ProHoster > Blog > administrasie > Moenie poorte vir die wêreld oopmaak nie - jy sal gebreek wees (risiko's)

Moenie poorte vir die wêreld oopmaak nie - jy sal gebreek wees (risiko's)

Moenie poorte vir die wêreld oopmaak nie - jy sal gebreek wees (risiko's)

Keer op keer, nadat ek 'n oudit gedoen het, in reaksie op my aanbevelings om die hawens agter 'n witlys weg te steek, word ek met 'n muur van misverstand teëgekom. Selfs baie cool admins/DevOps vra: "Hoekom?!?"

Ek stel voor om risiko's te oorweeg in dalende volgorde van waarskynlikheid van voorkoms en skade.

  1. Konfigurasiefout
  2. DDoS oor IP
  3. Brute krag
  4. Diens kwesbaarhede
  5. Kernestapel kwesbaarhede
  6. Verhoogde DDoS-aanvalle

Konfigurasiefout

Die mees tipiese en gevaarlikste situasie. Hoe dit gebeur. Die ontwikkelaar moet die hipotese vinnig toets; hy stel 'n tydelike bediener op met mysql/redis/mongodb/elastic. Die wagwoord is natuurlik kompleks, hy gebruik dit oral. Dit maak die diens oop vir die wêreld - dit is gerieflik vir hom om van sy rekenaar af te koppel sonder hierdie VPN's van jou. En ek is te lui om die iptables-sintaksis te onthou; die bediener is in elk geval tydelik. Nog 'n paar dae van ontwikkeling - dit het wonderlik uitgedraai, ons kan dit aan die kliënt wys. Die kliënt hou daarvan, daar is nie tyd om dit oor te doen nie, ons begin dit in PROD!

'n Voorbeeld wat doelbewus oordrewe is om deur al die hark te gaan:

  1. Daar is niks meer permanent as tydelik nie - ek hou nie van hierdie frase nie, maar volgens subjektiewe gevoelens bly 20-40% van sulke tydelike bedieners vir 'n lang tyd.
  2. 'n Komplekse universele wagwoord wat in baie dienste gebruik word, is boos. Want een van die dienste waar hierdie wagwoord gebruik is, kon gekap gewees het. Op een of ander manier stroom die databasisse van gehackte dienste in een, wat gebruik word vir [brute force]*.
    Dit is die moeite werd om by te voeg dat na installasie, redis, mongodb en elastic oor die algemeen sonder verifikasie beskikbaar is, en dikwels aangevul word versameling van oop databasisse.
  3. Dit lyk dalk asof niemand jou 3306-poort binne 'n paar dae sal skandeer nie. Dis 'n waan! Masscan is 'n uitstekende skandeerder en kan teen 10M poorte per sekonde skandeer. En daar is net 4 miljard IPv4 op die internet. Gevolglik is al 3306 poorte op die internet binne 7 minute geleë. Charles!!! Sewe minute!
    “Wie het dit nodig?” - jy maak beswaar. Ek is dus verbaas as ek kyk na die statistieke van pakkette wat afgelaai is. Waar kom 40 duisend skanderingpogings van 3 duisend unieke IP's per dag vandaan? Nou is almal besig om te skandeer, van ma se hackers tot regerings. Dit is baie maklik om na te gaan - neem enige VPS vir $3-5 van enige ** laekostelugredery, maak dit moontlik om pakkette te registreer en kyk na die log in 'n dag.

Aktiveer aanteken

Voeg in /etc/iptables/rules.v4 by tot die einde:
-A INVOER -j LOG --log-voorvoegsel "[FW - ALLE] " --log-vlak 4

En in /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - " /var/log/iptables.log
& stop

DDoS oor IP

As 'n aanvaller jou IP ken, kan hy jou bediener vir 'n paar uur of dae kaap. Nie alle laekoste-gasheerverskaffers het DDoS-beskerming nie en jou bediener sal eenvoudig van die netwerk ontkoppel word. As jy jou bediener agter 'n CDN weggesteek het, moenie vergeet om die IP te verander nie, anders sal 'n hacker dit google en jou bediener DDoS om die CDN te omseil ('n baie gewilde fout).

