ProHoster > بلوق > إدارة > لا تفتح المنافذ للعالم - سوف تنكسر (مخاطر)

لا تفتح المنافذ للعالم - سوف تنكسر (مخاطر)

لا تفتح المنافذ للعالم - سوف تنكسر (مخاطر)

مرارًا وتكرارًا، بعد إجراء التدقيق، واستجابة لتوصياتي بإخفاء المنافذ خلف القائمة البيضاء، أواجه جدارًا من سوء الفهم. حتى المشرفون/DevOps الرائعون جدًا يسألون: "لماذا؟!؟"

أقترح النظر في المخاطر بترتيب تنازلي لاحتمالية حدوثها والضرر.

  1. خطأ في تكوين
  2. DDoS عبر IP
  3. القوة الغاشمة
  4. نقاط الضعف في الخدمة
  5. نقاط الضعف في مكدس النواة
  6. زيادة هجمات DDoS

خطأ في تكوين

الوضع الأكثر نموذجية وخطيرة. كيف يحدث ذلك. يحتاج المطور إلى اختبار الفرضية بسرعة؛ فهو يقوم بإعداد خادم مؤقت باستخدام mysql/redis/mongodb/elastic. كلمة المرور، بالطبع، معقدة، فهو يستخدمها في كل مكان. إنه يفتح الخدمة للعالم - من السهل عليه الاتصال من جهاز الكمبيوتر الخاص به دون استخدام شبكات VPN الخاصة بك. وأنا كسول جدًا لدرجة أنني لا أستطيع تذكر صيغة iptables، فالخادم مؤقت على أي حال. بضعة أيام أخرى من التطوير - لقد أصبح الأمر رائعًا، ويمكننا عرضه على العميل. أعجب العميل، ليس هناك وقت لإعادة ذلك، نطلقه في PROD!

مثال مبالغ فيه عمدا من أجل الخوض في كل أشعل النار:

  1. لا يوجد شيء دائم أكثر من المؤقت - لا أحب هذه العبارة، ولكن وفقًا للمشاعر الذاتية، فإن 20-40٪ من هذه الخوادم المؤقتة تبقى لفترة طويلة.
  2. كلمة المرور العالمية المعقدة المستخدمة في العديد من الخدمات تعتبر شريرة. لأنه من الممكن أن تكون إحدى الخدمات التي تم استخدام كلمة المرور هذه قد تعرضت للاختراق. بطريقة أو بأخرى، تتجمع قواعد بيانات الخدمات المخترقة في قاعدة واحدة، تُستخدم في [القوة الغاشمة]*.
    تجدر الإشارة إلى أنه بعد التثبيت، يتوفر redis وmongodb و Elastic بشكل عام بدون مصادقة، وغالبًا ما يتم تجديدهما مجموعة من قواعد البيانات المفتوحة.
  3. قد يبدو أنه لن يقوم أحد بفحص منفذ 3306 الخاص بك في غضون يومين. إنه وهم! يعد Masscan ماسحًا ضوئيًا ممتازًا ويمكنه إجراء المسح بسرعة 10 ملايين منفذ في الثانية. ولا يوجد سوى 4 مليارات IPv4 على الإنترنت. وبناء على ذلك، تقع جميع منافذ الإنترنت البالغ عددها 3306 في 7 دقائق. تشارلز !!! سبع دقائق!
    "من يحتاج إلى هذا؟" - أنت تعترض. لذلك أنا مندهش عندما أنظر إلى إحصائيات الطرود المسقطة. من أين تأتي 40 ألف محاولة فحص من 3 آلاف عنوان IP فريد يوميًا؟ الآن يقوم الجميع بالمسح، بدءًا من قراصنة الأمهات وحتى الحكومات. من السهل جدًا التحقق من ذلك - احصل على أي VPS مقابل 3-5 دولارات من أي شركة طيران ** منخفضة التكلفة، وقم بتمكين تسجيل الحزم المسقطة وإلقاء نظرة على السجل في اليوم.

تمكين التسجيل

في /etc/iptables/rules.v4 أضف إلى النهاية:
-A INPUT -j LOG --log-prefix "[FW - ALL]" --log-level 4

وفي /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - " /var/log/iptables.log
& قف

DDoS عبر IP

إذا عرف أحد المهاجمين عنوان IP الخاص بك، فيمكنه اختطاف الخادم الخاص بك لعدة ساعات أو أيام. لا يتمتع جميع موفري خدمات الاستضافة منخفضة التكلفة بحماية DDoS وسيتم ببساطة فصل خادمك عن الشبكة. إذا قمت بإخفاء خادمك خلف شبكة CDN، فلا تنس تغيير عنوان IP، وإلا فسيقوم أحد المتسللين بالبحث عنه عبر Google وسيقوم خادم DDoS الخاص بك بتجاوز CDN (خطأ شائع جدًا).

