ProHoster > Blog > Verwaltung > Öffnen Sie keine Tore zur Welt – Sie werden kaputt gehen (Risiken)

Öffnen Sie keine Tore zur Welt – Sie werden kaputt gehen (Risiken)

Öffnen Sie keine Tore zur Welt – Sie werden kaputt gehen (Risiken)

Immer wieder stoße ich nach der Durchführung eines Audits auf meine Empfehlungen, die Ports hinter einer Whitelist zu verbergen, auf eine Wand voller Missverständnisse. Sogar sehr coole Admins/DevOps fragen: „Warum?!?“

Ich schlage vor, Risiken in absteigender Reihenfolge der Eintrittswahrscheinlichkeit und des Schadens zu betrachten.

  1. Konfigurationsfehler
  2. DDoS über IP
  3. rohe Gewalt
  4. Schwachstellen im Dienst
  5. Schwachstellen im Kernel-Stack
  6. Erhöhte DDoS-Angriffe

Konfigurationsfehler

Die typischste und gefährlichste Situation. Wie es passiert. Der Entwickler muss die Hypothese schnell testen; er richtet einen temporären Server mit mysql/redis/mongodb/elastic ein. Das Passwort ist natürlich komplex, er verwendet es überall. Es öffnet den Dienst für die ganze Welt – es ist für ihn praktisch, sich von seinem PC aus ohne Ihre VPNs zu verbinden. Und ich bin zu faul, mir die Syntax von iptables zu merken; der Server ist sowieso temporär. Noch ein paar Tage Entwicklungszeit – es ist großartig geworden, wir können es dem Kunden zeigen. Dem Kunden gefällt es, wir haben keine Zeit, es noch einmal zu machen, wir führen es in PROD ein!

Ein bewusst übertriebenes Beispiel, um den ganzen Rechen durchzugehen:

  1. Es gibt nichts Dauerhafteres als temporäre Server – ich mag diesen Ausdruck nicht, aber nach subjektivem Empfinden bleiben 20–40 % solcher temporären Server für lange Zeit bestehen.
  2. Ein komplexes universelles Passwort, das in vielen Diensten verwendet wird, ist böse. Denn einer der Dienste, bei denen dieses Passwort verwendet wurde, könnte gehackt worden sein. Auf die eine oder andere Weise strömen die Datenbanken gehackter Dienste in eine, die für [Brute Force]* genutzt wird.
    Es ist erwähnenswert, dass Redis, Mongodb und Elastic nach der Installation im Allgemeinen ohne Authentifizierung verfügbar sind und häufig nachgefüllt werden Sammlung offener Datenbanken.
  3. Es scheint, dass in ein paar Tagen niemand Ihren 3306-Port scannen wird. Es ist eine Täuschung! Masscan ist ein ausgezeichneter Scanner und kann mit 10 Millionen Ports pro Sekunde scannen. Und es gibt nur 4 Milliarden IPv4 im Internet. Demnach sind alle 3306 Ports im Internet in 7 Minuten ausfindig gemacht. Charles!!! Sieben Minuten!
    „Wer braucht das?“ - Sie widersprechen. Deshalb bin ich überrascht, wenn ich mir die Statistiken zu den verworfenen Paketen ansehe. Woher kommen 40 Scanversuche von 3 eindeutigen IPs pro Tag? Jetzt scannt jeder, von Mamas Hackern bis hin zu Regierungen. Das lässt sich ganz einfach überprüfen: Nehmen Sie einen beliebigen VPS für 3–5 $ von einer beliebigen Billigfluggesellschaft, aktivieren Sie die Protokollierung abgeworfener Pakete und sehen Sie sich das Protokoll an einem Tag an.

Protokollierung aktivieren

Fügen Sie in /etc/iptables/rules.v4 am Ende Folgendes hinzu:
-A INPUT -j LOG --log-prefix „[FW – ALL]“ --log-level 4

Und in /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - "/var/log/iptables.log
& stoppen

DDoS über IP

Wenn ein Angreifer Ihre IP kennt, kann er Ihren Server für mehrere Stunden oder Tage kapern. Nicht alle kostengünstigen Hosting-Anbieter verfügen über einen DDoS-Schutz und Ihr Server wird einfach vom Netzwerk getrennt. Wenn Sie Ihren Server hinter einem CDN versteckt haben, vergessen Sie nicht, die IP zu ändern, da sonst ein Hacker sie googelt und Ihren Server unter Umgehung des CDN per DDoS angreift (ein sehr beliebter Fehler).

