ProHoster > блог > адміністраванне > Не адкрывайце парты ў свет - вас паламаюць (рызыкі)

Не адкрывайце парты ў свет - вас паламаюць (рызыкі)

Не адкрывайце парты ў свет - вас паламаюць (рызыкі)

Зноў і зноў, пасля правядзення аўдыту, на мае рэкамендацыі схаваць парты за white-list'ам сустракаюся са сцяной неразумення. Нават вельмі крутыя адміны/DevOps'ы пытаюцца: "Навошта?!?"

Прапаную разгледзець рызыкі ў парадку змяншэння верагоднасці наступлення і ўрону.

  1. Памылка канфігурацыі
  2. DDoS па IP
  3. Брутфорс
  4. Уразлівасці сэрвісаў
  5. Уразлівасці стэка ядра
  6. Узмацненне DDoS нападаў

Памылка канфігурацыі

Найбольш тыповая і небяспечная сітуацыя. Як гэта бывае. Распрацоўніку трэба хутка праверыць гіпотэзу, ён паднімае часовы сервер з mysql/redis/mongodb/elastic. Пароль, вядома, складаны, ён усюды яго выкарыстоўвае. Адкрывае сэрвіс у свет — яму зручна са свайго ПК гуем канэкціцца без гэтых вашых VPN. А сінтаксіс iptables успамінаць лянота, усё роўна сервер часовы. Яшчэ пару дзён распрацоўкі - атрымалася выдатна, можна паказваць заказчыку. Заказчыку падабаецца, перарабляць некалі, запускаем у ПРОД!

Прыклад наўмысна ўтрыраваны з мэтай прайсціся па ўсіх граблях:

  1. Нічога няма больш сталага, чым часавае - не кахаю гэтую фразу, але па суб'ектыўных адчуваннях, 20-40% такіх часавых сервераў застаюцца надоўга.
  2. Складаны ўніверсальны пароль, які выкарыстоўваецца ў шматлікіх сэрвісах - зло. Бо адзін з сэрвісаў, дзе выкарыстоўваўся гэты пароль, мог быць узламаны. Так ці інакш базы ўзламаных сэрвісаў сцякаюцца ў адну, якая выкарыстоўваецца для [брутфорса]*.
    Варта дадаць, што redis, mongodb і elastic пасля ўсталёўкі ўвогуле даступныя без аўтэнтыфікацыі, і часта папаўняюць калекцыю адкрытых баз.
  3. Можа здацца, што за пару дзён ніхто не насканіць ваш 3306 порт. Гэта памылка! Masscan - выдатны сканер, і можа сканаваць з хуткасцю 10М партоў у секунду. А ў інтэрнэце ўсяго 4 мільярды IPv4. Адпаведна, усе 3306 парты ў інтэрнэце знаходзяцца за 7 хвілін. Карл!!! Сем хвілін!
    "Ды каму гэта трэба?" - запярэчыце вы. Вось і я дзіўлюся, гледзячы ў статыстыку дропнутых пакетаў. Адкуль за суткі 40 тысяч спроб скана з 3-х тысяч унікальных IP? Цяпер сканяць усё каму не лянота, ад мамчыных хакераў да ўрадаў. Праверыць вельмі проста - вазьміце любую VPS'ку за $3-5 у любога** лоўкостэра, уключыце лагіраванне дропнутых пакетаў і зазірніце ў лог праз суткі.

Уключэнне лагіравання

У /etc/iptables/rules.v4 дадайце ў канец:
-A INPUT -j LOG -log-prefix «[FW - ALL] »-log-level 4

А ў /etc/rsyslog.d/10-iptables.conf
:msg,contains,»[FW - » /var/log/iptables.log
& stop

DDoS па IP

Калі зламыснік ведае ваш IP, ён можа на некалькі гадзін ці сутак заддосіць ваш сервер. Далёка не ва ўсіх лоўкост-хостынгаў ёсць абарона ад DDoS і ваш сервер проста адключаць ад сеткі. Калі вы схавалі сервер за CDN, не забудзьцеся змяніць IP, інакш хакер яго нагугліць і будзе DDoS'іць ваш сервер у абыход CDN (вельмі папулярная памылка).

