ፕሮሆስተር > ጦማር > አስተዳደር > ወደቦችን ለአለም አትክፈት - ትሰበራለህ (አደጋ)

ወደቦችን ለአለም አትክፈት - ትሰበራለህ (አደጋ)

ወደቦችን ለአለም አትክፈት - ትሰበራለህ (አደጋ)

ደጋግሜ፣ ኦዲት ካደረግኩ በኋላ፣ ወደቦችን ከነጭ ዝርዝር ጀርባ ለመደበቅ ለሰጠሁት ምክረ ሃሳብ ምላሽ፣ አለመግባባት ግድግዳ ገጥሞኛል። በጣም ጥሩ አስተዳዳሪዎች/ዴቭኦፕስ እንኳን፡ “ለምን?!?” ብለው ይጠይቃሉ።

የመከሰት እና የመጎዳት እድላቸው እየቀነሰ በሚሄድበት ጊዜ አደጋዎችን ግምት ውስጥ ማስገባት ሀሳብ አቀርባለሁ።

  1. የማዋቀር ስህተት
  2. DDoS በአይ.ፒ
  3. ጨካኝ ኃይል
  4. የአገልግሎት ድክመቶች
  5. የከርነል ቁልል ተጋላጭነቶች
  6. የ DDoS ጥቃቶች መጨመር

የማዋቀር ስህተት

በጣም የተለመደው እና አደገኛ ሁኔታ. እንዴት እንደሚከሰት. ገንቢው መላምቱን በፍጥነት መሞከር አለበት፤ ጊዜያዊ አገልጋይ በ mysql/redis/mongodb/elastic ያዘጋጃል። የይለፍ ቃሉ, በእርግጥ, ውስብስብ ነው, እሱ በሁሉም ቦታ ይጠቀማል. አገልግሎቱን ለአለም ይከፍታል - ያለእነዚህ የእርስዎ VPNs ከኮምፒዩተር ጋር ለመገናኘት ለእሱ ምቹ ነው። እና የ iptables አገባብ ለማስታወስ በጣም ሰነፍ ነኝ፤ ለማንኛውም አገልጋዩ ጊዜያዊ ነው። ሁለት ተጨማሪ ቀናት እድገት - በጣም ጥሩ ሆኖ ተገኝቷል, ለደንበኛው ልናሳየው እንችላለን. ደንበኛው ወደውታል፣ እሱን ለመድገም ምንም ጊዜ የለም፣ ወደ PROD እናስጀምረዋለን!

አንድ ምሳሌ ሆን ተብሎ የተጋነነ በሁሉም መሰኪያዎች ውስጥ ለማለፍ፡-

  1. ከጊዚያዊ የበለጠ ቋሚ ነገር የለም - ይህንን ሐረግ አልወደውም ፣ ግን እንደ ተጨባጭ ስሜቶች ፣ ከ20-40% እንደዚህ ያሉ ጊዜያዊ አገልጋዮች ለረጅም ጊዜ ይቀራሉ።
  2. በብዙ አገልግሎቶች ውስጥ ጥቅም ላይ የሚውል ውስብስብ ሁለንተናዊ የይለፍ ቃል ክፉ ነው። ምክንያቱም ይህ የይለፍ ቃል ጥቅም ላይ ከዋለባቸው አገልግሎቶች ውስጥ አንዱ ተጠልፎ ሊሆን ይችላል። በአንድ መንገድ ወይም በሌላ መንገድ የተጠለፉ አገልግሎቶች የውሂብ ጎታ ወደ አንድ ይጎርፋሉ, እሱም ለ [brute force] * ጥቅም ላይ ይውላል.
    ከተጫነ በኋላ ፣ ሬዲስ ፣ ሞንጎድብ እና ላስቲክ በአጠቃላይ ያለ ማረጋገጫ ይገኛሉ እና ብዙውን ጊዜ የሚሞሉ መሆናቸውን ማከል ጠቃሚ ነው። ክፍት የውሂብ ጎታዎች ስብስብ.
  3. የእርስዎን 3306 ወደብ በጥቂት ቀናት ውስጥ ማንም የማይቃኘው ሊመስል ይችላል። ቅዠት ነው! Masscan በጣም ጥሩ ስካነር ነው እና በሰከንድ 10M ወደቦች መቃኘት ይችላል። እና በበይነመረብ ላይ 4 ቢሊዮን IPv4 ብቻ አለ። በዚህ መሠረት በበይነመረብ ላይ ያሉት ሁሉም 3306 ወደቦች በ 7 ደቂቃዎች ውስጥ ይገኛሉ. ቻርለስ!!! ሰባት ደቂቃዎች!
    "ይህን ማን ያስፈልገዋል?" - ትቃወማለህ። ስለዚህ የተጣሉ ፓኬጆችን ስታቲስቲክስ ስመለከት በጣም ይገርመኛል። ከ 40 ሺህ ልዩ አይፒዎች 3 ሺህ የፍተሻ ሙከራዎች ከየት ይመጣሉ? አሁን ሁሉም ሰው እየቃኘ ነው፣ከእናት ጠላፊዎች እስከ መንግስታት። ለመፈተሽ በጣም ቀላል ነው - ማንኛውንም ቪፒኤስ በ$3-5 ከየትኛውም *** ዝቅተኛ ዋጋ ካለው አየር መንገድ ይውሰዱ፣ የተጣሉ ጥቅሎችን መግባትን አንቃ እና በአንድ ቀን ውስጥ መዝገቡን ይመልከቱ።

