Ioannis 씨가
Amazon GuardDuty
를 소개합니다.

Ioannis_DUB_0518

Amazon Elastic Compute Cloud(Amazon EC2) Linux 인스턴스가 SSH brute force 공격을 받았습니다. Amazon GuardDuty를 사용하여 이 공격을 막는 방법은 무엇입니까?

유형이 SSH인 규칙을 사용은 포트 범위 22로 들어오는 모든 소스(0.0.0.0/0)의 연결을 허용하기 때문에 공격이 발생할 수 있습니다. 포트 범위 22를 통한 0.0.0.0/0을 허용하면 보안 위험이 발생합니다.

대개 이 공격은 EC2 인스턴스 침입 대상을 찾는 봇으로 인해 발생합니다. SSH 액세스를 제한하여 침입 위험을 줄일 수 있습니다. 배스천 호스트와 같이 직접 소유한 특정 소스의 SSH 액세스만 허용하도록 보안 그룹을 구성하는 것이 가장 좋습니다.

GuardDuty를 사용하여 AWS 환경에서 의심스러운 동작을 모니터링하고 감지할 수 있습니다. 인터넷을 통한 소스의 SSH 액세스를 허용하는 보안 그룹을 사용하여 SSH brute force 공격을 받은 EC2 인스턴스의 문제를 해결하기 위해 GuardDuty를 사용하는 다음 예제를 고려해 보십시오.

1. EC2 콘솔을 엽니다.

2. 새 탭에서 GuardDuty 콘솔을 엽니다.

3. EC2 콘솔에서 보안 그룹을 선택하여 보안 그룹을 선택한 후 인바운드 탭을 선택합니다.

4. 탐색 창에서 인스턴스를 선택한 후 새 탭에서 인스턴스 창을 엽니다.

5. 인스턴스를 선택하고 인스턴스 ID를 복사합니다.

6. GuardDuty 콘솔에서 Add filter criteria(필터 기준 추가)를 선택한 후 인스턴스 ID를 선택합니다.

7. 검색 상자에 인스턴스 ID를 붙여 넣은 후 적용을 선택합니다.

8. Finding Type(찾기 유형)에서 마지막 확인 열에 나온 대로 가장 최근에 찾은 결과를 선택합니다.

9. Actor(액터) 섹션으로 스크롤하여 공격의 소스 IP 주소를 복사합니다.

10. EC2 Linux 인스턴스의 터미널을 열고 /var/log/secure 디렉터리를 연 후 안전한 파일을 엽니다.
참고: 안전한 파일에 SSH 로그인이 있습니다.

11. 9단계에 나온 소스 IP 주소를 입력합니다.
참고: Amazon Linux AMI SSH 로그에는 인스턴스에 연결하려는 모든 인증 시도가 포함됩니다.

12. AWS Config 콘솔을 열고 규칙을 선택한 후 규칙 추가를 선택하고 검색 상자에 restricted를 입력합니다.

13. restricted-ssh를 선택한 후 저장을 선택합니다.

참고: 무제한 수신 SSH 트래픽을 허용하지 않는 보안 그룹을 확인합니다.

14. 규정 준수 필드 아래의 규칙 이름에서 restricted-ssh 규칙이 Evaluating(평가 중)에서 규칙 미준수 리소스로 바뀔 때까지 기다립니다. 새로 고침 아이콘을 선택할 수도 있습니다.

15. restricted-ssh를 선택하여 규칙 미준수 보안 그룹을 확인합니다.

16. Manage resource(리소스 관리)에서 규칙 미준수 보안 그룹을 선택한 후 인바운드 탭을 선택합니다.

이 예제에서 보안 그룹은 모든 소스의 SSH 연결을 허용하므로 규칙 미준수입니다. SSH 트래픽을 제한하려면 Linux 인스턴스에 인바운드 SSH 트래픽에 대한 규칙 추가를 참조하십시오.

자세한 내용은 Amazon GuardDuty에서 발견한 보안 문제 해결을 참조하십시오.

참고: CloudWatch를 사용하여 Linux 로그를 검토하려면 빠른 시작: 실행 중인 EC2 Linux 인스턴스에서 CloudWatch Logs 에이전트 설치 및 구성 지침을 따르십시오.


페이지 내용이 도움이 되었습니까? | 아니요

AWS 지원 지식 센터로 돌아가기

도움이 필요하십니까? AWS 지원 센터를 방문하십시오.

게시 날짜: 2018-08-17