Bagaimana Cara Menonaktifkan Metadata AWS EC2?

Artikel ini akan mengajarkan Anda tentang metadata EC2 dan mengapa itu penting. Anda juga akan mempelajari cara menonaktifkan metadata untuk melindungi diri Anda dari serangan seperti SSRF.

Amazon Web Services (AWS) memiliki layanan Amazon Elastic Compute Cloud (Amazon EC2), yang menyediakan kemampuan pemrosesan yang dapat diskalakan. Dengan menggunakan Amazon EC2, Anda dapat mengembangkan dan menerapkan aplikasi lebih cepat tanpa melakukan investasi perangkat keras di muka.

Bergantung pada kebutuhan Anda, luncurkan server virtual sebanyak atau sesedikit mungkin. Siapkan pengaturan jaringan dan keamanan serta kontrol penyimpanan menggunakan Amazon EC2.

Informasi tentang instans Anda yang dapat dikustomisasi atau dikelola dalam instans yang berjalan dikenal sebagai metadata instans. Kategori metadata instance mencakup nama host, peristiwa, dan grup keamanan. Selain itu, Anda dapat mengakses data pengguna yang Anda tentukan saat meluncurkan instans menggunakan metadata instans.

Anda dapat menyertakan skrip pendek atau menentukan parameter saat mengonfigurasi instans Anda. Dengan menggunakan data pengguna, Anda dapat membuat AMI generik dan mengubah file konfigurasi waktu peluncuran.

Anda dapat menyiapkan instance baru atau yang sudah ada untuk melakukan tugas berikut menggunakan opsi metadata instance:

  • Mewajibkan permintaan metadata instan untuk dikirim melalui IMDSv2
  • Masukkan batas hop respons PUT.
  • Mengunci akses metadata instance
  Cara Mengubah Lokasi Anda di MLB TV

Dimungkinkan untuk mengakses metadata dari instans EC2 aktif menggunakan salah satu teknik berikut: IMDSv1sIMDSv2

Layanan Metadata Instans dikenal sebagai IMDS. Seperti yang mungkin Anda asumsikan, metodologinya sedikit berbeda; IMDSv1 menggunakan metode permintaan/tanggapan, sedangkan IMDSv2 berorientasi pada sesi.

AWS mendesak Anda untuk menggunakan IMDSv2, yang merupakan metode pilihan. Secara default, AWS SDK menggunakan panggilan IMDSv2, dan Anda dapat meminta pengguna untuk mengonfigurasi EC2 baru dengan IMDSv2 diaktifkan menggunakan kunci kondisi IAM dalam kebijakan IAM.

Gunakan URI IPv4 atau IPv6 berikut untuk melihat semua jenis metadata instans dari instans yang sedang berjalan.

IPv4

curl http://169.254.169.254/latest/meta-data/

IPv6

ikal http://[fd00:ec2::254]/terbaru/meta-data/

Alamat IP adalah alamat tautan-lokal dan hanya valid dari instance.

Untuk melihat metadata instance, Anda hanya dapat menggunakan alamat link-local 169.254.169.254 . Permintaan ke metadata melalui URI gratis, jadi tidak ada biaya tambahan dari AWS.

Kebutuhan Menonaktifkan Metadata

Dalam pengaturan AWS, serangan SSRF sering terjadi dan diketahui oleh semua orang. Penyerang yang mengotomatiskan pemindaian kerentanan dan mengumpulkan kredensial IAM dari aplikasi online yang dapat diakses publik telah ditemukan oleh Mandiant (Perusahaan keamanan siber).

  Bagaimana "Tab Freezing" Chrome Akan Menghemat CPU dan Baterai

Menerapkan IMDSv2 untuk semua instans EC2, yang memiliki keunggulan keamanan tambahan, akan mengurangi risiko ini bagi perusahaan Anda. Kemungkinan musuh mencuri kredensial IAM melalui SSRF akan berkurang secara signifikan dengan IMDSv2.

Menggunakan Server Side Request Forgery (SSRF) untuk mendapatkan akses ke layanan metadata EC2 adalah salah satu teknik untuk eksploitasi AWS yang paling sering diajarkan.

Layanan metadata dapat diakses oleh sebagian besar Instans EC2 di 169.254.169.254. Ini berisi informasi bermanfaat tentang instans, seperti alamat IP, nama grup keamanan, dll.

Jika peran IAM dilampirkan ke instans EC2, layanan metadata juga akan berisi kredensial IAM untuk diautentikasi sebagai peran ini. Kami dapat mencuri kredensial tersebut tergantung pada versi IMDS yang digunakan dan kemampuan SSRF.

Perlu juga dipertimbangkan bahwa musuh dengan akses shell ke instans EC2 dapat memperoleh kredensial ini.

Dalam contoh ini, server web berjalan pada port 80 instans EC2. Server web ini memiliki kerentanan SSRF sederhana, yang memungkinkan kami mengirim permintaan GET ke alamat mana pun. Ini dapat digunakan untuk mengirim permintaan ke http://169.254.169.254.

Untuk Menonaktifkan Metadata

Dengan memblokir titik akhir HTTP dari layanan metadata instans, Anda dapat mencegah akses ke metadata instans Anda, terlepas dari versi layanan metadata instans yang Anda gunakan.

  Cara Cepat Membuka Halaman Pengaturan Menggunakan Pintasan di iPhone dan iPad

Anda dapat membalikkan perubahan ini kapan saja dengan mengaktifkan titik akhir HTTP. Gunakan perintah CLI modifikasi-instance-metadata-options dan setel parameter http-endpoint ke nonaktif untuk menonaktifkan metadata untuk instans Anda.

Untuk menonaktifkan metadata, jalankan perintah ini:

aws ec2 modifikasi-instance-metadata-options –instance-id i-0558ea153450674 –http-endpoint dinonaktifkan

menonaktifkan metadata

Anda dapat melihat bahwa setelah saya menonaktifkan metadata saya, jika saya mencoba mengaksesnya saya mendapatkan pesan TERLARANG.

Jika Anda ingin mengaktifkan kembali metadata Anda, jalankan perintah ini:

aws ec2 modifikasi-instance-metadata-options –instance-id i-0558ea153450674 –http-endpoint diaktifkan

mengaktifkan metadata lagi

Kesimpulan

Metadata dapat berguna untuk mengekstrak informasi dari penyimpanan data yang besar. Namun, itu juga dapat disalahgunakan untuk mengetahui tentang lokasi atau identitas seseorang tanpa sepengetahuan atau persetujuan mereka. Karena itu merekam setiap perubahan yang Anda buat, termasuk penghapusan dan komentar, Anda perlu menyadari bahwa itu mungkin berisi informasi yang Anda tidak ingin orang lain dapat melihatnya. Akibatnya, menghapus metadata sangat penting untuk menjaga privasi dan anonimitas online Anda.

Anda juga dapat menjelajahi beberapa Terminologi Kunci AWS yang memajukan Pembelajaran AWS Anda.