نقاط الضعف في الخدمة

جميع البرامج الشائعة تكتشف الأخطاء عاجلاً أم آجلاً، حتى تلك الأكثر اختبارًا وأهمية. هناك نصف مزحة بين متخصصي البكالوريا الدولية - يمكن تقييم أمان البنية التحتية بأمان بحلول وقت التحديث الأخير. إذا كانت بنيتك التحتية غنية بالمنافذ البارزة في العالم، ولم تقم بتحديثها لمدة عام، فسيخبرك أي متخصص أمني دون النظر إلى أنك متسرب، وعلى الأرجح قد تم اختراقك بالفعل.
ومن الجدير بالذكر أيضًا أن جميع نقاط الضعف المعروفة كانت غير معروفة في السابق. تخيل متسللًا اكتشف مثل هذه الثغرة الأمنية وقام بفحص الإنترنت بالكامل في 7 دقائق بحثًا عن وجودها... هنا وباء فيروسي جديد) نحن بحاجة إلى التحديث، لكن هذا يمكن أن يضر المنتج، كما تقول. وستكون على حق إذا لم يتم تثبيت الحزم من مستودعات نظام التشغيل الرسمية. من خلال الخبرة، نادرًا ما تؤدي التحديثات من المستودع الرسمي إلى تعطيل المنتج.

القوة الغاشمة

كما هو موضح أعلاه، هناك قاعدة بيانات تحتوي على نصف مليار كلمة مرور يسهل كتابتها من لوحة المفاتيح. بمعنى آخر، إذا لم تقم بإنشاء كلمة مرور، ولكنك كتبت رموزًا متجاورة على لوحة المفاتيح، فكن مطمئنًا* أنك ستتعرض للسرقة.

نقاط الضعف في مكدس النواة.

ويحدث أيضًا **** أنه لا يهم حتى الخدمة التي تفتح المنفذ، عندما يكون مكدس شبكة kernel نفسه عرضة للخطر. وهذا يعني أن أي مقبس tcp/udp على نظام عمره عامين يكون عرضة لثغرة أمنية تؤدي إلى DDoS.

زيادة هجمات DDoS

لن يتسبب ذلك في أي ضرر مباشر، لكنه قد يسد قناتك، ويزيد الحمل على النظام، وسينتهي الأمر بـ IP الخاص بك على القائمة السوداء *****، وستتلقى إساءة من المضيف.

هل حقا بحاجة إلى كل هذه المخاطر؟ أضف عنوان IP الخاص بمنزلك وعملك إلى القائمة البيضاء. حتى لو كانت ديناميكية، قم بتسجيل الدخول من خلال لوحة إدارة المضيف، من خلال وحدة تحكم الويب، وقم فقط بإضافة واحدة أخرى.

لقد قمت ببناء وحماية البنية التحتية لتكنولوجيا المعلومات لمدة 15 عامًا. لقد قمت بتطوير قاعدة أوصي بها بشدة للجميع - لا ينبغي أن يظهر أي منفذ في العالم بدون قائمة بيضاء.

على سبيل المثال، خادم الويب الأكثر أمانًا*** هو الذي يفتح 80 و443 فقط لـ CDN/WAF. ويجب أن تكون منافذ الخدمة (ssh، netdata، bacula، phpmyadmin) على الأقل خلف القائمة البيضاء، وحتى أفضل خلف VPN. وإلا فإنك تخاطر بالتعرض للخطر.

هذا كل ما أردت أن أقوله. ابقوا منافذكم مغلقة!

  • (1) تحديث 1: ومن يمكنك التحقق من كلمة المرور العالمية الرائعة (لا تفعل ذلك دون استبدال كلمة المرور هذه بكلمة مرور عشوائية في جميع الخدمات)، سواء ظهرت في قاعدة البيانات المدمجة. و هنا يمكنك معرفة عدد الخدمات التي تم اختراقها، والمكان الذي تم تضمين بريدك الإلكتروني فيه، وبالتالي معرفة ما إذا كانت كلمة المرور العالمية الرائعة الخاصة بك قد تم اختراقها.
  • (2) يُحسب لشركة Amazon أن LightSail لديه الحد الأدنى من عمليات المسح. يبدو أنهم يقومون بتصفية ذلك بطريقة أو بأخرى.
  • (3) خادم الويب الأكثر أمانًا هو الخادم الموجود خلف جدار الحماية المخصص، WAF الخاص به، لكننا نتحدث عن VPS العام/المخصص.
  • (4) شرائح.
  • (5) فايرهول.

يمكن للمستخدمين المسجلين فقط المشاركة في الاستطلاع. تسجيل الدخول، من فضلك.

هل المنافذ الخاصة بك تبرز؟

  • دائما

  • أحيانا

  • أبدا

  • أنا لا أعرف، اللعنة

صوّت 54 مستخدمًا. امتنع 6 مستخدما عن التصويت.

المصدر: www.habr.com

إضافة تعليق