Schwachstellen im Dienst

Jede gängige Software findet früher oder später Fehler, selbst die am meisten getesteten und kritischsten. Unter IB-Spezialisten gibt es einen halben Witz: Die Sicherheit der Infrastruktur kann zum Zeitpunkt des letzten Updates sicher beurteilt werden. Wenn Ihre Infrastruktur reich an Ports ist, die in die Welt hinausragen, und Sie sie ein Jahr lang nicht aktualisiert haben, wird Ihnen jeder Sicherheitsspezialist ohne hinzusehen sagen, dass Sie undicht sind und höchstwahrscheinlich bereits gehackt wurden.
Erwähnenswert ist auch, dass alle bekannten Schwachstellen einst unbekannt waren. Stellen Sie sich einen Hacker vor, der eine solche Sicherheitslücke gefunden und das gesamte Internet innerhalb von 7 Minuten nach ihrer Anwesenheit durchsucht hat ... (Hier ist eine neue Virenepidemie.) Wir müssen ein Update durchführen, aber das kann dem Produkt schaden, sagen Sie. Und Sie haben Recht, wenn die Pakete nicht aus den offiziellen Betriebssystem-Repositorys installiert werden. Erfahrungsgemäß beschädigen Updates aus dem offiziellen Repository das Produkt selten.

rohe Gewalt

Wie oben beschrieben gibt es eine Datenbank mit einer halben Milliarde Passwörtern, die bequem über die Tastatur eingegeben werden können. Mit anderen Worten: Wenn Sie kein Passwort generiert, sondern benachbarte Symbole auf der Tastatur eingegeben haben, können Sie sicher sein*, dass Sie dadurch verwirrt werden.

Schwachstellen im Kernel-Stack.

Es kommt auch vor, dass es egal ist, welcher Dienst den Port öffnet, wenn der Kernel-Netzwerkstapel selbst angreifbar ist. Das heißt, absolut jeder TCP/UDP-Socket auf einem zwei Jahre alten System ist anfällig für eine Schwachstelle, die zu DDoS führt.

Erhöhte DDoS-Angriffe

Es wird keinen direkten Schaden anrichten, aber es kann Ihren Kanal verstopfen, die Belastung des Systems erhöhen, Ihre IP landet auf einer schwarzen Liste***** und Sie werden vom Hoster beschimpft.

Braucht man all diese Risiken wirklich? Fügen Sie Ihre private und geschäftliche IP zur Whitelist hinzu. Auch wenn es dynamisch ist, melden Sie sich über das Admin-Panel des Hosters und die Webkonsole an und fügen Sie einfach ein weiteres hinzu.

Ich baue und schütze seit 15 Jahren IT-Infrastruktur. Ich habe eine Regel entwickelt, die ich jedem wärmstens empfehlen kann – Kein Hafen sollte ohne eine Whitelist in die Welt hinausragen.

Der sicherste Webserver*** ist beispielsweise derjenige, der 80 und 443 nur für CDN/WAF öffnet. Und Service-Ports (ssh, netdata, bacula, phpmyadmin) sollten mindestens hinter der Whitelist und noch besser hinter dem VPN stehen. Andernfalls besteht die Gefahr einer Kompromittierung.

Das ist alles, was ich sagen wollte. Halten Sie Ihre Häfen geschlossen!

  • (1) UPD1.: Hier Sie können Ihr cooles universelles Passwort überprüfen (Tun Sie dies nicht, ohne dieses Passwort in allen Diensten durch ein zufälliges zu ersetzen), ob es in der zusammengeführten Datenbank erschien. Und dann gibt es Sie können sehen, wie viele Dienste gehackt wurden, wo Ihre E-Mail-Adresse enthalten war, und dementsprechend herausfinden, ob Ihr cooles universelles Passwort kompromittiert wurde.
  • (2) Man muss Amazon zugutehalten, dass LightSail nur minimale Scans hat. Anscheinend filtern sie es irgendwie.
  • (3) Ein noch sichererer Webserver ist derjenige hinter einer dedizierten Firewall, einer eigenen WAF, aber wir sprechen hier von öffentlichem VPS/Dedicated.
  • (4) Segmentmak.
  • (5) Feuerhol.

An der Umfrage können nur registrierte Benutzer teilnehmen. Einloggenbitte.

Stehen Ihre Anschlüsse hervor?

  • Immer

  • Manchmal

  • Nie

  • Ich weiß es nicht, verdammt

54 Benutzer haben abgestimmt. 6 Benutzer enthielten sich der Stimme.

Source: habr.com

Kommentar hinzufügen