Dəfələrlə, audit apardıqdan sonra, limanları ağ siyahının arxasında gizlətmək tövsiyələrimə cavab olaraq, anlaşılmazlıq divarı ilə qarşılaşıram. Hətta çox gözəl adminlər/DevOps soruşur: "Niyə?!?"
Riskləri baş vermə ehtimalı və zərərin azalan ardıcıllığı ilə nəzərdən keçirməyi təklif edirəm.
- Konfiqurasiya xətası
- IP üzərindən DDoS
- Gücün tətbiqi
- Xidmət zəiflikləri
- Kernel stack zəiflikləri
- Artan DDoS hücumları
Konfiqurasiya xətası
Ən tipik və təhlükəli vəziyyət. Necə olur. Tərtibatçı fərziyyəni tez sınaqdan keçirməlidir; o, mysql/redis/mongodb/elastic ilə müvəqqəti server qurur. Parol, əlbəttə ki, mürəkkəbdir, onu hər yerdə istifadə edir. Xidməti dünyaya açır - onun bu VPN-ləriniz olmadan öz kompüterindən qoşulmaq rahatdır. Mən iptables sintaksisini xatırlamaq üçün çox tənbələm; server hər halda müvəqqətidir. Daha bir neçə günlük inkişaf - əla oldu, biz bunu müştəriyə göstərə bilərik. Müştəri bəyənir, onu yenidən etməyə vaxt yoxdur, biz onu PROD-da işə salırıq!
Bütün tırmıklardan keçmək üçün qəsdən şişirdilmiş bir nümunə:
- Müvəqqətidən daha qalıcı bir şey yoxdur - bu ifadəni bəyənmirəm, amma subyektiv hisslərə görə, belə müvəqqəti serverlərin 20-40% -i uzun müddət qalır.
- Bir çox xidmətlərdə istifadə olunan mürəkkəb universal parol pisdir. Çünki bu parolun istifadə olunduğu xidmətlərdən biri sındırıla bilərdi. Bu və ya digər şəkildə, sındırılmış xidmətlərin verilənlər bazası [brute force]* üçün istifadə edilən birinə axışır.
Əlavə etmək lazımdır ki, quraşdırmadan sonra redis, mongodb və elastik ümumiyyətlə autentifikasiya olmadan mövcuddur və tez-tez doldurulur. . - Görünə bilər ki, bir neçə gün ərzində heç kim 3306 portunuzu skan etməyəcək. Bu bir aldanışdır! Masscan əla skanerdir və saniyədə 10M portla skan edə bilir. İnternetdə isə cəmi 4 milyard IPv4 var. Müvafiq olaraq, İnternetdəki bütün 3306 port 7 dəqiqə ərzində yerləşir. Çarlz!!! Yeddi dəqiqə!
"Bu kimə lazımdır?" - etiraz edirsiniz. Buna görə də atılan paketlərin statistikasına baxanda təəccüblənirəm. Gündə 40 min unikal IP-dən 3 min tarama cəhdi haradan gəlir? İndi ananın hakerlərindən tutmuş hökumətlərə qədər hamı skan edir. Bunu yoxlamaq çox asandır - istənilən** ucuz aviaşirkətdən 3-5 dollara istənilən VPS götürün, endirilən paketlərin qeydiyyatını aktivləşdirin və bir gündə jurnala baxın.
Qeydiyyatın aktivləşdirilməsi
/etc/iptables/rules.v4-də sonuna əlavə edin:
-A INPUT -j LOG --log-prefiks "[FW - ALL] " --log-level 4
Və /etc/rsyslog.d/10-iptables.conf
:msg,"[FW - "/var/log/iptables.log ehtiva edir
& dayan
IP üzərindən DDoS
Təcavüzkar IP-nizi bilirsə, o, serverinizi bir neçə saat və ya gün ərzində ələ keçirə bilər. Bütün ucuz hostinq provayderləri DDoS mühafizəsinə malik deyil və serveriniz sadəcə şəbəkədən ayrılacaq. Əgər serverinizi CDN arxasında gizlətmisinizsə, IP-ni dəyişməyi unutmayın, əks halda haker onu Google-a göndərəcək və serverinizi CDN-dən yan keçərək DDoS edəcək (çox məşhur səhv).
