ProHoster > blog > Gweinyddiaeth > Peidiwch ag agor porthladdoedd i'r byd - cewch eich torri (risgiau)

Peidiwch ag agor porthladdoedd i'r byd - cewch eich torri (risgiau)

Peidiwch ag agor porthladdoedd i'r byd - cewch eich torri (risgiau)

Dro ar ôl tro, ar ôl cynnal awdit, mewn ymateb i’m hargymhellion i guddio’r porthladdoedd y tu ôl i restr wen, mae wal o gamddealltwriaeth yn fy wynebu. Mae hyd yn oed gweinyddwyr cŵl iawn / DevOps yn gofyn: “Pam?!?”

Cynigiaf ystyried risgiau yn nhrefn ddisgynnol y tebygolrwydd o ddigwydd a difrod.

  1. Gwall ffurfweddu
  2. DDoS dros IP
  3. Grym 'n Ysgrublaidd
  4. Gwendidau gwasanaeth
  5. Gwendidau stac cnewyllyn
  6. Mwy o ymosodiadau DDoS

Gwall ffurfweddu

Y sefyllfa fwyaf nodweddiadol a pheryglus. Sut mae'n digwydd. Mae angen i'r datblygwr brofi'r ddamcaniaeth yn gyflym; mae'n sefydlu gweinydd dros dro gyda mysql/redis/mongodb/elastic. Mae'r cyfrinair, wrth gwrs, yn gymhleth, mae'n ei ddefnyddio ym mhobman. Mae'n agor y gwasanaeth i'r byd - mae'n gyfleus iddo gysylltu o'i gyfrifiadur personol heb y VPNs hyn gennych chi. Ac rwy'n rhy ddiog i gofio'r gystrawen iptables; mae'r gweinydd dros dro beth bynnag. Ychydig ddyddiau mwy o ddatblygiad - trodd allan yn wych, gallwn ei ddangos i'r cwsmer. Mae'r cwsmer yn ei hoffi, nid oes amser i'w ail-wneud, rydyn ni'n ei lansio i PROD!

Enghraifft wedi'i gorliwio'n fwriadol er mwyn mynd trwy'r holl gribin:

  1. Nid oes dim byd mwy parhaol na dros dro - nid wyf yn hoffi'r ymadrodd hwn, ond yn ôl teimladau goddrychol, mae 20-40% o weinyddion dros dro o'r fath yn aros am amser hir.
  2. Mae cyfrinair cyffredinol cymhleth a ddefnyddir mewn llawer o wasanaethau yn ddrwg. Oherwydd gallai un o'r gwasanaethau lle defnyddiwyd y cyfrinair hwn fod wedi cael ei hacio. Un ffordd neu'r llall, mae'r cronfeydd data o wasanaethau wedi'u hacio yn heidio i mewn i un, a ddefnyddir ar gyfer [grym ysgrublaid]*.
    Mae'n werth ychwanegu, ar ôl eu gosod, bod redis, mongodb ac elastig ar gael yn gyffredinol heb ddilysu, ac yn aml yn cael eu hailgyflenwi. casglu cronfeydd data agored.
  3. Efallai y bydd yn ymddangos na fydd unrhyw un yn sganio'ch porthladd 3306 mewn ychydig ddyddiau. Mae'n rhithdy! Mae Masscan yn sganiwr ardderchog a gall sganio mewn porthladdoedd 10M yr eiliad. A dim ond 4 biliwn IPv4 sydd ar y Rhyngrwyd. Yn unol â hynny, mae pob un o'r 3306 o borthladdoedd ar y Rhyngrwyd wedi'u lleoli mewn 7 munud. Charles!!! Saith munud!
    “Pwy sydd angen hwn?” - rydych chi'n gwrthwynebu. Felly rwy'n synnu pan fyddaf yn edrych ar ystadegau pecynnau wedi'u gollwng. O ble mae 40 mil o ymdrechion sganio o 3 mil o IPs unigryw yn dod y dydd? Nawr mae pawb yn sganio, o hacwyr mamau i lywodraethau. Mae'n hawdd iawn ei wirio - cymerwch unrhyw VPS am $3-5 gan unrhyw** gwmni hedfan cost isel, galluogi logio pecynnau wedi'u gollwng ac edrychwch ar y log mewn diwrnod.

Galluogi logio

Yn /etc/iptables/rules.v4 ychwanegwch at y diwedd:
-A MEWNBWN -j LOG --log- rhagddodiad " [FW - PAWB] " --log-lefel 4

Ac yn /etc/rsyslog.d/10-iptables.conf
:msg, yn cynnwys, "[FW - " /var/log/iptables.log
& stop

DDoS dros IP

Os yw ymosodwr yn gwybod eich IP, gall herwgipio'ch gweinydd am sawl awr neu ddiwrnod. Nid oes gan bob darparwr cynnal cost isel amddiffyniad DDoS a bydd eich gweinydd yn cael ei ddatgysylltu o'r rhwydwaith. Os gwnaethoch guddio'ch gweinydd y tu ôl i CDN, peidiwch ag anghofio newid yr IP, fel arall bydd haciwr yn ei google a DDoS eich gweinydd yn osgoi'r CDN (camgymeriad poblogaidd iawn).

