Flowlog de AWS para subred privada que muestra direcciones IP enrutables

Question

Flowlog de AWS para subred privada que muestra direcciones IP enrutables

#1 de kenlukas (0 votos)

3

Al revisar Flowlogs para un host en un private subnet en una VPC de AWS, se rechazan las direcciones IP enrutables. ¿Cómo es eso posible? Espero que las direcciones IP de la subred privada puedan ser rechazadas pero no las IP enrutables

Este es un ejemplo del registro de flujo:

12:24:40   2 redactado eni-ofuscado 149.28.xx.xx 10.55.27.62 53501 22 6 1 40 1539951880 1539951940 RECHAZAR OK

13:22:41   2 redactado eni-ofuscado 60.51.xx.xx 10.55.27.62 60375 8081 6 1 40 1539955361 1539955421 RECHAZAR OK

13:39:41   2 redactado eni-ofuscado 221.229.xx.xx 10.55.27.62 9090 22 6 1 40 1539956381 1539956441 RECHAZAR OK

El diseño de VPC contiene una subred pública y privada. La subred privada enruta las rutas de salida a Internet a través de una puerta de enlace NAT de AWS. La subred pública contiene un host de bastión que se utiliza para conectarse al host privado.

El servidor bastion tiene un grupo de seguridad que solo permite en el puerto 22 desde direcciones IP específicas (a.b.c.d / 32).
El host en la subred privada tiene un grupo de seguridad que solo permite ssh desde el host bastion y todo el tráfico de la subred privada.

Entonces, ¿de dónde viene esto? En el lado positivo, no se aceptan direcciones IP que no espero.

network logging amazon aws

pregunta kenlukas 19.10.2018 - 18:55

fuente

1 respuesta

Lea otras preguntas en las etiquetas network logging amazon aws

¿A qué se refiere la exploración de memoria en el contexto de detección de malware? descifrado RSA desnudo

score 0 · Accepted Answer

TL; DR: había un equilibrador de carga de red (NLB) en la subred privada frente al host en la red privada. Ese NLB tenía una IP pública.

Cuando hay una IP pública asociada a la interfaz de red, el tráfico de la IP pública (fuente) del cliente llegará a la ENI, siempre que el grupo de seguridad y ACL permitan la entrada del tráfico, independientemente de si hay IGW como ruta predeterminada o no.

Debido a que un NLB de AWS no usa grupos de seguridad y no se implementó ningún NACL, el tráfico enrutable pudo llegar a la subred privada. El grupo de seguridad en el host rechazó el tráfico y eso es lo que se estaba mostrando en el Flow Logs .

El tráfico de respuesta no saldría de la subred privada porque se siguen las tablas de rutas. Las tablas de ruta no se utilizan para controlar el tráfico entrante, pero sí controlan las respuestas.

¿Puede aclarar por qué un NLB en una subred privada incluso con una dirección IP enrutable públicamente puede recibir tráfico cuando su subred no se enruta a través de Internet Gateway?

Desde la perspectiva de los escáneres de puertos, no habrían recibido ninguna respuesta de la NLB.

SYN del cliente alcanzará el NLB, pero no se enviará SYN-ACK al cliente, ya que ahora se evaluará el tráfico de respuesta en la tabla de rutas y, como no hay una ruta a IGW, el tráfico de respuesta se eliminará.

Para resumir, NLB o su objetivo backend no responden al tráfico de Internet. El tráfico sería aceptado por Public IP en una subred privada, independientemente de la ruta predeterminada de la tabla de rutas.

Referencia: Soporte de AWS