
Immer wieder stoĂe ich nach Audits auf eine Mauer des UnverstĂ€ndnisses, wenn ich empfehle, Ports hinter einer Whitelist zu verbergen. Selbst sehr erfahrene Admins/DevOps fragen: âWarum?!?â
Ich schlage vor, die Risiken nach abnehmender Wahrscheinlichkeit und potenziellen SchÀden zu betrachten.
- Konfigurationsfehler
- DDoS ĂŒber IP
- Brute-Forcing
- Schwachstellen von Dienstleistungen
- Schwachstellen im Kernel-Stack
- VerstÀrkung von DDoS-Attacken
Konfigurationsfehler
Die typischste und gefĂ€hrlichste Situation. So lĂ€uft es oft. Ein Entwickler muss schnell eine Hypothese prĂŒfen und richtet einen temporĂ€ren Server mit MySQL/Redis/MongoDB/Elastic ein. Das Passwort ist natĂŒrlich komplex, er nutzt es ĂŒberall. Der Dienst wird der Ăffentlichkeit zugĂ€nglich gemacht â es ist bequem, sich von seinem PC ohne VPN zu verbinden. Und es ist lĂ€stig, die Syntax von iptables zu erinnern, der Server ist schlieĂlich temporĂ€r. Nach ein paar Tagen Entwicklung â es sieht groĂartig aus, jetzt kann ich es dem Kunden prĂ€sentieren. Der Kunde ist begeistert, keine Zeit fĂŒr Ănderungen, wir gehen live!
Ein absichtlich ĂŒbertriebenes Beispiel, um alle Fallstricke zu veranschaulichen:
- Nichts ist dauerhafter als das VorĂŒbergehende â ich mag diesen Satz nicht, aber gefĂŒhlt bleiben 20-40% solcher temporĂ€ren Server langfristig bestehen.
- Ein komplexes allgemeines Passwort, das in vielen Diensten verwendet wird, ist gefĂ€hrlich. Denn einer der Dienste, wo dieses Passwort genutzt wurde, könnte gehackt worden sein. So oder so flieĂen die Daten von gehackten Diensten in eine einzige Datenbank, die fĂŒr [Brute-Force]* verwendet wird.
Es ist erwĂ€hnenswert, dass Redis, MongoDB und Elastic nach der Installation ĂŒberhaupt ohne Authentifizierung zugĂ€nglich sind und oft . - Es mag so erscheinen, als wĂŒrde niemand innerhalb von ein paar Tagen Ihren Port 3306 scannen. Das ist ein Irrglaube! Masscan ist ein hervorragender Scanner und kann mit einer Geschwindigkeit von 10 Millionen Ports pro Sekunde scannen. Und im Internet gibt es insgesamt 4 Milliarden IPv4-Adressen. Somit sind alle 3306-Ports im Internet in 7 Minuten erreichbar. Karl!!! Sieben Minuten!
"Wer braucht das schon?" - werden Sie einwenden. Und auch ich bin erstaunt, wenn ich die Statistiken der verworfenen Pakete betrachte. Woher kommen am Tag 40.000 Scanversuche von 3.000 einzigartigen IPs? Derzeit scannen alle, die nicht dazu in der Lage sind, von Hobby-Hackern bis hin zu Regierungen. Es ist ganz einfach zu ĂŒberprĂŒfen â mieten Sie irgendein VPS fĂŒr 3â5 $ bei einem beliebigen **Low-Cost-Anbieter, aktivieren Sie die Protokollierung der verworfenen Pakete und schauen Sie sich das Protokoll nach einem Tag an.
Aktivierung der Protokollierung
FĂŒgen Sie am Ende von /etc/iptables/rules.v4 hinzu:
-A INPUT -j LOG âlog-prefix «[FW â ALL] » âlog-level 4
In /etc/rsyslog.d/10-iptables.conf
:msg,contains,»[FW â » /var/log/iptables.log
& stop
DDoS ĂŒber IP
Wenn ein Angreifer Ihre IP kennt, kann er Ihren Server fĂŒr mehrere Stunden oder Tage mit DDoS-Angriffen lahmlegen. Nur wenige Low-Cost-Hosting-Anbieter haben DDoS-Schutz, und Ihr Server könnte einfach vom Netzwerk getrennt werden. Wenn Sie Ihren Server hinter einem CDN verstecken, vergessen Sie nicht, die IP zu Ă€ndern, sonst findet der Hacker sie leicht und kann Ihren Server umgehen DDoSânen (eine sehr hĂ€ufige Fehlerquelle).
