ወደቦችን ለአለም አትክፈት - ትሰበራለህ (አደጋ)

ኦዲት ካደረግኩ በኋላ፣ ወደቦችን በነጭ ዝርዝር ውስጥ ለማስገባት የምሰጣቸው ምክሮች ግራ መጋባት ውስጥ ይገባሉ። በጣም ቁርጠኛ የሆኑ አስተዳዳሪዎች/ዴቭኦፕስ እንኳን "ለምን?!?" ብለው ይጠይቃሉ።

አደጋዎችን የመከሰት እና የመጎዳት እድልን በቅደም ተከተል ግምት ውስጥ ማስገባት ሀሳብ አቀርባለሁ።

1. የማዋቀር ስህተት
2. የአይፒ ዲዶኤስ
3. ጨካኝ ኃይል
4. የአገልግሎት ተጋላጭነቶች
5. የከርነል ቁልል ተጋላጭነቶች
6. የDDoS ጥቃቶች መጨመር

የማዋቀር ስህተት

በጣም የተለመደው እና አደገኛ ሁኔታ። እንዴት እንደሚሆን እነሆ። አንድ ገንቢ መላምት በፍጥነት መሞከር አለበት፣ ስለዚህ በMySQL/Redis/MongoDB/Elastic ጊዜያዊ አገልጋይ ያዘጋጃሉ። የይለፍ ቃሉ በእርግጥ ውስብስብ ነው፤ በሁሉም ቦታ ይጠቀማሉ። አገልግሎቱን ለዓለም ይከፍታሉ - እነዚያ VPNዎች ሳይኖሩ ከኮምፒዩተራቸው GUI በመጠቀም መገናኘት ለእነሱ ምቹ ነው። ነገር ግን የiptables አገባብን ለማስታወስ በጣም ሰነፍ ናቸው፤ አገልጋዩ ለማንኛውም ጊዜያዊ ነው። ጥቂት ተጨማሪ የልማት ቀናት - ፍጹም ነው፣ ለደንበኛው ለማሳየት ዝግጁ ነው። ደንበኛው ይወደዋል፣ እንደገና ለመስራት ጊዜ የለውም፣ ስለዚህ ወደ ምርት እናስጀምራለን!

ሁሉንም መንጠቆዎች ለመርገጥ ሆን ተብሎ የተጋነነ ምሳሌ፡

1. ጊዜያዊ ከሆነ ነገር የበለጠ ቋሚ ነገር የለም - ይህንን ሐረግ አልወደውም፣ ነገር ግን በግላዊ መልኩ፣ እንደዚህ አይነት ጊዜያዊ አገልጋዮች ከ20-40% የሚሆኑት ለረጅም ጊዜ ይቆያሉ።
2. በብዙ አገልግሎቶች ውስጥ ጥቅም ላይ የሚውል ውስብስብ፣ ሁሉን አቀፍ የይለፍ ቃል መጥፎ ሀሳብ ነው። ምክንያቱም ይህ የይለፍ ቃል ጥቅም ላይ ከዋለባቸው አገልግሎቶች አንዱ ተጠልፎ ሊሆን ይችላል። በአንድ ወይም በሌላ መንገድ፣ የተጠለፉ አገልግሎቶች የውሂብ ጎታዎች ወደ አንድ ይሰባሰባሉ፣ ይህም ለ brute-force ጥቃቶች ጥቅም ላይ ይውላል።
   ሬድስ፣ ሞንጎብ እና ኤላስቲክ ከተጫነ በኋላ በአጠቃላይ ያለ ማረጋገጫ ተደራሽ መሆናቸውን እና ብዙውን ጊዜ እንደገና እንደሚሞሉ ማከል ተገቢ ነው። ክፍት የውሂብ ጎታዎች ስብስብ.
3. በጥቂት ቀናት ውስጥ ማንም ሰው የ3306 ወደብዎን አይቃኝም። ይህ የተሳሳተ ግንዛቤ ነው! ማሳስካን በጣም ጥሩ ስካነር ሲሆን በሰከንድ 10M ወደቦችን መቃኘት ይችላል። እና በኢንተርኔት ላይ 4 ቢሊዮን የአይፒቪ4 አድራሻዎች ብቻ አሉ። ስለዚህ፣ በኢንተርኔት ላይ ያሉት 3306 ወደቦች በሙሉ በ7 ደቂቃዎች ውስጥ ሊገኙ ይችላሉ። ካርል!!! ሰባት ደቂቃዎች!
   "ማን ያስፈልገዋል?" ብለህ ልትቃወም ትችላለህ። የፓኬት መጣል ስታቲስቲክስን ስመለከትም እገረማለሁ። ከ3,000 ልዩ አይፒዎች 40,000 የፍተሻ ሙከራዎች በአንድ ቀን ውስጥ ከየት ይመጣሉ? በአሁኑ ጊዜ ሁሉም ሰው እና ውሻቸው ከጠላፊዎች እስከ መንግስታት ድረስ እየተቃኙ ነው። ለመፈተሽ በጣም ቀላል ነው፡ ማንኛውንም VPS ከማንኛውም** ዝቅተኛ ዋጋ ካለው አገልግሎት አቅራቢ በ$3-5 ያግኙ፣ የፓኬት መጣል ምዝግብ ማስታወሻን ያንቁ እና ከ24 ሰዓታት በኋላ ምዝግብ ማስታወሻውን ያረጋግጡ።

