ProHoster > Blog > διαχείριση > Μην ανοίγετε λιμάνια στον κόσμο - θα σπάσετε (κίνδυνοι)

Μην ανοίγετε λιμάνια στον κόσμο - θα σπάσετε (κίνδυνοι)

Μην ανοίγετε λιμάνια στον κόσμο - θα σπάσετε (κίνδυνοι)

Ξανά και ξανά, μετά από έλεγχο, ως απάντηση στις συστάσεις μου να κρύψω τα λιμάνια πίσω από μια λευκή λίστα, αντιμετωπίζω έναν τοίχο παρεξηγήσεων. Ακόμη και οι πολύ καλοί διαχειριστές/DevOps ρωτούν: "Γιατί;;"

Προτείνω να ληφθούν υπόψη οι κίνδυνοι κατά φθίνουσα σειρά πιθανότητας εμφάνισης και ζημίας.

  1. Σφάλμα διαμόρφωσης
  2. DDoS μέσω IP
  3. Ωμής βίας
  4. Ευπάθειες υπηρεσιών
  5. Τρωτά σημεία στοίβας πυρήνα
  6. Αυξημένες επιθέσεις DDoS

Σφάλμα διαμόρφωσης

Η πιο χαρακτηριστική και επικίνδυνη κατάσταση. Πώς συμβαίνει. Ο προγραμματιστής πρέπει να δοκιμάσει γρήγορα την υπόθεση· δημιουργεί έναν προσωρινό διακομιστή με mysql/redis/mongodb/elastic. Ο κωδικός, φυσικά, είναι πολύπλοκος, τον χρησιμοποιεί παντού. Ανοίγει την υπηρεσία στον κόσμο - είναι βολικό για αυτόν να συνδέεται από τον υπολογιστή του χωρίς αυτά τα VPN σας. Και είμαι πολύ τεμπέλης για να θυμηθώ τη σύνταξη iptables· ο διακομιστής είναι ούτως ή άλλως προσωρινός. Μερικές μέρες ακόμα ανάπτυξης - βγήκε υπέροχο, μπορούμε να το δείξουμε στον πελάτη. Αρέσει στον πελάτη, δεν υπάρχει χρόνος να το ξανακάνουμε, το λανσάρουμε στο PROD!

Ένα παράδειγμα σκόπιμα υπερβολικό για να περάσει όλη η γκανιότα:

  1. Δεν υπάρχει τίποτα πιο μόνιμο από το προσωρινό - δεν μου αρέσει αυτή η φράση, αλλά σύμφωνα με υποκειμενικά συναισθήματα, το 20-40% αυτών των προσωρινών διακομιστών παραμένει για μεγάλο χρονικό διάστημα.
  2. Ένας πολύπλοκος καθολικός κωδικός πρόσβασης που χρησιμοποιείται σε πολλές υπηρεσίες είναι κακός. Επειδή μια από τις υπηρεσίες όπου χρησιμοποιήθηκε αυτός ο κωδικός πρόσβασης θα μπορούσε να έχει χακαριστεί. Με τον ένα ή τον άλλο τρόπο, οι βάσεις δεδομένων των παραβιασμένων υπηρεσιών συρρέουν σε μία, η οποία χρησιμοποιείται για [brute force]*.
    Αξίζει να προστεθεί ότι μετά την εγκατάσταση, τα redis, mongodb και elastic είναι γενικά διαθέσιμα χωρίς έλεγχο ταυτότητας και συχνά αναπληρώνονται συλλογή ανοιχτών βάσεων δεδομένων.
  3. Μπορεί να φαίνεται ότι κανείς δεν θα σαρώσει τη θύρα 3306 σας σε λίγες μέρες. Είναι αυταπάτη! Το Masscan είναι ένας εξαιρετικός σαρωτής και μπορεί να σαρώσει με 10M θύρες ανά δευτερόλεπτο. Και υπάρχουν μόνο 4 δισεκατομμύρια IPv4 στο Διαδίκτυο. Αντίστοιχα, και οι 3306 θύρες στο Διαδίκτυο βρίσκονται σε 7 λεπτά. Κάρολος!!! Επτά λεπτά!
    «Ποιος το χρειάζεται αυτό;» - έχεις αντίρρηση. Έτσι, εκπλήσσομαι όταν κοιτάζω τα στατιστικά των πακέτων που έπεσαν. Από πού προέρχονται 40 χιλιάδες προσπάθειες σάρωσης από 3 χιλιάδες μοναδικές IP την ημέρα; Τώρα όλοι σαρώνουν, από τους χάκερ της μαμάς μέχρι τις κυβερνήσεις. Είναι πολύ εύκολο να το ελέγξετε - πάρτε οποιοδήποτε VPS για 3-5 $ από οποιαδήποτε αεροπορική εταιρεία χαμηλού κόστους**, ενεργοποιήστε την καταγραφή πακέτων που απορρίφθηκαν και δείτε το αρχείο καταγραφής σε μια μέρα.