Schwachstellen von Dienstleistungen
In allen weit verbreiteten Softwarelösungen werden frĂŒher oder spĂ€ter Fehler gefunden, selbst in den am besten getesteten und kritischsten. In der Community der IT-Sicherheitsspezialisten gibt es einen Halbwitz â die Sicherheit der Infrastruktur kann man getrost am Datum des letzten Updates festmachen. Wenn Ihre Infrastruktur viele offene Ports hat und Sie sie seit einem Jahr nicht aktualisiert haben, wird Ihnen jeder Sicherheitsprofi sofort sagen, dass Sie verwundbar sind und wahrscheinlich bereits kompromittiert wurden.
Es ist ebenfalls erwĂ€hnenswert, dass alle bekannten Schwachstellen ehemals unbekannt waren. Stellen Sie sich einen Hacker vor, der eine solche Schwachstelle entdeckt und in 7 Minuten das gesamte Internet auf deren Vorhandensein scannt... Und da haben wir eine neue virale Epidemie. ) Man sollte aktualisieren, aber das könnte das Produkt gefĂ€hrden, sagen Sie. Und Sie haben recht, wenn die Pakete nicht aus den offiziellen Repositories des Betriebssystems stammen. Aus Erfahrung brechen Aktualisierungen aus dem offiziellen Repository Ă€uĂerst selten die Produktion.
Brute-Forcing
Wie oben beschrieben, gibt es eine Datenbank mit fast einer halben Milliarde Passwörter, die bequem von der Tastatur eingegeben werden können. Anders ausgedrĂŒckt, wenn Sie kein Passwort generiert haben, sondern benachbarte Zeichen auf der Tastatur eingegeben haben, können Sie sich sicher sein* â Sie werden gehackt.
Schwachstellen im Kernel-Stack.
Es kann vorkommen****, dass es nicht wichtig ist, welcher Dienst den Port öffnet, wenn der Netzwerk-Stack des Kernels anfĂ€llig ist. Das bedeutet, dass absolut jeder TCP/UDP-Socket auf einem System, das zwei Jahre alt ist, anfĂ€llig fĂŒr eine Schwachstelle ist, die zu DDoS fĂŒhrt.
StÀrkung von DDoS-Angriffen
Direkt wird es keinen Schaden verursachen, könnte jedoch Ihre Bandbreite ĂŒberlasten, die Systemlast erhöhen, Ihre IP könnte auf eine schwarze Liste***** gelangen, und Ihnen könnte eine Abmahnung vom Hosting-Anbieter zugestellt werden.
Brauchen Sie wirklich all diese Risiken? FĂŒgen Sie Ihre private und geschĂ€ftliche IP zur Whitelist hinzu. Selbst wenn sie dynamisch ist â loggen Sie sich ĂŒber das Admin-Panel des Hosts oder ĂŒber die Web-Konsole ein und fĂŒgen Sie einfach eine weitere hinzu.
Ich beschĂ€ftige mich seit 15 Jahren mit dem Aufbau und dem Schutz von IT-Infrastrukturen. Ich habe eine Regel entwickelt, die ich jedem dringend empfehle â kein Port sollte ohne Whitelist zur VerfĂŒgung stehen..
Ein Beispiel: Der am besten geschĂŒtzte Webserver*** ist der, bei dem die Ports 80 und 443 nur fĂŒr CDN/WAF offen sind. Die Dienstports (ssh, netdata, bacula, phpmyadmin) sollten mindestens hinter einer Whitelist sein, besser noch hinter einem VPN. Andernfalls riskieren Sie, kompromittiert zu werden.
Das wÀre alles von meiner Seite. Halten Sie Ihre Ports geschlossen!
- (1) UPD1: Sie können Ihr tolles universelles Passwort prĂŒfen (tun Sie dies nicht, ohne das Passwort durch zufĂ€llige Passwörter in allen Diensten zu ersetzen), um zu sehen, ob es in einer geleakten Datenbank aufgetaucht ist. können Sie ĂŒberprĂŒfen, wie viele Dienste kompromittiert wurden, bei denen Ihre E-Mail-Adresse vorkam, und somit herausfinden, ob Ihr tolles universelles Passwort gefĂ€hrdet wurde.
- (2) Amazon gebĂŒhrt Anerkennung â bei LightSail gibt es minimal Scans. Anscheinend filtern sie das irgendwie.
- (3) Ein noch geschĂŒtzterer Webserver ist der, der hinter einer dedizierten Firewall und einem eigenen WAF steht, aber hier geht es um öffentliche VPS/Dedicated.
- (4) Segmentierung.
- (5) Firehol.
Nur registrierte Benutzer können an der Umfrage teilnehmen. Sind Sie an Contour interessiert?
Haben Sie Ports nach auĂen offen?
- Immer
- Manchmal
- Nie
- WeiĂ nicht, egal
54 Nutzer haben abgestimmt. 6 Nutzer haben sich enthalten.
Quelle: habr.com
