Ree kaj ree, post kiam mi faris revizion, responde al miaj rekomendoj kaŝi la havenojn malantaŭ blanka listo, mi renkontas muron de miskompreno. Eĉ tre bonegaj administrantoj/DevOps demandas: "Kial?!?"
Mi proponas konsideri riskojn en malkreskanta ordo de probableco de okazo kaj damaĝo.
- Eraro de agordo
- DDoS super IP
- Bruta forto
- Servaj vundeblecoj
- vundeblecoj de la kerno-stako
- Pliigitaj DDoS-atakoj
Eraro de agordo
La plej tipa kaj danĝera situacio. Kiel ĝi okazas. La programisto devas rapide testi la hipotezon; li starigas provizoran servilon kun mysql/redis/mongodb/elastic. La pasvorto, kompreneble, estas kompleksa, li uzas ĝin ĉie. Ĝi malfermas la servon al la mondo - estas oportune por li konekti de sia komputilo sen ĉi tiuj viaj VPN-oj. Kaj mi estas tro maldiligenta por memori la sintakson de iptables; la servilo estas provizora ĉiuokaze. Kelkajn pliajn tagojn da evoluo - ĝi montriĝis bonega, ni povas montri ĝin al la kliento. La kliento ŝatas ĝin, ne estas tempo por refari ĝin, ni lanĉas ĝin en PROD!
Ekzemplo intence troigita por trapasi la tutan rastilon:
- Estas nenio pli konstanta ol provizora - mi ne ŝatas ĉi tiun frazon, sed laŭ subjektivaj sentoj, 20-40% de tiaj provizoraj serviloj restas longe.
- Kompleksa universala pasvorto, kiu estas uzata en multaj servoj, estas malbona. Ĉar unu el la servoj, kie ĉi tiu pasvorto estis uzata, povus esti pirata. Unu maniero aŭ alia, la datumbazoj de hakitaj servoj amasiĝas en unu, kiu estas uzata por [bruta forto]*.
Indas aldoni, ke post instalado, redis, mongodb kaj elasto estas ĝenerale haveblaj sen aŭtentikigo, kaj ofte estas replenigitaj . - Eble ŝajnas, ke neniu skanos vian 3306-havenon post kelkaj tagoj. Estas iluzio! Masscan estas bonega skanilo kaj povas skani je 10M da havenoj sekundo. Kaj estas nur 4 miliardoj IPv4 en la Interreto. Sekve, ĉiuj 3306 havenoj en la Interreto situas en 7 minutoj. Karlo!!! Sep minutoj!
"Kiu bezonas ĉi tion?" — vi kontraŭas. Do mi miras kiam mi rigardas la statistikojn de faligitaj pakaĵoj. De kie venas 40 mil skanaj provoj de 3 mil unikaj IP-oj ĉiutage? Nun ĉiuj skanas, de la piratoj de panjo ĝis registaroj. Estas tre facile kontroli - prenu ajnan VPS por 3-5 USD de iu ajn ** malmultekosta flugkompanio, ebligu registradon de faligitaj pakaĵoj kaj rigardu la protokolon en unu tago.
Ebligante ensalutadon
En /etc/iptables/rules.v4 aldonu al la fino:
-A INPUT -j LOG --log-prefix "[FW - ĈIUJ] " --log-nivelo 4
Kaj en /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - "/var/log/iptables.log
& haltu
DDoS super IP
Se atakanto konas vian IP, li povas kaperi vian servilon dum kelkaj horoj aŭ tagoj. Ne ĉiuj malaltkostaj gastigaj provizantoj havas DDoS-protekton kaj via servilo simple estos malkonektita de la reto. Se vi kaŝis vian servilon malantaŭ CDN, ne forgesu ŝanĝi la IP, alie retpirato guglos ĝin kaj DDoS vian servilon preterpasante la CDN (tre populara eraro).