Ενεργοποίηση καταγραφής

Στο /etc/iptables/rules.v4 προσθέστε στο τέλος:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4

Και στο /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - "/var/log/iptables.log
& να σταματήσει

DDoS μέσω IP

Εάν ένας εισβολέας γνωρίζει την IP σας, μπορεί να παραβιάσει τον διακομιστή σας για αρκετές ώρες ή ημέρες. Δεν έχουν όλοι οι πάροχοι φιλοξενίας χαμηλού κόστους προστασίας DDoS και ο διακομιστής σας απλώς θα αποσυνδεθεί από το δίκτυο. Εάν έχετε κρύψει τον διακομιστή σας πίσω από ένα CDN, μην ξεχάσετε να αλλάξετε την IP, διαφορετικά ένας χάκερ θα το γκουγκλάρει και θα DDoS τον διακομιστή σας παρακάμπτοντας το CDN (ένα πολύ δημοφιλές λάθος).

Ευπάθειες υπηρεσιών

Όλο το δημοφιλές λογισμικό αργά ή γρήγορα βρίσκει σφάλματα, ακόμη και τα πιο δοκιμασμένα και κρίσιμα. Μεταξύ των ειδικών της IB, υπάρχει ένα μισό αστείο - η ασφάλεια της υποδομής μπορεί να αξιολογηθεί με ασφάλεια μέχρι την τελευταία ενημέρωση. Εάν η υποδομή σας είναι πλούσια σε λιμάνια που φτάνουν στον κόσμο και δεν την έχετε ενημερώσει για ένα χρόνο, τότε οποιοσδήποτε ειδικός ασφαλείας θα σας πει χωρίς να κοιτάξει ότι έχετε διαρροή και πιθανότατα έχετε ήδη παραβιαστεί.
Αξίζει επίσης να αναφέρουμε ότι όλα τα γνωστά τρωτά σημεία ήταν κάποτε άγνωστα. Φανταστείτε έναν χάκερ που βρήκε μια τέτοια ευπάθεια και σάρωνε ολόκληρο το Διαδίκτυο σε 7 λεπτά για την παρουσία του... Εδώ είναι μια νέα επιδημία ιών) Πρέπει να ενημερώσουμε, αλλά αυτό μπορεί να βλάψει το προϊόν, λέτε. Και θα έχετε δίκιο εάν τα πακέτα δεν είναι εγκατεστημένα από τα επίσημα αποθετήρια του λειτουργικού συστήματος. Από την εμπειρία, οι ενημερώσεις από το επίσημο αποθετήριο σπάνια σπάνε το προϊόν.

Ωμής βίας

Όπως περιγράφεται παραπάνω, υπάρχει μια βάση δεδομένων με μισό δισεκατομμύριο κωδικούς πρόσβασης που είναι βολικό να πληκτρολογήσετε από το πληκτρολόγιο. Με άλλα λόγια, εάν δεν δημιουργήσατε κωδικό πρόσβασης, αλλά πληκτρολογήσατε διπλανά σύμβολα στο πληκτρολόγιο, να είστε σίγουροι* ότι θα σας κλέψουν.