ምዝግብ ማስታወሻን በማንቃት ላይ

በ /etc/iptables/rules.v4 ውስጥ ወደ መጨረሻው ይጨምሩ፡
-A INPUT -j LOG --log-prefix "[FW - ALL]" --ሎግ-ደረጃ 4

እና በ /etc/rsyslog.d/10-iptables.conf
:msg፣contains,"[FW - "/var/log/iptables.log
& ተወ

DDoS በአይ.ፒ

አንድ አጥቂ የእርስዎን አይፒ የሚያውቅ ከሆነ አገልጋይዎን ለብዙ ሰዓታት ወይም ቀናት ሊጠልፍ ይችላል። ሁሉም ዝቅተኛ ወጭ ማስተናገጃ አቅራቢዎች የ DDoS ጥበቃ የላቸውም እና አገልጋይዎ በቀላሉ ከአውታረ መረቡ ጋር ያለው ግንኙነት ይቋረጣል። አገልጋይዎን ከሲዲኤን ጀርባ ከደበቁት፣ አይፒውን መቀየርዎን አይርሱ፣ አለበለዚያ ጠላፊ ጎግል ያደርገዋል እና አገልጋይዎ ሲዲኤን (በጣም ታዋቂ ስህተት) በማለፍ DDoS አገልጋይ ይሆናል።

የአገልግሎት ድክመቶች

ሁሉም ታዋቂ ሶፍትዌሮች ፈጥኖም ሆነ ዘግይቶ ስህተቶችን ያገኛሉ, በጣም የተሞከሩ እና ወሳኝ የሆኑትን እንኳን. ከ IB ስፔሻሊስቶች መካከል የግማሽ ቀልድ አለ - የመሠረተ ልማት ደህንነት በመጨረሻው ዝመና ጊዜ ደህንነቱ በተጠበቀ ሁኔታ ሊገመገም ይችላል። የእርስዎ መሠረተ ልማት በዓለም ላይ በሚጣበቁ ወደቦች የበለፀገ ከሆነ እና ለአንድ ዓመት ካላዘመኑት ማንኛውም የደህንነት ባለሙያ እርስዎ እንደፈሰሱ ሳይመለከቱ ይነግርዎታል እና ምናልባትም ቀድሞውኑ ተጠልፈዋል።
በተጨማሪም ሁሉም የታወቁ ድክመቶች በአንድ ወቅት የማይታወቁ እንደነበሩ መጥቀስ ተገቢ ነው. አስቡት አንድ ጠላፊ እንደዚህ አይነት ተጋላጭነት አግኝቶ በ7 ደቂቃ ውስጥ መገኘቱን ለማወቅ ሙሉውን ኢንተርኔት የቃኘ... አዲስ የቫይረስ ወረርሽኝ እዚህ አለ) ማዘመን አለብን፣ ይህ ግን ምርቱን ሊጎዳ ይችላል ይላሉ። እና ጥቅሎቹ ከኦፊሴላዊው የስርዓተ ክወና ማከማቻዎች ካልተጫኑ ትክክል ይሆናሉ። ከተሞክሮ፣ ከኦፊሴላዊው ማከማቻ የሚመጡ ዝማኔዎች ምርቱን እምብዛም አይሰብሩም።

ጨካኝ ኃይል

ከላይ እንደተገለፀው ከቁልፍ ሰሌዳ ለመተየብ ምቹ የሆነ ግማሽ ቢሊዮን የይለፍ ቃል ያለው የውሂብ ጎታ አለ. በሌላ አገላለጽ፣ የይለፍ ቃል ካላመነጩ፣ ነገር ግን በቁልፍ ሰሌዳው ላይ የአጎራባች ምልክቶችን ከተየብክ፣ ግራ እንደሚጋቡህ እርግጠኛ ሁን።

