2分で紹介!私がAWS Network Firewall Proxyを待ち望んでいた理由

167 Views

December 16, 25

スライド概要

2分LT用資料。
AWS Network Firewall Proxyの導入を待ち望んだ理由や、既存のNetwork Firewallの課題について説明しています。特に、SNIスプーフィング攻撃の仕組みを解説し、Network Firewall Proxyがどのようにこの攻撃を防ぐかを示しています。3つの検査フェーズを通じて、ProxyがDNS解決やリクエスト検査を行うことの重要性を強調しています。スライドの最後には、さらなる詳細情報をZennで提供していることを案内しています。

profile-image
スライド一覧

Japan AWS Top Engineers (2024-2025) Japan AWS All Certifications Engineers(2024-2025) 発言や投稿は個人の意見であり所属する組織を代表しません

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

関連スライド

slide-thumbnail

VPC Latticeってすごく便利!~でもお高いんでしょう…?~
aws vpc lattice アプリケーションネットワーキング セキュリティ コスト分析
user-img Hidetoshi Sakamoto 30.5K
slide-thumbnail

マルチアカウント×ハイブリッドクラウド構成におけるRoute53
route53 ハイブリッドクラウド マルチアカウント aws dns
user-img Hidetoshi Sakamoto 11.5K
slide-thumbnail

Well-Architected レビューをLLMにお願いしてみる
user-img Hidetoshi Sakamoto 5.7K
slide-thumbnail

Route53がCloudFrontのHTTPS レコード対応したぞ
user-img Hidetoshi Sakamoto 548
slide-thumbnail

KH Coder 3 チュートリアル
user-img HIGUCHI Koichi 734.4K
slide-thumbnail

【初心者向け】UE5 シーケンサーと Movie Render Queue の使い方【Cinematic Dive 2023】
ue5 ue-nongame
user-img エピック ゲームズ ジャパン 286K
各ページのテキスト
1.

2分で紹介! 私がAWS Network Firewall Proxyを 待ち望んでいた理由 2025/12/16 re:cap LT 大会 Hidetoshi Sakamoto

2.

自己紹介 坂本 英駿 / Hidetoshi Sakamoto SIerでインフラエンジニアをやっています。 今年第2子が生まれて7か月の育休を経て12月1日から復職しました。 2025 Japan AWS Top Engineers (Networking) 2025 Japan All AWS Certifications Engineers

3.

既存のNetwork Firewallは「性善説」 悪意あるクライアントがいたら…?

4.

ドメインリストルールの仕組み 検査対象 • HTTP → Hostヘッダを検査 • リクエスト内で接続先ドメインを指定するヘッダ • HTTPS → SNI(Server Name Indication)を検査 • TLSハンドシェイク時に平文で送信されるドメイン名

5.

ドメインリストルールの仕組み 検査対象 • HTTP → Hostヘッダを検査 • リクエスト内で接続先ドメインを指定するヘッダ • HTTPS → SNI(Server Name Indication)を検査 • TLSハンドシェイク時に平文で送信されるドメイン名 ただし、上記ヘッダは必ずしも宛先を示しているとは限らない…

6.

SNIスプーフィング攻撃の仕組み マルウェア 攻撃者サーバー Network Firewall (1.2.3.4) curl --resolve aws.amazon.com:443:1.2.3.4 \ https://aws.amazon.com/ で をバイパス --resolve DNS 接続 問題点 TLS SNI: aws.amazon.com IP: 1.2.3.4 宛先 FWはSNIだけ検査し、接続先IPは検証しない FWは自分でDNS解決しないのでIPの偽装を検知で きない は 許可リストにある! SNI=aws.amazon.com 通過 → 許可ドメインを偽装して任意のIPに接続可能 通信成功 C2 マルウェア 攻撃コマンド例 Network Firewall 攻撃者サーバー (1.2.3.4)

7.

SNIスプーフィング攻撃の仕組み マルウェア 攻撃者サーバー Network Firewall (1.2.3.4) curl --resolve aws.amazon.com:443:1.2.3.4 \ https://aws.amazon.com/ で をバイパス --resolve DNS 接続 問題点 TLS SNI: aws.amazon.com IP: 1.2.3.4 宛先 FWはSNIだけ検査し、接続先IPは検証しない FWは自分でDNS解決しないのでIPの偽装を検知で きない は 許可リストにある! SNI=aws.amazon.com 通過 → 許可ドメインを偽装して任意のIPに接続可能 通信成功 C2 マルウェア 攻撃コマンド例 Network Firewall 攻撃者サーバー (1.2.3.4) この仕様がSNIを偽装しないという 「性善説」に立っていると感じました

8.

Proxy経由の通信フロー マルウェア aws.amazon.com ( IP) 正規 Network Firewall Proxy CONNECT aws.amazon.com:443 → SNIスプーフィングは物理的に不可能 接続 TLS レスポンス 正規サーバーの応答 Network Firewall Proxy Proxy自身がドメイン名からDNS解決 クライアントが指定したIPは無視される 結果 が 解決 正規 を取得 Proxy DNS → IP マルウェア Proxyのポイント aws.amazon.com ( IP) 正規

9.

Network Firewall Proxyの3フェーズ検査 クライアント Network Firewall Proxy 宛先サーバー ① PreDNS DNS解決 ② PreRequest(リクエスト送信前) リクエスト HTTP 不正なURLパス・メソッド 悪意あるHTTPヘッダ ② PreRequest リクエスト転送 レスポンス ③ PostResponse ③ PostResponse(レスポンス受信後) レスポンス転送 クライアント ① PreDNS(DNS解決前) 不正ドメインへのアクセス DNSトンネリング CONNECT example.com:443 Network Firewall Proxy 宛先サーバー マルウェアダウンロード 不正なコンテンツタイプ

10.

続きはZennで! 今回紹介しきれなかった実際の構築手順なども解説しています。 各フェーズの設定例なども記載していますので、ぜひご覧ください。

11.

ご清聴ありがとうございました! 早くGAしてほし~