Xidmət zəiflikləri
Bütün populyar proqram təminatı gec-tez səhvləri, hətta ən sınaqdan keçmiş və kritik olanları tapır. IB mütəxəssisləri arasında yarı zarafat var - infrastrukturun təhlükəsizliyi son yeniləmə zamanı etibarlı şəkildə qiymətləndirilə bilər. İnfrastrukturunuz dünyadakı limanlarla zəngindirsə və siz onu bir ildir yeniləməmisinizsə, o zaman hər hansı bir təhlükəsizlik mütəxəssisi sizə sızdırdığınızı və çox güman ki, artıq sındırıldığını deyəcək.
Onu da qeyd etmək lazımdır ki, bütün məlum zəifliklər bir zamanlar naməlum idi. Təsəvvür edin ki, belə bir boşluq tapıb bütün interneti 7 dəqiqə ərzində onun olması üçün skan edib... Budur yeni virus epidemiyası) Yeniləməmiz lazımdır, amma bu, məhsula zərər verə bilər, deyirsiniz. Və paketlər rəsmi OS depolarından quraşdırılmasa, haqlı olacaqsınız. Təcrübədən belə çıxır ki, rəsmi depodan gələn yeniləmələr nadir hallarda məhsulu pozur.
Gücün tətbiqi
Yuxarıda təsvir edildiyi kimi, klaviaturadan yazmaq üçün rahat olan yarım milyard paroldan ibarət verilənlər bazası var. Başqa sözlə, əgər siz parol yaratmamısınızsa, lakin klaviaturada bitişik simvolları yazmısınızsa, əmin olun* siz oğurlanacaqsınız.
Kernel stack zəiflikləri.
Həm də belə olur ki, nüvə şəbəkə yığınının özü həssas olduqda hansı xidmətin portu açmasının heç bir əhəmiyyəti yoxdur. Yəni, iki yaşlı sistemdə tamamilə hər hansı tcp/udp yuvası DDoS-a səbəb olan zəifliyə həssasdır.
Artan DDoS hücumları
Bu, birbaşa ziyana səbəb olmayacaq, lakin kanalınızı bağlaya, sistemdəki yükü artıra bilər, IP-niz bəzi qara siyahıya düşəcək***** və siz hosterdən sui-istifadə edəcəksiniz.
Bütün bu risklərə həqiqətən ehtiyacınız varmı? Ağ siyahıya ev və iş IP-nizi əlavə edin. Dinamik olsa belə, hosterin admin panelindən, veb konsolu vasitəsilə daxil olun və başqa birini əlavə edin.
Mən 15 ildir ki, İT infrastrukturunu qurur və qoruyuram. Mən hər kəsə tövsiyə etdiyim bir qayda hazırlamışam - heç bir liman ağ siyahı olmadan dünyaya çıxmamalıdır.
Məsələn, ən təhlükəsiz veb server*** yalnız CDN/WAF üçün 80 və 443-ü açan serverdir. Və xidmət portları (ssh, netdata, bacula, phpmyadmin) ən azı ağ siyahının arxasında və VPN-in arxasında daha yaxşı olmalıdır. Əks təqdirdə, güzəştə getmək riskiniz var.
Bütün demək istədiyim bu idi. Limanlarınızı bağlı saxlayın!
- (1) UPD1: sərin universal parolunuzu yoxlaya bilərsiniz (bütün xidmətlərdə bu parolu təsadüfi parol ilə əvəz etmədən bunu etməyin), birləşdirilmiş verilənlər bazasında görünüb-görünmədiyini. neçə xidmətin sındırıldığını, e-poçtunuzun hara daxil edildiyini görə bilərsiniz və müvafiq olaraq sərin universal parolunuzun pozulduğunu öyrənə bilərsiniz.
- (2) Amazonun kreditinə görə, LightSail minimal skanlara malikdir. Görünür, birtəhər süzgəcdən keçirlər.
- (3) Daha da təhlükəsiz veb server xüsusi bir firewall, öz WAF-ın arxasındadır, lakin biz ictimai VPS/Dedicated haqqında danışırıq.
- (4) Seqmentlər.
- (5) Firehol.
Sorğuda yalnız qeydiyyatdan keçmiş istifadəçilər iştirak edə bilər. xahiş edirəm.
Limanlarınız kənarda qalır?
-
Həmişə
-
Bəzən
-
Heç
-
Bilmirəm, sik
54 istifadəçi səs verib. 6 istifadəçi bitərəf qalıb.
Mənbə: www.habr.com