የከርነል ቁልል ተጋላጭነቶች።

የከርነል ኔትወርክ ቁልል እራሱ ለጥቃት በሚጋለጥበት ጊዜ የትኛው አገልግሎት ወደቡን ቢከፍት ምንም ችግር እንደሌለው **** ይከሰታል። ያም ማለት፣ በሁለት ዓመት ዕድሜ ላይ ያለ ማንኛውም tcp/udp ሶኬት ወደ DDoS ለሚወስደው ተጋላጭነት የተጋለጠ ነው።

የ DDoS ጥቃቶች መጨመር

ምንም አይነት ቀጥተኛ ጉዳት አያስከትልም, ነገር ግን ቻናልዎን ሊዘጋው, በሲስተሙ ላይ ያለውን ጭነት ሊጨምር ይችላል, የእርስዎ አይፒ በተወሰነ ጥቁር ዝርዝር ውስጥ ያበቃል *** እና ከአስተናጋጁ በደል ይደርስዎታል.

በእርግጥ እነዚህ ሁሉ አደጋዎች ያስፈልጉዎታል? ቤትዎን እና የስራ አይፒዎን ወደ ነጭ ዝርዝር ያክሉ። ምንም እንኳን ተለዋዋጭ ቢሆንም፣ በአስተናጋጁ የአስተዳዳሪ ፓኔል፣ በድር ኮንሶል በኩል ይግቡ እና ሌላ ብቻ ያክሉ።

ለ15 ዓመታት የአይቲ መሠረተ ልማትን በመገንባትና በመጠበቅ ላይ ነኝ። ለሁሉም ሰው አጥብቄ የምመክረው አንድ ደንብ አዘጋጅቻለሁ - ያለ ነጭ-ዝርዝር የትኛውም ወደብ በዓለም ላይ መጣበቅ የለበትም.

ለምሳሌ በጣም ደህንነቱ የተጠበቀ የድር አገልጋይ *** 80 እና 443 ለCDN/WAF ብቻ የሚከፍተው ነው። እና የአገልግሎት ወደቦች (ssh, netdata, bacula, phpmyadmin) ቢያንስ ከነጭ ዝርዝር ጀርባ እና እንዲያውም ከ VPN ጀርባ የተሻሉ መሆን አለባቸው. ያለበለዚያ ለችግር ሊጋለጡ ይችላሉ።

ይህን ነው ለማለት የፈለኩት። ወደቦችዎ እንዲዘጉ ያድርጉ!

  • (1) UPD1: ይህ ነው አሪፍ ሁለንተናዊ የይለፍ ቃልዎን ማረጋገጥ ይችላሉ (ይህንን የይለፍ ቃል በሁሉም አገልግሎቶች ውስጥ በዘፈቀደ አንድ ሳይቀይሩት ይህንን አያድርጉ)፣ በተዋሃደ የውሂብ ጎታ ውስጥ ታየ እንደሆነ። እና እዚህ ምን ያህል አገልግሎቶች እንደተጠለፉ፣ ኢሜልዎ የተካተተበትን ማየት ይችላሉ፣ እና በዚህ መሰረት፣ የእርስዎ አሪፍ ሁለንተናዊ ይለፍ ቃል ተበላሽቶ እንደሆነ ይወቁ።
  • (2) ለአማዞን ክሬዲት፣ LightSail አነስተኛ ቅኝቶች አሉት። በሆነ መንገድ ያጣሩት ይመስላል።
  • (3) ይበልጥ ደህንነቱ የተጠበቀ የድር አገልጋይ ከተለየ ፋየርዎል ጀርባ ያለው የራሱ WAF ነው፣ ግን እየተነጋገርን ያለነው ስለ ህዝብ ቪፒኤስ/Dedicated ነው።
  • (4) Segmentsmak.
  • (5) ፋየርሆል.

በዳሰሳ ጥናቱ ውስጥ የተመዘገቡ ተጠቃሚዎች ብቻ መሳተፍ ይችላሉ። ስግን እንእባክህን።

ወደቦችዎ ተጣብቀዋል?

  • ሁልጊዜ

  • አንዳንድ ጊዜ

  • በጭራሽ

  • እኔ አላውቅም፣ ፌክ

54 ተጠቃሚዎች ድምጽ ሰጥተዋል። 6 ተጠቃሚዎች ድምፀ ተአቅቦ አድርገዋል።

ምንጭ: hab.com

አስተያየት ያክሉ