Уразлівасці сэрвісаў

Ва ўсім папулярным ПЗ рана ці позна знаходзяць памылкі, нават у самых оттестированных і самых крытычных. У асяроддзі ИБэшников, ёсць такі паў-жарт - бяспека інфраструктуры можна смела ацэньваць па часе апошняга абнаўлення. Калі ваша інфраструктура багатая тырчаць у свет партамі, а вы яе не абнаўлялі год, то любы бяспечнік вам не гледзячы скажа, што вы дзіравыя, і хутчэй за ўсё, ужо ўзламаныя.
Таксама варта згадаць, што ўсе вядомыя ўразлівасці, калісьці былі невядомымі. Вось прадстаўце хакера, які знайшоў такую ​​ўразлівасць, і прасканаваў увесь інтэрнэт за 7 хвілін на яе наяўнасць… Вось і новая вірусная эпідэмія) Трэба абнаўляцца, але гэта можа нашкодзіць праду, скажаце вы. І маеце рацыю, калі пакеты ставяцца не з афіцыйных рэпазітараў АС. З досведу, абнаўленні з афіцыйнага рэпазітара вельмі рэдка ламаюць прод.

Брутфорс

Як апісаў вышэй, ёсць база з паўмільярдам пароляў, якія зручна набіраць з клавіятуры. Іншымі словамі, калі вы не згенеравалі пароль, а набралі на клавіятуры побач размешчаныя знакі, будзьце ўпэўненыя* - вас збруцяць.

Уразлівасці стэка ядра.

Бывае**** і такое, што нават не важна які менавіта сэрвіс адчыняе порт, калі ўразлівы сам сеткавы стэк ядра. Гэта значыць абсалютна любы tcp/udp-сокет на сістэме двухгадовай даўнасці схільны ўразлівасці які прыводзіць да DDoS.

Узмацненне DDoS-нападаў

Наўпрост шкоды не прынясе, але можа забіць ваш канал, падняць нагрузку на сістэму, ваш IP патрапіць у які-небудзь black-list*****, а вам прыляціць абуза ад хосцера.

Няўжо вам патрэбны ўсе гэтыя рызыкі? Дадайце ваш хатні і працоўны IP у white-list. Нават калі ён дынамічны - залагінцеся праз адмінку хосцера, праз вэб-кансоль, і проста дадайце яшчэ адзін.

Я 15 год займаюся пабудовай і абаронай IT-інфраструктуры. Выпрацаваў правіла, якое ўсім настойліва рэкамендую. ніводны порт не павінен тырчаць у свет без white-list'a.

Напрыклад, найболей абаронены web-сервер*** - гэта той, у якога адчыненыя 80 і 443 толькі для CDN/WAF. А сэрвісныя парты (ssh, netdata, bacula, phpmyadmin) павінны быць прынамсі за white-list'ом, а яшчэ лепш за VPN. Інакш вы рызыкуеце быць скампраметаваным.

У мяне ўсё. Трымайце свае парты зачыненымі!

  • (1) UPD1: Тут можна праверыць свой круты ўніверсальны пароль (не рабіце гэтага не замяніўшы гэты пароль на рандомныя ва ўсіх сэрвісах), не засвяціўся ён у злітай базе. А тут можна паглядзець колькі сэрвісаў было ўзламана, дзе фігураваў ваш email, і, адпаведна, высветліць, ці не скампраметаваны ваш круты ўніверсальны пароль.
  • (2) Да гонару Amazon – на LightSail мінімум сканов. Відаць, неяк фільтруюць.
  • (3) Яшчэ больш абаронены web-сервер гэта той, што за вылучаным firewall'ам, сваім WAF, але гаворка пра публічныя VPS/Dedicated.
  • (4) Segmentsmak.
  • (5) Firehol.

Толькі зарэгістраваныя карыстачы могуць удзельнічаць у апытанні. Увайдзіце, Калі ласка.

А ў вас тырчаць парты вонкі?

  • Заўсёды

  • часам

  • Ніколі

  • Не ведаю, пох

Прагаласавалі 54 карыстальніка. Устрымаліся 6 карыстальнікаў.

Крыніца: habr.com

Дадаць каментар