IMDS. كما قد تفترض ، فإن المنهجيات مختلفة قليلاً ؛ يستخدم IMDSv1 طريقة الطلب / الاستجابة ، بينما IMDSv2 موجه للجلسة.

  كيفية نقل جميع رسائل البريد الإلكتروني الجديدة إلى مجلد في Outlook عبر خطوات سريعة

تحثك AWS على استخدام IMDSv2 ، وهي الطريقة المفضلة. بشكل افتراضي ، تستخدم AWS SDK مكالمات IMDSv2 ، ويمكنك مطالبة المستخدمين بتكوين EC2 جديد مع تمكين IMDSv2 باستخدام مفاتيح شرط IAM في سياسة IAM.

استخدم عناوين IPv4 أو IPv6 التالية لعرض جميع أنواع بيانات تعريف المثيل من مثيل قيد التشغيل.

IPv4

حليقة http://169.254.169.254/latest/meta-data/

IPv6

حليقة http: //[fd00:ec2::254]/ latest / meta-data /

عناوين IP هي عناوين ارتباط محلية وصالحة فقط من المثيل.

لعرض بيانات تعريف المثيل ، يمكنك فقط استخدام عنوان الارتباط المحلي 169.254.169.254. الطلبات إلى البيانات الوصفية عبر URI مجانية ، لذلك لا توجد رسوم إضافية من AWS.

الحاجة إلى تعطيل البيانات الوصفية

في إعدادات AWS ، يكون هجوم SSRF متكررًا ومعروفًا للجميع. تم العثور على المهاجمين الذين يقومون بأتمتة فحص الثغرات الأمنية ويجمعون بيانات اعتماد IAM من التطبيقات المتاحة للجمهور عبر الإنترنت من قبل Mandiant (شركة للأمن السيبراني).

سيؤدي تنفيذ IMDSv2 لجميع مثيلات EC2 ، التي تتمتع بمزايا أمان إضافية ، إلى تقليل هذه المخاطر لشركتك. ستنخفض احتمالية قيام عدو بسرقة بيانات اعتماد IAM عبر SSRF بشكل كبير مع IMDSv2.

يعد استخدام تزوير الطلب من جانب الخادم (SSRF) للوصول إلى خدمة بيانات تعريف EC2 إحدى تقنيات استغلال AWS التي يتم تدريسها بشكل متكرر.

  30 صورة رائعة للموسم البارد

يمكن الوصول إلى خدمة البيانات الوصفية لمعظم مثيلات EC2 على 169.254.169.254. يحتوي هذا على معلومات مفيدة حول المثيل ، مثل عنوان IP الخاص به واسم مجموعة الأمان وما إلى ذلك.

إذا تم إرفاق دور IAM بمثيل EC2 ، فستحتوي خدمة البيانات الوصفية أيضًا على بيانات اعتماد IAM للمصادقة على أنها هذا الدور. يمكننا سرقة بيانات الاعتماد هذه اعتمادًا على إصدار IMDS المستخدم وإمكانيات SSRF.

ومن الجدير أيضًا أن يؤخذ في الاعتبار أن الخصم الذي لديه وصول shell إلى مثيل EC2 يمكنه الحصول على بيانات الاعتماد هذه.

في هذا المثال ، يعمل خادم الويب على منفذ EC2 80. يحتوي خادم الويب هذا على ثغرة SSRF بسيطة ، مما يسمح لنا بإرسال طلبات GET إلى أي عنوان. يمكن استخدام هذا لإرسال طلب إلى http://169.254.169.254.

لتعطيل البيانات الوصفية

من خلال حظر نقطة نهاية HTTP لخدمة بيانات تعريف المثيل ، يمكنك منع الوصول إلى بيانات تعريف المثيل ، بغض النظر عن إصدار خدمة بيانات تعريف المثيل التي تستخدمها.

يمكنك عكس هذا التغيير في أي وقت عن طريق تمكين نقطة نهاية HTTP. استخدم أمر تعديل – مثيل – بيانات وصفية – خيارات CLI وقم بتعيين معلمة نقطة نهاية http لتعطيل البيانات الوصفية للمثيل الخاص بك.

لتعطيل البيانات الوصفية ، قم بتشغيل هذا الأمر:

تعديل aws ec2-مثيل-بيانات التعريف-خيارات-معرف الحالة i-0558ea153450674 -http-endpoint معطلة

  كيفية محاكاة حلقات Do-while في Python

تعطيل البيانات الوصفية

يمكنك أن ترى أنه بعد أن أقوم بتعطيل البيانات الوصفية الخاصة بي ، إذا حاولت الوصول إليها ، أحصل على رسالة محظورة.

إذا كنت ترغب في تمكين بيانات التعريف الخاصة بك مرة أخرى ، فقم بتشغيل هذا الأمر:

تعديل aws ec2-مثيل-بيانات التعريف-خيارات-معرف الحالة i-0558ea153450674-تمكين نقطة نهاية HTTP

تمكين البيانات الوصفية مرة أخرى

استنتاج

يمكن أن تكون البيانات الوصفية مفيدة لاستخراج المعلومات من مخازن البيانات الكبيرة. ومع ذلك ، يمكن أيضًا إساءة استخدامه لمعرفة موقع الشخص أو هويته دون علمه أو موافقته. نظرًا لأنه يسجل كل تغيير تقوم به ، بما في ذلك عمليات الحذف والتعليقات ، يجب أن تدرك أنه قد يحتوي على معلومات لا تريد أن يتمكن الآخرون من رؤيتها. نتيجة لذلك ، فإن إزالة البيانات الوصفية أمر بالغ الأهمية للحفاظ على خصوصيتك على الإنترنت وإخفاء هويتك.

يمكنك أيضًا استكشاف بعض مصطلحات AWS الرئيسية التي تعمل على تطوير تعلم AWS الخاص بك.