Znovu a znovu, po provedení auditu, v reakci na moje doporučení skrýt porty za bílou listinu, narážím na stěnu nepochopení. Dokonce i velmi cool admini/DevOps se ptají: "Proč?!?"
Navrhuji zvážit rizika v sestupném pořadí podle pravděpodobnosti výskytu a poškození.
Chyba konfigurace
DDoS přes IP
hrubou silou
Chyby zabezpečení
Zranitelnost zásobníku jádra
Zvýšené útoky DDoS
Chyba konfigurace
Nejtypičtější a nejnebezpečnější situace. Jak se to stane. Vývojář potřebuje rychle otestovat hypotézu; nastaví dočasný server s mysql/redis/mongodb/elastic. Heslo je samozřejmě složité, používá ho všude. Otevírá službu světu – je pro něj pohodlné připojit se ze svého počítače bez těchto vašich VPN. A jsem příliš líný pamatovat si syntaxi iptables; server je stejně dočasný. Ještě pár dní vývoje - dopadlo to skvěle, můžeme to ukázat zákazníkovi. Zákazníkovi se líbí, není čas to předělávat, spustíme to do PRODu!
Příklad záměrně přehnaný, aby prošel všemi raky:
Není nic trvalejšího než dočasné - tato fráze se mi nelíbí, ale podle subjektivních pocitů 20-40% takových dočasných serverů zůstává po dlouhou dobu.
Složité univerzální heslo, které se používá v mnoha službách, je zlo. Protože jedna ze služeb, kde bylo toto heslo použito, mohla být hacknutá. Tak či onak se databáze hacknutých služeb hrnou do jedné, která se používá pro [hrubou sílu]*.
Stojí za to dodat, že po instalaci jsou redis, mongodb a elastic obecně dostupné bez ověření a často se doplňují sbírka otevřených databází.
Může se zdát, že váš port 3306 za pár dní nikdo neoskenuje. Je to klam! Masscan je vynikající skener a dokáže skenovat rychlostí 10 milionů portů za sekundu. A na internetu jsou jen 4 miliardy IPv4. V souladu s tím je všech 3306 portů na internetu umístěno za 7 minut. Charlesi!!! Sedm minut!
"Kdo to potřebuje?" - namítáte. Takže jsem překvapen, když se podívám na statistiky vyřazených balíčků. Odkud se bere 40 tisíc pokusů o skenování ze 3 tisíc unikátních IP za den? Nyní skenují všichni, od matčiných hackerů po vlády. Kontrola je velmi snadná – vezměte si jakýkoli VPS za 3–5 USD od jakékoli** nízkonákladové letecké společnosti, povolte protokolování shozených zásilek a prohlédněte si protokol za den.
Povolení protokolování
V /etc/iptables/rules.v4 přidejte na konec:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4
A v /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - "/var/log/iptables.log
& stop
DDoS přes IP
Pokud útočník zná vaši IP, může unést váš server na několik hodin nebo dní. Ne všichni nízkonákladoví poskytovatelé hostingu mají DDoS ochranu a váš server bude jednoduše odpojen od sítě. Pokud jste skryli svůj server za CDN, nezapomeňte změnit IP, jinak ho hacker vygoogluje a DDoS váš server obejde CDN (velmi oblíbená chyba).
Chyby zabezpečení
Veškerý populární software dříve nebo později najde chyby, dokonce i ty nejtestovanější a nejkritičtější. Mezi IB specialisty panuje poloviční vtip – bezpečnost infrastruktury lze bezpečně posoudit do doby poslední aktualizace. Pokud je vaše infrastruktura bohatá na porty trčící do světa a vy jste ji rok neaktualizovali, pak vám jakýkoli bezpečnostní specialista řekne, aniž by se podíval, že jste děraví a s největší pravděpodobností jste již byli napadeni.
Za zmínku také stojí, že všechny známé zranitelnosti byly kdysi neznámé. Představte si hackera, který našel takovou zranitelnost a během 7 minut prohledal její přítomnost na celém internetu... Tady je nová virová epidemie) Musíme aktualizovat, ale to může poškodit produkt, říkáte. A budete mít pravdu, pokud balíčky nejsou nainstalovány z oficiálních repozitářů OS. Podle zkušeností aktualizace z oficiálního úložiště jen zřídka rozbijí produkt.
hrubou silou
Jak je popsáno výše, existuje databáze s půl miliardou hesel, která lze pohodlně psát z klávesnice. Jinými slovy, pokud jste nevygenerovali heslo, ale zadali sousední symboly na klávesnici, buďte si jisti*, že vás zmást.
Zranitelnost zásobníku jádra.
Stává se také ****, že nezáleží ani na tom, která služba otevře port, když je zranitelný samotný síťový zásobník jádra. To znamená, že absolutně jakýkoli tcp/udp socket na dva roky starém systému je náchylný k zranitelnosti vedoucí k DDoS.
Zvýšené útoky DDoS
Nezpůsobí to žádné přímé škody, ale může to ucpat váš kanál, zvýšit zatížení systému, vaše IP skončí na nějaké černé listině***** a budete od hostitele obtěžováni.
Opravdu potřebujete všechna tato rizika? Přidejte svou domácí a pracovní IP na bílou listinu. I když je dynamický, přihlaste se přes administrátorský panel hostitele, přes webovou konzoli a přidejte další.
Buduji a chráním IT infrastrukturu již 15 let. Vyvinul jsem pravidlo, které všem vřele doporučuji - žádný port by neměl vyčnívat do světa bez bílé listiny.
Například nejbezpečnější webový server*** je ten, který otevírá 80 a 443 pouze pro CDN/WAF. A porty služeb (ssh, netdata, bacula, phpmyadmin) by měly být minimálně za white-listem a ještě lépe za VPN. V opačném případě riskujete kompromitaci.
To je vše, co jsem chtěl říct. Udržujte své porty uzavřené!
(1) UPD1: Zde můžete zkontrolovat své skvělé univerzální heslo (Nedělejte to bez nahrazení tohoto hesla náhodným heslem ve všech službách), zda se objevil ve sloučené databázi. A tady můžete vidět, kolik služeb bylo hacknuto, kde byl zahrnut váš e-mail, a podle toho zjistit, zda nebylo prolomeno vaše skvělé univerzální heslo.
(2) Ke cti Amazonu, LightSail má minimum skenů. Zřejmě to nějak filtrují.
(3) Ještě bezpečnější webový server je ten za vyhrazeným firewallem, vlastním WAF, ale mluvíme o veřejných VPS/Dedicated.
(4) Segmentsmak.
(5) Firehol.
Průzkumu se mohou zúčastnit pouze registrovaní uživatelé. Přihlásit se, prosím.
Trčí vám porty?
Vždycky
Někdy
Nikdy
Nevím, kurva
Hlasovalo 54 uživatelů. 6 uživatelů se zdrželo hlasování.