Diens kwesbaarhede

Alle gewilde sagteware vind vroeër of later foute, selfs die mees beproefde en kritieke. Onder IB-spesialiste is daar 'n halwe grap - die sekuriteit van die infrastruktuur kan veilig beoordeel word teen die tyd van die laaste opdatering. As jou infrastruktuur ryk is aan hawens wat in die wêreld uitsteek, en jy het dit vir 'n jaar nie opgedateer nie, dan sal enige sekuriteitspesialis vir jou sê sonder om te kyk dat jy lekkend is, en heel waarskynlik reeds gekap is.
Dit is ook die moeite werd om te noem dat alle bekende kwesbaarhede eens onbekend was. Stel jou 'n hacker voor wat so 'n kwesbaarheid gevind het en die hele internet binne 7 minute geskandeer het vir sy teenwoordigheid ... Hier is 'n nuwe virus-epidemie) Ons moet opdateer, maar dit kan die produk benadeel, sê jy. En jy sal reg wees as die pakkette nie vanaf die amptelike OS-bewaarplekke geïnstalleer is nie. Uit ondervinding breek opdaterings van die amptelike bewaarplek selde die produk.

Brute krag

Soos hierbo beskryf, is daar 'n databasis met 'n halfmiljard wagwoorde wat gerieflik is om vanaf die sleutelbord te tik. Met ander woorde, as jy nie 'n wagwoord gegenereer het nie, maar aangrensende simbole op die sleutelbord getik het, wees verseker* dat dit jou sal verwar.

Kernestapel kwesbaarhede.

Dit gebeur ook **** dat dit nie eers saak maak watter diens die poort oopmaak nie, wanneer die kernnetwerkstapel self kwesbaar is. Dit wil sê, absoluut enige tcp/udp-sok op 'n twee jaar oue stelsel is vatbaar vir 'n kwesbaarheid wat tot DDoS lei.

Verhoogde DDoS-aanvalle

Dit sal geen direkte skade veroorsaak nie, maar dit kan jou kanaal verstop, die las op die stelsel verhoog, jou IP sal op die een of ander swartlys***** beland, en jy sal misbruik van die gasheer ontvang.

Het jy regtig al hierdie risiko's nodig? Voeg jou huis- en werk-IP by die witlys. Selfs al is dit dinamies, meld aan deur die gasheer se administrasiepaneel, deur die webkonsole, en voeg net nog een by.

Ek bou en beskerm reeds vir 15 jaar IT-infrastruktuur. Ek het 'n reël ontwikkel wat ek sterk aanbeveel vir almal - geen hawe moet in die wêreld uitsteek sonder 'n witlys nie.

Byvoorbeeld, die veiligste webbediener*** is die een wat 80 en 443 net vir CDN/WAF oopmaak. En dienspoorte (ssh, netdata, bacula, phpmyadmin) moet ten minste agter die witlys wees, en selfs beter agter die VPN. Andersins loop jy die risiko om in die gedrang te kom.

Dis al wat ek wou sê. Hou jou hawens gesluit!

  • (1) UPD 1: Hier jy kan jou cool universele wagwoord nagaan (moenie dit doen sonder om hierdie wagwoord met 'n ewekansige een in alle dienste te vervang nie), of dit in die saamgevoegde databasis verskyn het. En hier jy kan sien hoeveel dienste gekap is, waar jou e-pos ingesluit is, en dienooreenkomstig uitvind of jou oulike universele wagwoord gekompromitteer is.
  • (2) Tot Amazon se krediet het LightSail minimale skanderings. Blykbaar filter hulle dit op een of ander manier.
  • (3) 'n Selfs veiliger webbediener is die een agter 'n toegewyde firewall, sy eie WAF, maar ons praat van publieke VPS/Dedicated.
  • (4) Segmentmak.
  • (5) Vuurhol.

Slegs geregistreerde gebruikers kan aan die opname deelneem. Meld aan, asseblief.

Steek jou poorte uit?

  • altyd

  • soms

  • Nooit

  • Ek weet nie, fok

54 gebruikers het gestem. 6 gebruikers het buite stemming gebly.

Bron: will.com

Voeg 'n opmerking