Servaj vundeblecoj
Ĉiuj popularaj programaroj baldaŭ aŭ malfrue trovas erarojn, eĉ la plej elprovitajn kaj kritikajn. Inter IB-specialistoj, estas duonŝerco - la sekureco de la infrastrukturo povas esti sekure taksita ĝis la tempo de la lasta ĝisdatigo. Se via infrastrukturo estas riĉa je havenoj, kiuj elstaras en la mondon, kaj vi ne ĝisdatigis ĝin dum unu jaro, tiam iu ajn sekureca specialisto diros al vi sen rigardi, ke vi estas lika, kaj plej verŝajne jam estis hakita.
Menciindas ankaŭ, ke ĉiuj konataj vundeblecoj iam estis nekonataj. Imagu retpiraton, kiu trovis tian vundeblecon kaj skanis la tutan Interreton en 7 minutoj por ĝia ĉeesto... Jen nova virusepidemio) Ni devas ĝisdatigi, sed ĉi tio povas damaĝi la produkton, vi diras. Kaj vi pravos, se la pakaĵoj ne estas instalitaj el la oficialaj OS-deponejoj. Laŭ sperto, ĝisdatigoj de la oficiala deponejo malofte rompas la produkton.
Bruta forto
Kiel priskribite supre, ekzistas datumbazo kun duonmiliardo da pasvortoj, kiuj estas oportune tajpi de la klavaro. Alivorte, se vi ne generis pasvorton, sed tajpis apudajn simbolojn sur la klavaro, estu certa* ke ili konfuzos vin.
vundeblecoj de la kerno-stako.
Okazas ankaŭ ****, ke eĉ ne gravas, kiu servo malfermas la havenon, kiam la kerna reto stako mem estas vundebla. Tio estas, absolute ajna tcp/udp-soko sur dujara sistemo estas susceptible al vundebleco kondukanta al DDoS.
Pliigitaj DDoS-atakoj
Ĝi ne kaŭzos rektan damaĝon, sed ĝi povas ŝtopi vian kanalon, pliigi la ŝarĝon en la sistemo, via IP finiĝos en iu nigra listo*****, kaj vi ricevos misuzon de la gastiganto.
Ĉu vi vere bezonas ĉiujn ĉi tiujn riskojn? Aldonu vian hejman kaj laboran IP al la blanka listo. Eĉ se ĝi estas dinamika, ensalutu per la administra panelo de la gastiganto, per la retkonzolo, kaj simple aldonu alian.
Mi konstruas kaj protektas IT-infrastrukturon dum 15 jaroj. Mi ellaboris regulon, kiun mi forte rekomendas al ĉiuj - neniu haveno devus elstari en la mondon sen blanka listo.
Ekzemple, la plej sekura retservilo*** estas tiu, kiu malfermas 80 kaj 443 nur por CDN/WAF. Kaj servaj havenoj (ssh, netdata, bacula, phpmyadmin) devus esti almenaŭ malantaŭ la blanka listo, kaj eĉ pli bone malantaŭ la VPN. Alie, vi riskas esti kompromitita.
Tion mi volis diri. Tenu viajn havenojn fermitaj!
- (1) UPD1: vi povas kontroli vian bonegan universalan pasvorton (ne faru tion sen anstataŭigi ĉi tiun pasvorton per hazarda en ĉiuj servoj), ĉu ĝi aperis en la kunfandita datumbazo. vi povas vidi kiom da servoj estis hakitaj, kie via retpoŝto estis inkluzivita, kaj, sekve, ekscii ĉu via malvarmeta universala pasvorto estis kompromitita.
- (2) Laŭ la kredito de Amazon, LightSail havas minimumajn skanaĵojn. Ŝajne ili filtras ĝin iel.
- (3) Eĉ pli sekura retservilo estas tiu malantaŭ dediĉita fajroŝirmilo, sia propra WAF, sed ni parolas pri publika VPS/Dediĉita.
- (4) Segmentsmak.
- (5) Fajroholo.
Nur registritaj uzantoj povas partopreni la enketon. , bonvolu.
Ĉu viaj havenoj elstaras?
-
Ĉiam
-
Foje
-
Neniam
-
Mi ne scias, fike
54 uzantoj voĉdonis. 6 uzantoj sindetenis.
fonto: www.habr.com