Ikka ja jälle põrkab mind pärast auditi läbiviimist, vastuseks minu soovitustele sadamad valge nimekirja taha peita, arusaamatuste sein. Isegi väga lahedad administraatorid/DevOps küsivad: "Miks?!?"
Teen ettepaneku vaadelda riske esinemise ja kahju tõenäosuse kahanevas järjekorras.
- Konfiguratsiooniviga
- DDoS üle IP
- Toores jõud
- Teenuse haavatavused
- Kerneli virna haavatavused
- Suurenenud DDoS-rünnakud
Konfiguratsiooniviga
Kõige tüüpilisem ja ohtlikum olukord. Kuidas see juhtub. Arendaja peab hüpoteesi kiiresti testima; ta seadistab ajutise serveri koos mysql/redis/mongodb/elastic. Parool on muidugi keeruline, ta kasutab seda igal pool. See avab teenuse maailmale – tal on mugav arvutist ühendust luua ilma teie VPN-ideta. Ja ma olen liiga laisk, et mäletada iptablesi süntaksit; server on niikuinii ajutine. Paar päeva arendust veel - tuli suurepärane välja, saame kliendile näidata. Kliendile meeldib, pole aega ümber teha, käivitame selle PROD-i!
Tahtlikult liialdatud näide, et kogu reha läbida:
- Pole midagi püsivamat kui ajutine - see fraas mulle ei meeldi, kuid subjektiivsete tunnete kohaselt jääb 20–40% sellistest ajutistest serveritest pikaks ajaks alles.
- Keeruline universaalne parool, mida paljudes teenustes kasutatakse, on kurjast. Kuna ühte teenustest, kus seda parooli kasutati, võidi häkkida. Nii või teisiti kogunevad häkitud teenuste andmebaasid ühte, mida kasutatakse [tooreks jõuks]*.
Tasub lisada, et pärast installimist on redis, mongodb ja elastic üldiselt saadaval ilma autentimiseta ning neid sageli täiendatakse . - Võib tunduda, et paari päeva jooksul ei skanni keegi teie 3306 porti. See on pettekujutelm! Masscan on suurepärane skanner ja suudab skannida 10 miljonit porti sekundis. Ja Internetis on ainult 4 miljardit IPv4. Vastavalt sellele asuvad kõik 3306 Interneti-porti 7 minutiga. Charles!!! Seitse minutit!
"Kellele seda vaja on?" - vaidlete vastu. Nii et ma olen üllatunud, kui vaatan langenud pakkide statistikat. Kust tuleb päevas 40 tuhat skannimiskatset 3 tuhandelt ainulaadselt IP-lt? Nüüd otsivad kõik, ema häkkeritest valitsusteni. Seda on väga lihtne kontrollida – võtke 3–5 dollari eest suvaline VPS mis tahes** odavlennufirmalt, lubage maha kukkunud pakkide logimine ja vaadake logi päeva pärast.
Logimise lubamine
Lisage faili /etc/iptables/rules.v4 lõppu:
-A SISEND -j LOG --logi eesliide "[FW - KÕIK] " --logi tase 4
Ja failis /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - "/var/log/iptables.log
& peatus
DDoS üle IP
Kui ründaja teab teie IP-d, võib ta teie serveri mitmeks tunniks või päevaks kaaperdada. Kõigil odava hinnaga hostiteenuse pakkujatel pole DDoS-kaitset ja teie server lihtsalt katkestatakse võrguga. Kui peitsite oma serveri CDN-i taha, ärge unustage IP-aadressi muuta, vastasel juhul otsib häkker seda Google'is ja DDoS teie serverit CDN-ist mööda minnes (väga populaarne viga).
Teenuse haavatavused
Kõik populaarsed tarkvarad leiavad varem või hiljem vead, isegi kõige testitud ja kriitilisemad. IB spetsialistide seas on nalja poolik - taristu turvalisust saab julgelt hinnata viimase uuenduse ajaks. Kui teie infrastruktuur on maailmale paistvate sadamate poolest rikas ja te pole seda aasta aega värskendanud, ütleb iga turvaspetsialist teile vaatamata, et olete lekkinud ja tõenäoliselt on teid juba häkitud.
Samuti tasub mainida, et kõik teadaolevad haavatavused olid kunagi tundmatud. Kujutage ette häkkerit, kes leidis sellise haavatavuse ja kontrollis 7 minutiga kogu Internetti selle olemasolu tuvastamiseks... Siin on uus viiruseepideemia) Peame värskendama, kuid see võib teie sõnul toodet kahjustada. Ja teil on õigus, kui pakette pole installitud ametlikest OS-i hoidlatest. Kogemuste põhjal võib öelda, et ametliku hoidla värskendused rikuvad toodet harva.
Toores jõud
Nagu eespool kirjeldatud, on poole miljardi parooliga andmebaas, mida on mugav klaviatuurilt tippida. Teisisõnu, kui te ei genereerinud parooli, vaid sisestasite klaviatuuril külgnevaid sümboleid, võite olla kindel*, et need ajavad teid segadusse.
Kerneli virna haavatavused.
Juhtub ka ****, et pole isegi vahet, milline teenus pordi avab, kui kerneli võrgupinn ise on haavatav. See tähendab, et absoluutselt iga kahe aasta vanuse süsteemi tcp/udp pesa on vastuvõtlik DDoS-i viivale haavatavusele.
Suurenenud DDoS-i rünnakud
See ei põhjusta otsest kahju, kuid võib teie kanali ummistada, suurendada süsteemi koormust, teie IP-aadress satub musta nimekirja***** ja hostija rikub teid.
Kas teil on tõesti kõiki neid riske vaja? Lisage oma kodu ja töö IP-aadress valgesse nimekirja. Isegi kui see on dünaamiline, logige sisse hosti administraatoripaneeli kaudu veebikonsooli kaudu ja lisage lihtsalt uus.
Olen IT-infrastruktuuri ehitanud ja kaitsnud 15 aastat. Olen välja töötanud reegli, mida soovitan tungivalt kõigile - ükski sadam ei peaks ilma valge nimekirjata maailma paistma.
Näiteks on kõige turvalisem veebiserver*** see, mis avab 80 ja 443 ainult CDN/WAFi jaoks. Ja teeninduspordid (ssh, netdata, bacula, phpmyadmin) peaksid olema vähemalt valge nimekirja taga ja veelgi parem VPN-i taga. Vastasel juhul võite ohtu sattuda.
See on kõik, mida ma öelda tahtsin. Hoidke oma sadamad suletuna!
- (1) UPD1: saate kontrollida oma lahedat universaalset parooli (ärge tehke seda ilma selle parooli asendamata kõigis teenustes juhusliku parooliga), kas see ilmus ühendatud andmebaasis. näete, kui palju teenuseid häkiti, kuhu teie e-kiri lisati, ja vastavalt sellele saate teada, kas teie lahe universaalne parool on rikutud.
- (2) Amazoni kiituseks tuleb öelda, et LightSailil on skaneeringuid minimaalselt. Ilmselt nad filtreerivad seda kuidagi.
- (3) Veelgi turvalisem veebiserver on spetsiaalse tulemüüri, oma WAF-i taga, kuid me räägime avalikust VPS-ist/Dedicatedist.
- (4) Segmentsmak.
- (5) Firehol.
Küsitluses saavad osaleda ainult registreerunud kasutajad. palun.
Kas teie pordid paistavad välja?
-
Alati
-
Mõnikord
-
Mitte kunagi
-
Ma ei tea, kurat
54 kasutajat hääletas. 6 kasutajat jäi erapooletuks.
Allikas: www.habr.com