ምዝግብ ማስታወሻን በማንቃት ላይ

በ /etc/iptables/rules.v4 ውስጥ ወደ መጨረሻው ያክሉት፡
-A ግቤት -j LOG --log-prefix "[FW - ALL] " --log-level 4

እና በ/etc/rsyslog.d/10-iptables.conf ውስጥ
":msg,ይይዛል,"[FW - "/var/log/iptables.log
& ተወ

የአይፒ ዲዶኤስ

አንድ አጥቂ የእርስዎን አይፒ የሚያውቅ ከሆነ፣ አገልጋይዎን ለብዙ ሰዓታት ወይም ለቀናት እንኳን DDoS ማድረግ ይችላል። ሁሉም ዝቅተኛ ዋጋ ያላቸው የማስተናገጃ አቅራቢዎች የDDoS ጥበቃ አይሰጡም፣ እና አገልጋይዎ በቀላሉ ከመስመር ውጭ ይወሰዳል። አገልጋይዎን ከCDN ጀርባ ከደበቁት፣ የአይፒ አድራሻዎን መቀየርዎን ያረጋግጡ፣ አለበለዚያ ጠላፊ በGoogle እና በDDoS አገልጋይዎ ላይ CDNን በማለፍ ያገኛል (በጣም የተለመደ ስህተት)።

የአገልግሎት ተጋላጭነቶች

ሳንካዎች በመጨረሻ በሁሉም ታዋቂ ሶፍትዌሮች ውስጥ ይገኛሉ፣ በጣም በተፈተኑ እና ወሳኝ በሆኑት እንኳን። በመረጃ ደህንነት ባለሙያዎች መካከል ግማሽ ቀልድ የሚመስል አባባል አለ፡ የመሠረተ ልማት ደህንነት በመጨረሻው ዝመና ወቅት ደህንነቱ በተጠበቀ ሁኔታ ሊገመገም ይችላል። መሠረተ ልማትዎ በተጋለጡ ወደቦች የተሞላ ከሆነ እና በአንድ ዓመት ውስጥ ካላዘመኑት፣ ማንኛውም የደህንነት ባለሙያ ጉድለት እንዳለብዎት እና ምናልባትም ተጠልፎ ሊሆን እንደሚችል ሳያይ ይነግርዎታል።
እንዲሁም ሁሉም የሚታወቁ ተጋላጭነቶች በአንድ ወቅት የማይታወቁ እንደነበሩ መጥቀስ ተገቢ ነው። እንዲህ አይነት ተጋላጭነትን ያገኘ እና መላውን ኢንተርኔት በሰባት ደቂቃ ውስጥ የቃኘ ጠላፊ አስቡት... አዲስ የቫይረስ ወረርሽኝ! "ማዘመን አለብን፣ ግን ያ ምርቱን ሊጎዳ ይችላል" ሊሉ ይችላሉ። እና ትክክል ነዎት፣ ከኦፊሴላዊ የስርዓተ ክወና ማከማቻዎች ፓኬጆችን እየጫኑ ካልሆነ በስተቀር። በእኔ ልምድ፣ ከኦፊሴላዊ ማከማቻ ዝማኔዎች ምርቱን እምብዛም አያበላሹትም።

ጨካኝ ኃይል

ከላይ እንደተገለጸው፣ ለመተየብ ቀላል የሆኑ ግማሽ ቢሊዮን የይለፍ ቃሎችን የያዘ የውሂብ ጎታ አለ። በሌላ አነጋገር፣ የይለፍ ቃል ካላመነጩ ነገር ግን በቁልፍ ሰሌዳው ላይ በአቅራቢያ ያሉ ቁምፊዎችን ከተየቡ፣ በጭካኔ እንደሚገደዱ እርግጠኛ መሆን ይችላሉ።