Τρωτά σημεία στοίβας πυρήνα.

Συμβαίνει επίσης **** ότι δεν έχει καν σημασία ποια υπηρεσία ανοίγει τη θύρα, όταν η ίδια η στοίβα δικτύου πυρήνα είναι ευάλωτη. Δηλαδή, απολύτως οποιαδήποτε υποδοχή tcp/udp σε ένα σύστημα δύο ετών είναι επιρρεπής σε μια ευπάθεια που οδηγεί σε DDoS.

Αυξημένες επιθέσεις DDoS

Δεν θα προκαλέσει άμεση ζημιά, αλλά μπορεί να φράξει το κανάλι σας, να αυξήσει το φορτίο στο σύστημα, η IP σας θα καταλήξει σε κάποια μαύρη λίστα***** και θα λάβετε κατάχρηση από τον οικοδεσπότη.

Χρειάζεστε πραγματικά όλους αυτούς τους κινδύνους; Προσθέστε τη διεύθυνση IP του σπιτιού και της εργασίας σας στη λευκή λίστα. Ακόμα κι αν είναι δυναμικό, συνδεθείτε μέσω του πίνακα διαχείρισης του hoster, μέσω της κονσόλας Ιστού και απλώς προσθέστε ένα άλλο.

Κατασκευάζω και προστατεύω υποδομές πληροφορικής εδώ και 15 χρόνια. Έχω αναπτύξει έναν κανόνα που συνιστώ ανεπιφύλακτα σε όλους - Κανένα λιμάνι δεν πρέπει να βγαίνει στον κόσμο χωρίς μια λευκή λίστα.

Για παράδειγμα, ο πιο ασφαλής διακομιστής ιστού*** είναι αυτός που ανοίγει 80 και 443 μόνο για CDN/WAF. Και οι θύρες υπηρεσιών (ssh, netdata, bacula, phpmyadmin) θα πρέπει να βρίσκονται τουλάχιστον πίσω από τη λευκή λίστα και ακόμη καλύτερα πίσω από το VPN. Διαφορετικά, κινδυνεύετε να συμβιβαστείτε.

Μόνο αυτό ήθελα να πω. Κρατήστε τα λιμάνια σας κλειστά!

  • (1) UPD1: Εδώ μπορείτε να ελέγξετε τον καλό γενικό κωδικό πρόσβασής σας (Μην το κάνετε αυτό χωρίς να αντικαταστήσετε αυτόν τον κωδικό πρόσβασης με έναν τυχαίο σε όλες τις υπηρεσίες), εάν εμφανίστηκε στη συγχωνευμένη βάση δεδομένων. Και εδώ μπορείτε να δείτε πόσες υπηρεσίες παραβιάστηκαν, πού συμπεριλήφθηκε το email σας και, κατά συνέπεια, να μάθετε εάν ο καλός καθολικός κωδικός πρόσβασης έχει παραβιαστεί.
  • (2) Προς τιμή της Amazon, το LightSail έχει ελάχιστες σαρώσεις. Προφανώς το φιλτράρουν με κάποιο τρόπο.
  • (3) Ένας ακόμα πιο ασφαλής διακομιστής ιστού είναι αυτός που βρίσκεται πίσω από ένα αποκλειστικό τείχος προστασίας, το δικό του WAF, αλλά μιλάμε για δημόσιο VPS/Dedicated.
  • (4) Segmentsmak.
  • (5) Firehol.

Μόνο εγγεγραμμένοι χρήστες μπορούν να συμμετάσχουν στην έρευνα. Συνδεθείτε, Σας παρακαλούμε.

Τα λιμάνια σας ξεκολλάνε;

  • Πάντα

  • Μερικές φορές

  • Ποτέ

  • Δεν ξέρω, γαμώτο

Ψήφισαν 54 χρήστες. 6 χρήστες απείχαν.

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο