ProHoster > Bloc > Administració > No obris ports al món: estaràs trencat (riscos)

No obris ports al món: estaràs trencat (riscos)

No obris ports al món: estaràs trencat (riscos)

Una vegada i una altra, després de realitzar una auditoria, en resposta a les meves recomanacions d'amagar els ports darrere d'una llista blanca, em trobo amb un mur de malentès. Fins i tot els administradors/DevOps molt interessants pregunten: "Per què?!?"

Proposo considerar els riscos en ordre decreixent de probabilitat d'ocurrència i dany.

  1. Error de configuració
  2. DDoS sobre IP
  3. Força bruta
  4. Vulnerabilitats del servei
  5. Vulnerabilitats de la pila del nucli
  6. Augment dels atacs DDoS

Error de configuració

La situació més típica i perillosa. Com passa. El desenvolupador ha de provar ràpidament la hipòtesi, configura un servidor temporal amb mysql/redis/mongodb/elastic. La contrasenya, és clar, és complexa, la fa servir a tot arreu. Obre el servei al món: és convenient que es connecti des del seu ordinador sense aquestes VPN teves. I sóc massa mandrós per recordar la sintaxi d'iptables, el servidor és temporal de totes maneres. Un parell de dies més de desenvolupament: va resultar genial, podem mostrar-ho al client. Al client li agrada, no hi ha temps per refer-ho, el llancem a PROD!

Un exemple deliberadament exagerat per passar per tot el rastell:

  1. No hi ha res més permanent que temporal: no m'agrada aquesta frase, però segons els sentiments subjectius, el 20-40% d'aquests servidors temporals romanen durant molt de temps.
  2. Una contrasenya universal complexa que s'utilitza en molts serveis és dolenta. Perquè un dels serveis on es va utilitzar aquesta contrasenya podria haver estat piratejat. D'una manera o d'una altra, les bases de dades dels serveis piratejats s'agrupen en una, que s'utilitza per a [força bruta]*.
    Val la pena afegir que després de la instal·lació, redis, mongodb i elastic estan generalment disponibles sense autenticació i sovint es reomplen col·lecció de bases de dades obertes.
  3. Pot semblar que ningú escanejarà el vostre port 3306 en un parell de dies. És una il·lusió! Masscan és un escàner excel·lent i pot escanejar a 10 milions de ports per segon. I només hi ha 4 milions d'IPv4 a Internet. En conseqüència, els 3306 ports d'Internet es troben en 7 minuts. Carles!!! Set minuts!
    "Qui necessita això?" - objectes. Així que em sorprèn quan miro les estadístiques dels paquets caiguts. D'on obteniu 40 mil intents d'escaneig de 3 mil IP úniques al dia? Ara tothom està escanejant, des dels pirates informàtics de la mare fins als governs. És molt fàcil de comprovar: agafeu qualsevol VPS per 3-5 dòlars de qualsevol línia aèria de baix cost**, activeu el registre de paquets deixats i mireu el registre en un dia.

Habilitant el registre

A /etc/iptables/rules.v4 afegiu al final:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4

I a /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - " /var/log/iptables.log
& Atura

DDoS sobre IP

Si un atacant coneix la vostra IP, pot segrestar el vostre servidor durant diverses hores o dies. No tots els proveïdors d'allotjament de baix cost tenen protecció DDoS i el vostre servidor simplement es desconnectarà de la xarxa. Si vau amagar el vostre servidor darrere d'un CDN, no us oblideu de canviar la IP, en cas contrari un pirata informàtic el buscarà a Google i DDoS el vostre servidor ometrà el CDN (un error molt popular).

Vulnerabilitats del servei

Els errors es troben tard o d'hora en tots els programes populars, fins i tot en els més provats i crítics. Entre els especialistes de l'IB, hi ha una mitja broma: la seguretat de la infraestructura es pot avaluar amb seguretat en el moment de l'última actualització. Si la vostra infraestructura és rica en ports que sobresurten al món i no l'heu actualitzat durant un any, qualsevol especialista en seguretat us dirà sense mirar que teniu fuites i, molt probablement, ja heu estat piratejat.
També val la pena esmentar que totes les vulnerabilitats conegudes abans eren desconegudes. Imagineu-vos un pirata informàtic que va trobar aquesta vulnerabilitat i va escanejar tot Internet en 7 minuts per detectar-ne la presència... Aquí hi ha una nova epidèmia de virus) Hem d'actualitzar, però això pot perjudicar el producte, dieu. I tindreu raó si els paquets no s'instal·len des dels dipòsits oficials del sistema operatiu. Per experiència, les actualitzacions del dipòsit oficial rarament trenquen el producte.

Força bruta

Com s'ha descrit anteriorment, hi ha una base de dades amb mig milió de contrasenyes que és convenient escriure des del teclat. En altres paraules, si no heu generat cap contrasenya, però heu escrit símbols adjacents al teclat, tingueu la seguretat* que us confondran.

Vulnerabilitats de la pila del nucli.

També passa **** que ni tan sols importa quin servei obre el port, quan la pròpia pila de xarxa del nucli és vulnerable. És a dir, absolutament qualsevol sòcol tcp/udp d'un sistema de dos anys d'antiguitat és susceptible a una vulnerabilitat que condueixi a DDoS.

Augment dels atacs DDoS

No causarà cap dany directe, però pot obstruir el vostre canal, augmentar la càrrega del sistema, la vostra IP acabarà a una llista negra***** i rebeu un abús per part de l'hoster.

Realment necessites tots aquests riscos? Afegiu la vostra IP de casa i de feina a la llista blanca. Fins i tot si és dinàmic, inicieu sessió a través del tauler d'administració de l'amfitrió, a través de la consola web i afegiu-ne un altre.

He estat construint i protegint la infraestructura informàtica durant 15 anys. He desenvolupat una regla que recomano a tothom: cap port hauria de sortir al món sense una llista blanca.

Per exemple, el servidor web més segur*** és el que només obre 80 i 443 per a CDN/WAF. I els ports de servei (ssh, netdata, bacula, phpmyadmin) haurien d'estar almenys darrere de la llista blanca, i encara millor darrere de la VPN. En cas contrari, corre el risc de ser compromès.

Això és tot el que volia dir. Mantingueu els ports tancats!

  • (1) UPD1: Aquí podeu comprovar la vostra contrasenya universal fantàstica (no ho feu sense substituir aquesta contrasenya per una altra aleatòria a tots els serveis), si apareixia a la base de dades combinada. I aquí podeu veure quants serveis s'han piratejat, on s'ha inclòs el vostre correu electrònic i, en conseqüència, esbrinar si la vostra contrasenya universal fantàstica s'ha vist compromesa.
  • (2) Per crèdit d'Amazon, LightSail té escanejos mínims. Pel que sembla, el filtren d'alguna manera.
  • (3) Un servidor web encara més segur és el que hi ha darrere d'un tallafoc dedicat, el seu propi WAF, però estem parlant de VPS/Dedicat públic.
  • (4) Segmentsmak.
  • (5) Firehol.

Només els usuaris registrats poden participar en l'enquesta. Inicia sessiósi us plau.

Sobresurten els vostres ports?

  • Sempre
  • De vegades
  • Mai
  • No ho sé, merda

Han votat 54 usuaris. 6 usuaris es van abstenir.

Font: www.habr.com