የከርነል ቁልል ተጋላጭነቶች።

እንዲሁም የከርነል ኔትወርክ ቁልል ራሱ ተጋላጭ በሚሆንበት ጊዜ የትኛው አገልግሎት ወደቡን እንደሚከፍት ምንም ለውጥ አያመጣም። ይህ ማለት በሁለት ዓመት ዕድሜ ላይ ባለ ስርዓት ላይ ያለ ማንኛውም የTCP/UDP ሶኬት ለDDoS ተጋላጭነት የተጋለጠ ነው ማለት ነው።

የDDoS ጥቃቶች መጨመር

ምንም አይነት ቀጥተኛ ጉዳት አያስከትልም፣ ነገር ግን ቻናልዎን ሊዘጋ፣ በስርዓቱ ላይ ያለውን ጭነት ሊጨምር፣ የአይፒ አድራሻዎ በጥቁር መዝገብ ውስጥ ሊገባ ይችላል*****፣ እና በማስተናገጃ አቅራቢው ሊበደሉ ይችላሉ።

በእርግጥ ይህ ሁሉ አደጋ ያስፈልገዎታል? የቤት እና የስራ አይፒ አድራሻዎችዎን ወደ ነጭ ዝርዝሩ ያክሉ። ተለዋዋጭ ቢሆኑም እንኳ ወደ ማስተናገጃ መለያዎ የአስተዳዳሪ ፓነል ወይም የድር ኮንሶል ይግቡ እና ሌላ ያክሉ።

ለ15 ዓመታት የአይቲ መሠረተ ልማት እየገነባሁ እና እያረጋገጥኩ ነው። ለሁሉም ሰው በጣም የምመክረውን ደንብ አዘጋጅቻለሁ፡ ያለ ነጭ ዝርዝር ወደ ዓለም መግባት የሚችል ወደብ ሊኖር አይገባም።.

ለምሳሌ፣ በጣም ደህንነቱ የተጠበቀ የድር አገልጋይ*** ለCDN/WAF ክፍት የሆኑ ወደቦች 80 እና 443 ብቻ ያሉት ነው። የአገልግሎት ወደቦች (ssh፣ netdata፣ bacula፣ phpmyadmin) ቢያንስ በተፈቀደላቸው ዝርዝር ውስጥ መግባት አለባቸው፣ እና በተለይም ከVPN ጀርባ መሆን አለባቸው። አለበለዚያ፣ አደጋ ላይ ሊወድቁ ይችላሉ።

ያለኝ ይሄ ብቻ ነው። ወደቦችህን ዝግ አድርገህ ጠብቅ!

• (1) UPD1: ይህ ነው አሪፍ ሁለንተናዊ የይለፍ ቃልዎን ማረጋገጥ ይችላሉ (ይህንን የይለፍ ቃል በሁሉም አገልግሎቶች ውስጥ በዘፈቀደ ሳይተኩት ይህንን አያድርጉ።)፣ በተለቀቀው የውሂብ ጎታ ውስጥ የታየ እንደሆነ። እና እዚህ የኢሜይል አድራሻዎ ጥቅም ላይ የዋለባቸውን አገልግሎቶች ስንት እንደተጠለፉ ማየት ይችላሉ፣ እና በዚህ መሠረት፣ አሪፍ ሁለንተናዊ የይለፍ ቃልዎ ተጥሶ እንደሆነ ማወቅ ይችላሉ።
• (2) በአማዞን ዘንድ፣ ላይትሳይል አነስተኛ ቅኝቶች አሉት። በሆነ መንገድ ያጣራሉ።
• (3) የበለጠ ደህንነቱ የተጠበቀ የድር አገልጋይ ማለት ከተወሰነ ፋየርዎል ጀርባ የሚገኝ፣ የራሱ WAF ያለው ሲሆን፣ እኛ ግን ስለ ፐብሊክ VPS/Dedicated እየተነጋገርን ነው።
• (4) ሴግመንትስማክ።
• (5) የእሳት ጉድጓድ።

በዳሰሳ ጥናቱ ውስጥ የተመዘገቡ ተጠቃሚዎች ብቻ መሳተፍ ይችላሉ። ስግን እንእባክህን።

ወደቦችዎ ይጣበቃሉ?

• ሁልጊዜ
• አንዳንድ ጊዜ
• በጭራሽ
• አላውቅም፣ ግድ የለኝም

54 ተጠቃሚዎች ድምጽ ሰጥተዋል። 6 ተጠቃሚዎች ድምፀ ተአቅቦ አድርገዋል።

ምንጭ: hab.com