Gwendidau gwasanaeth

Mae pob meddalwedd poblogaidd yn hwyr neu'n hwyrach yn dod o hyd i wallau, hyd yn oed y rhai mwyaf prawf a beirniadol. Ymhlith arbenigwyr IB, mae yna hanner jôc - gellir asesu diogelwch y seilwaith yn ddiogel erbyn amser y diweddariad diwethaf. Os yw'ch seilwaith yn gyfoethog mewn porthladdoedd sy'n ymestyn allan i'r byd, ac nad ydych wedi ei ddiweddaru ers blwyddyn, yna bydd unrhyw arbenigwr diogelwch yn dweud wrthych heb edrych eich bod yn gollwng, ac mae'n debyg eich bod eisoes wedi'ch hacio.
Mae'n werth nodi hefyd bod yr holl wendidau hysbys unwaith yn anhysbys. Dychmygwch haciwr a ddaeth o hyd i'r fath fregusrwydd ac a sganiodd y Rhyngrwyd cyfan mewn 7 munud am ei bresenoldeb... Dyma epidemig firws newydd) Mae angen i ni ddiweddaru, ond gall hyn niweidio'r cynnyrch, meddech chi. A byddwch yn iawn os na chaiff y pecynnau eu gosod o'r storfeydd OS swyddogol. O brofiad, anaml y bydd diweddariadau o'r ystorfa swyddogol yn torri'r cynnyrch.

Grym 'n Ysgrublaidd

Fel y disgrifir uchod, mae cronfa ddata gyda hanner biliwn o gyfrineiriau sy'n gyfleus i'w teipio o'r bysellfwrdd. Mewn geiriau eraill, os na wnaethoch chi gynhyrchu cyfrinair, ond teipio symbolau cyfagos ar y bysellfwrdd, byddwch yn dawel eich meddwl * y byddant yn eich drysu.

Gwendidau stac cnewyllyn.

Mae hefyd yn digwydd **** nad oes ots pa wasanaeth sy'n agor y porthladd, pan fydd pentwr rhwydwaith cnewyllyn ei hun yn agored i niwed. Hynny yw, mae unrhyw soced tcp/udp ar system dwyflwydd oed yn agored i wendid sy'n arwain at DDoS.

Mwy o ymosodiadau DDoS

Ni fydd yn achosi unrhyw ddifrod uniongyrchol, ond gall rwystro'ch sianel, cynyddu'r llwyth ar y system, bydd eich IP yn y pen draw ar restr ddu *****, a byddwch yn cael eich cam-drin gan y gwesteiwr.

A oes gwir angen yr holl risgiau hyn arnoch chi? Ychwanegwch eich IP cartref a gwaith at y rhestr wen. Hyd yn oed os yw'n ddeinamig, mewngofnodwch trwy banel gweinyddol y gwesteiwr, trwy'r consol gwe, ac ychwanegwch un arall.

Rwyf wedi bod yn adeiladu ac yn diogelu seilwaith TG ers 15 mlynedd. Rwyf wedi datblygu rheol yr wyf yn ei hargymell yn gryf i bawb - ni ddylai unrhyw borth lynu i'r byd heb restr wen.

Er enghraifft, y gweinydd gwe mwyaf diogel *** yw'r un sy'n agor 80 a 443 yn unig ar gyfer CDN / WAF. A dylai porthladdoedd gwasanaeth (ssh, netdata, bacula, phpmyadmin) fod o leiaf y tu ôl i'r rhestr wen, a hyd yn oed yn well y tu ôl i'r VPN. Fel arall, rydych mewn perygl o gael eich peryglu.

Dyna'r cyfan roeddwn i eisiau ei ddweud. Cadwch eich porthladdoedd ar gau!

  • (1) UPD1: Yma gallwch wirio'ch cyfrinair cyffredinol cŵl (peidiwch â gwneud hyn heb amnewid y cyfrinair hwn am un ar hap ym mhob gwasanaeth), a oedd yn ymddangos yn y gronfa ddata gyfun. Ac yma gallwch weld faint o wasanaethau a gafodd eu hacio, lle cafodd eich e-bost ei gynnwys, ac, yn unol â hynny, darganfod a yw eich cyfrinair cyffredinol cŵl wedi'i beryglu.
  • (2) Er clod i Amazon, ychydig iawn o sganiau sydd gan LightSail. Mae'n debyg eu bod yn ei hidlo rywsut.
  • (3) Gweinydd gwe hyd yn oed yn fwy diogel yw'r un y tu ôl i wal dân bwrpasol, ei WAF ei hun, ond rydym yn sôn am VPS cyhoeddus / Ymroddedig.
  • (4) Segmentsmak.
  • (5) Firehol.

Dim ond defnyddwyr cofrestredig all gymryd rhan yn yr arolwg. Mewngofnodios gwelwch yn dda.

Ydy'ch porthladdoedd yn aros allan?

  • Bob amser

  • Weithiau

  • Peidiwch byth â

  • Dydw i ddim yn gwybod, fuck

Pleidleisiodd 54 o ddefnyddwyr. Ymataliodd 6 o ddefnyddwyr.

Ffynhonnell: hab.com

Ychwanegu sylw