Was ist der IP-Bereich von EC2

7

Ich möchte eine Regel einrichten, um SSH-Anforderungen von EC2 zu blockieren, da ich von dort aus eine große Anzahl von SSH-basierten Angriffen gesehen habe und mich gefragt habe, ob jemand weiß, welche IP-Bereiche sie haben.

EDIT: Vielen Dank für die Antwort. Ich habe die iptables-Regeln wie folgt implementiert. Ich ignoriere den gesamten Verkehr für den Moment. Protokolliere es nur, um zu sehen, ob die Regeln funktionieren und um zu erfahren, wie viel Mist EC2 verschickt;)

#EC2 Blacklist
$IPTBLS -A INPUT -s 67.202.0.0/18 -j LOG --log-prefix "<firewall> EC2 traffic "
$IPTBLS -A INPUT -s 67.202.0.0/18 -j DROP 
$IPTBLS -A INPUT -s 72.44.32.0/19 -j LOG --log-prefix "<firewall> EC2 traffic "
$IPTBLS -A INPUT -s 72.44.32.0/19 -j DROP 
$IPTBLS -A INPUT -s 75.101.128.0/17 -j LOG --log-prefix "<firewall> EC2 traffic 
"
$IPTBLS -A INPUT -s 75.101.128.0/17 -j DROP 
$IPTBLS -A INPUT -s 174.129.0.0/16 -j LOG --log-prefix "<firewall> EC2 traffic "
$IPTBLS -A INPUT -s 174.129.0.0/16 -j DROP 
$IPTBLS -A INPUT -s 204.236.192.0/18 -j LOG --log-prefix "<firewall> EC2 traffic
 "
$IPTBLS -A INPUT -s 204.236.192.0/18 -j DROP 
$IPTBLS -A INPUT -s 204.236.224.0/19 -j LOG --log-prefix "<firewall> EC2 traffic
 "
$IPTBLS -A INPUT -s 204.236.224.0/19  -j DROP 
$IPTBLS -A INPUT -s 79.125.0.0/17  -j LOG --log-prefix "<firewall> EC2 traffic "
$IPTBLS -A INPUT -s 79.125.0.0/17  -j DROP 
Nicolas Kassis
quelle
Es ist keine gute Idee, ssh der ganzen Welt auszusetzen! Wenn Sie ssh bereitstellen müssen, sollten Sie dies möglicherweise auf einem nicht standardmäßigen Port tun.
B14D3
Ja, bei Verwendung eines nicht standardmäßigen Portblocks werden 99,9% der Brute-Force-SSH-Scans verwendet.
Bortzmeyer
B14D3, ich glaube nicht, dass ich dem zustimmen würde. Es ist in Ordnung, ssh der ganzen Welt auszusetzen, aber es ist ratsam, einige Vorsichtsmaßnahmen gegen Brute-Force-Angriffe zu treffen, wenn Sie dies tun. Sie können ratenbegrenzende neue Verbindungen, die Verwendung von fail2banoder ähnliche Fehlerblocker, die Anforderung einer Zwei-Faktor-Authentifizierung, die Verwendung einer nicht standardmäßigen Portnummer und zweifellos andere Methoden zur Schadensbegrenzung umfassen. Aber einfach zu sagen "ssh nicht aussetzen" scheint mir ein bisschen nicht hilfreich zu sein.
MadHatter

Antworten:

13

Die aktualisierte Liste finden Sie hier: https://forums.aws.amazon.com/ann.jspa?annID=1701

gekkz
quelle
Die letzten beiden sind Teil von 204.236.128.0/17, AMAZON-EC2-6. Es gibt auch AMAZON-EC2-7, 184.72.0.0/15
Phil P
Guter Punkt über das IPS / IDS, das eines meiner zukünftigen Projekte ist. Im Moment wollte ich nur eine Stop-Gap-Lösung und im Moment sehe ich nicht voraus, dass diese Maschinen gültigen Datenverkehr von EC2 erhalten. Sie haben sicherlich riesige Blöcke.
Nicolas Kassis
5

+1 zu dem, was gekkz gesagt hat. Außerdem würde ich vorschlagen, fail2ban zu installieren, um Systemressourcen für wichtigere Dinge als Wörterbuchangriffe zu erhalten.

Haakon
quelle
2

Gemäß https://forums.aws.amazon.com/ann.jspa?annID=1252

US East (Northern Virginia):

72.44.32.0/19 (72.44.32.0 - 72.44.63.255)

67.202.0.0/18 (67.202.0.0 - 67.202.63.255)

75.101.128.0/17 (75.101.128.0 - 75.101.255.255)

174.129.0.0/16 (174.129.0.0 - 174.129.255.255)

204.236.192.0/18 (204.236.192.0 - 204.236.255.255)

184.73.0.0/16 (184.73.0.0 – 184.73.255.255)

184.72.128.0/17 (184.72.128.0 - 184.72.255.255)

184.72.64.0/18 (184.72.64.0 - 184.72.127.255)

50.16.0.0/15 (50.16.0.0 - 50.17.255.255)

50.19.0.0/16 (50.19.0.0 - 50.19.255.255)

107.20.0.0/15 (107.20.0.0 - 107.21.255.255)

107.22.0.0/16 (107.22.0.0 - 107.22.255.255)

23.20.0.0/14 (23.20.0.0 – 23.23.255.255) NEW


US West (Oregon):    

50.112.0.0/16 (50.112.0.0 - 50.112.255.255)


US West (Northern California):    

204.236.128.0/18 (204.236.128.0 - 204.236.191.255)

184.72.0.0/18 (184.72.0.0 – 184.72.63.255)

50.18.0.0/16 (50.18.0.0 - 50.18.255.255)

184.169.128.0/17 (184.160.128.0 - 184.169.255.255) NEW


EU (Ireland):    

79.125.0.0/17 (79.125.0.0 - 79.125.127.255)

46.51.128.0/18 (46.51.128.0 - 46.51.191.255)

46.51.192.0/20 (46.51.192.0 - 46.51.207.255)

46.137.0.0/17 (46.137.0.0 - 46.137.127.255)

46.137.128.0/18 (46.137.128.0 - 46.137.191.255)

176.34.128.0/17 (176.34.128.0 - 176.34.255.255)

176.34.64.0/18 (176.34.64.0 – 176.34.127.255) NEW


Asia Pacific (Singapore)    

175.41.128.0/18 (175.41.128.0 - 175.41.191.255)

122.248.192.0/18 (122.248.192.0 - 122.248.255.255)

46.137.192.0/18 (46.137.192.0 - 46.137.255.255)

46.51.216.0/21 (46.51.216.0 - 46.51.223.255)


Asia Pacific (Tokyo)    

175.41.192.0/18 (175.41.192.0 - 175.41.255.255)

46.51.224.0/19 (46.51.224.0 - 46.51.255.255)

176.32.64.0/19 (176.32.64.0 - 176.32.95.255)

103.4.8.0/21 (103.4.8.0 - 103.4.15.255)

176.34.0.0/18 (176.34.0.0 - 176.34.63.255) NEW


South America (Sao Paulo)

177.71.128.0/17 (177.71.128.0 - 177.71.255.255) NEW
Ciaran
quelle