ProHoster > Blog > podávání > Neotevírejte světu porty - budete zlomeni (rizika)

Neotevírejte světu porty - budete zlomeni (rizika)

Neotevírejte světu porty - budete zlomeni (rizika)

Znovu a znovu, po provedení auditu, v reakci na moje doporučení skrýt porty za bílou listinu, narážím na stěnu nepochopení. Dokonce i velmi cool admini/DevOps se ptají: "Proč?!?"

Navrhuji zvážit rizika v sestupném pořadí podle pravděpodobnosti výskytu a poškození.

  1. Chyba konfigurace
  2. DDoS přes IP
  3. hrubou silou
  4. Chyby zabezpečení
  5. Zranitelnost zásobníku jádra
  6. Zvýšené útoky DDoS

Chyba konfigurace

Nejtypičtější a nejnebezpečnější situace. Jak se to stane. Vývojář potřebuje rychle otestovat hypotézu; nastaví dočasný server s mysql/redis/mongodb/elastic. Heslo je samozřejmě složité, používá ho všude. Otevírá službu světu – je pro něj pohodlné připojit se ze svého počítače bez těchto vašich VPN. A jsem příliš líný pamatovat si syntaxi iptables; server je stejně dočasný. Ještě pár dní vývoje - dopadlo to skvěle, můžeme to ukázat zákazníkovi. Zákazníkovi se líbí, není čas to předělávat, spustíme to do PRODu!

Příklad záměrně přehnaný, aby prošel všemi raky:

  1. Není nic trvalejšího než dočasné - tato fráze se mi nelíbí, ale podle subjektivních pocitů 20-40% takových dočasných serverů zůstává po dlouhou dobu.
  2. Složité univerzální heslo, které se používá v mnoha službách, je zlo. Protože jedna ze služeb, kde bylo toto heslo použito, mohla být hacknutá. Tak či onak se databáze hacknutých služeb hrnou do jedné, která se používá pro [hrubou sílu]*.
    Stojí za to dodat, že po instalaci jsou redis, mongodb a elastic obecně dostupné bez ověření a často se doplňují sbírka otevřených databází.
  3. Může se zdát, že váš port 3306 za pár dní nikdo neoskenuje. Je to klam! Masscan je vynikající skener a dokáže skenovat rychlostí 10 milionů portů za sekundu. A na internetu jsou jen 4 miliardy IPv4. V souladu s tím je všech 3306 portů na internetu umístěno za 7 minut. Charlesi!!! Sedm minut!
    "Kdo to potřebuje?" - namítáte. Takže jsem překvapen, když se podívám na statistiky vyřazených balíčků. Odkud se bere 40 tisíc pokusů o skenování ze 3 tisíc unikátních IP za den? Nyní skenují všichni, od matčiných hackerů po vlády. Kontrola je velmi snadná – vezměte si jakýkoli VPS za 3–5 USD od jakékoli** nízkonákladové letecké společnosti, povolte protokolování shozených zásilek a prohlédněte si protokol za den.

Povolení protokolování

V /etc/iptables/rules.v4 přidejte na konec:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4

A v /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - "/var/log/iptables.log
& stop

DDoS přes IP

Pokud útočník zná vaši IP, může unést váš server na několik hodin nebo dní. Ne všichni nízkonákladoví poskytovatelé hostingu mají DDoS ochranu a váš server bude jednoduše odpojen od sítě. Pokud jste skryli svůj server za CDN, nezapomeňte změnit IP, jinak ho hacker vygoogluje a DDoS váš server obejde CDN (velmi oblíbená chyba).

Chyby zabezpečení

Veškerý populární software dříve nebo později najde chyby, dokonce i ty nejtestovanější a nejkritičtější. Mezi IB specialisty panuje poloviční vtip – bezpečnost infrastruktury lze bezpečně posoudit do doby poslední aktualizace. Pokud je vaše infrastruktura bohatá na porty trčící do světa a vy jste ji rok neaktualizovali, pak vám jakýkoli bezpečnostní specialista řekne, aniž by se podíval, že jste děraví a s největší pravděpodobností jste již byli napadeni.
Za zmínku také stojí, že všechny známé zranitelnosti byly kdysi neznámé. Představte si hackera, který našel takovou zranitelnost a během 7 minut prohledal její přítomnost na celém internetu... Tady je nová virová epidemie) Musíme aktualizovat, ale to může poškodit produkt, říkáte. A budete mít pravdu, pokud balíčky nejsou nainstalovány z oficiálních repozitářů OS. Podle zkušeností aktualizace z oficiálního úložiště jen zřídka rozbijí produkt.

hrubou silou

Jak je popsáno výše, existuje databáze s půl miliardou hesel, která lze pohodlně psát z klávesnice. Jinými slovy, pokud jste nevygenerovali heslo, ale zadali sousední symboly na klávesnici, buďte si jisti*, že vás zmást.

Zranitelnost zásobníku jádra.

Stává se také ****, že nezáleží ani na tom, která služba otevře port, když je zranitelný samotný síťový zásobník jádra. To znamená, že absolutně jakýkoli tcp/udp socket na dva roky starém systému je náchylný k zranitelnosti vedoucí k DDoS.

Zvýšené útoky DDoS

Nezpůsobí to žádné přímé škody, ale může to ucpat váš kanál, zvýšit zatížení systému, vaše IP skončí na nějaké černé listině***** a budete od hostitele obtěžováni.

Opravdu potřebujete všechna tato rizika? Přidejte svou domácí a pracovní IP na bílou listinu. I když je dynamický, přihlaste se přes administrátorský panel hostitele, přes webovou konzoli a přidejte další.

Buduji a chráním IT infrastrukturu již 15 let. Vyvinul jsem pravidlo, které všem vřele doporučuji - žádný port by neměl vyčnívat do světa bez bílé listiny.

Například nejbezpečnější webový server*** je ten, který otevírá 80 a 443 pouze pro CDN/WAF. A porty služeb (ssh, netdata, bacula, phpmyadmin) by měly být minimálně za white-listem a ještě lépe za VPN. V opačném případě riskujete kompromitaci.

To je vše, co jsem chtěl říct. Udržujte své porty uzavřené!

  • (1) UPD1: Zde můžete zkontrolovat své skvělé univerzální heslo (Nedělejte to bez nahrazení tohoto hesla náhodným heslem ve všech službách), zda se objevil ve sloučené databázi. A tady můžete vidět, kolik služeb bylo hacknuto, kde byl zahrnut váš e-mail, a podle toho zjistit, zda nebylo prolomeno vaše skvělé univerzální heslo.
  • (2) Ke cti Amazonu, LightSail má minimum skenů. Zřejmě to nějak filtrují.
  • (3) Ještě bezpečnější webový server je ten za vyhrazeným firewallem, vlastním WAF, ale mluvíme o veřejných VPS/Dedicated.
  • (4) Segmentsmak.
  • (5) Firehol.

Průzkumu se mohou zúčastnit pouze registrovaní uživatelé. Přihlásit se, prosím.

Trčí vám porty?

  • Vždycky

  • Někdy

  • Nikdy

  • Nevím, kurva

Hlasovalo 54 uživatelů. 6 uživatelů se zdrželo hlasování.

Zdroj: www.habr.com

Přidat komentář