ProHoster > Blog > Administrazioa > Ez ireki portuak mundura - hautsi egingo zara (arriskuak)

Ez ireki portuak mundura - hautsi egingo zara (arriskuak)

Ez ireki portuak mundura - hautsi egingo zara (arriskuak)

Behin eta berriz, auditoria bat egin ondoren, zerrenda zuri baten atzean portuak ezkutatzeko nire gomendioei erantzunez, gaizki-ulertu baten harresi batekin egiten dut topo. Administratzaile/DevOps oso politak ere galdetzen dute: "Zergatik?!?"

Arriskuak gertatzeko probabilitatearen eta kaltearen beheranzko ordenan kontuan hartzea proposatzen dut.

  1. Konfigurazio-errorea
  2. DDoS IP bidez
  3. Indar gordina
  4. Zerbitzuaren ahultasunak
  5. Kernel pilaren ahultasunak
  6. DDoS erasoak areagotu dira

Konfigurazio-errorea

Egoera tipikoena eta arriskutsuena. Nola gertatzen den. Garatzaileak hipotesia azkar probatu behar du; aldi baterako zerbitzari bat konfiguratzen du mysql/redis/mongodb/elastic-ekin. Pasahitza, noski, konplexua da, nonahi erabiltzen du. Zerbitzua munduari irekitzen dio; erosoa da bere ordenagailutik konektatzea zure VPN hauek gabe. Eta alferra naiz iptables sintaxia gogoratzeko; zerbitzaria aldi baterakoa da hala ere. Garapen pare bat egun gehiago - bikaina atera zen, bezeroari erakutsi diezaiokegu. Bezeroari gustatzen zaio, ez dago berriro egiteko astirik, PROD-era abiarazten dugu!

Adibide bat nahita exageratua arrasto guztia igarotzeko:

  1. Ez dago behin-behinekoa baino iraunkorragorik - ez zait esaldi hau gustatzen, baina sentimendu subjektiboen arabera, aldi baterako zerbitzarien % 20-40 denbora luzez geratzen dira.
  2. Zerbitzu askotan erabiltzen den pasahitz unibertsal konplexua gaiztoa da. Pasahitz hori erabiltzen zen zerbitzuetako bat pirateatu izan zitekeelako. Modu batera edo bestera, hackeatutako zerbitzuen datu-baseak batean biltzen dira, [indar gordina]* egiteko erabiltzen dena.
    Instalatu ondoren, redis, mongodb eta elastikoa, oro har, autentifikaziorik gabe erabilgarri daudela eta sarritan berritzen direla gehitzea merezi du. datu-base irekien bilduma.
  3. Badirudi inork ez duela zure 3306 ataka eskaneatu egun pare batean. Ilusio bat da! Masscan eskaner bikaina da eta segundoko 10M ataketan eskaneatu dezake. Eta 4 milioi IPv4 baino ez daude Interneten. Horren arabera, Interneteko 3306 portu guztiak 7 minututan kokatzen dira. Karlos!!! Zazpi minutu!
    "Nork behar du hau?" - aurka egiten duzu. Beraz, harritu egiten naiz eroritako paketeen estatistikak begiratzen ditudanean. Nondik datoz egunean 40 IP bakarren 3 mila eskaneatu saiakera? Orain denak eskaneatzen ari dira, amaren hackerretik hasi eta gobernuetaraino. Egiaztatzea oso erraza da: hartu 3-5 $-ren truke edozein ** kostu baxuko aire-konpainiatik, gaitu eroritako paketeen erregistroa eta begiratu egun batean erregistroa.

Erregistroa gaitzen

/etc/iptables/rules.v4-n gehitu amaieran:
-A INPUT -j LOG --log-aurrizkia "[FW - ALL] " --log-level 4

Eta /etc/rsyslog.d/10-iptables.conf-en
:msg,contains,"[FW - "/var/log/iptables.log
& gelditu

DDoS IP bidez

Erasotzaile batek zure IPa ezagutzen badu, zure zerbitzaria bahitu dezake hainbat orduz edo egunez. Kostu baxuko ostalaritza hornitzaile guztiek ez dute DDoS babesik eta zure zerbitzaria saretik deskonektatuko da. Zure zerbitzaria CDN baten atzean ezkutatu baduzu, ez ahaztu IP-a aldatzea, bestela hacker batek Googlen bilatuko du eta DDoS zure zerbitzaria CDNa saihestuz (akats oso ezaguna).

Zerbitzuaren ahultasunak

Software ezagun guztiek goiz edo geroago akatsak aurkitzen dituzte, baita probatuenak eta kritikoenak ere. IBko espezialisten artean, txantxa erdi bat dago: azpiegituraren segurtasuna modu seguruan ebaluatu daiteke azken eguneratzearen unean. Zure azpiegitura mundura zabaltzen diren portuetan aberatsa bada eta urtebetez eguneratu ez baduzu, orduan segurtasun espezialistak esango dizu leaky zaudela begiratu gabe, eta ziurrenik dagoeneko hackeatu duzula.
Aipatzekoa da ezagunak diren ahultasun guztiak garai batean ezezagunak zirela. Imajinatu hacker bat halako ahultasun bat aurkitu eta 7 minututan Internet osoa eskaneatu zuen bere presentzia ikusteko... Hona hemen birus epidemia berri bat) Eguneratu behar dugu, baina horrek produktua kaltetu dezake, diozu. Eta arrazoi izango duzu paketeak sistema eragilearen biltegi ofizialetatik instalatzen ez badira. Esperientziaren arabera, biltegi ofizialeko eguneratzeek oso gutxitan hausten dute produktua.

Indar gordina

Goian azaldu bezala, teklatutik idazteko erosoak diren mila milioi erdi pasahitz dituen datu-base bat dago. Beste era batera esanda, pasahitzik sortu ez baduzu, baina teklatuan ondoko ikurrak idatzi badituzu, egon ziur* nahastuko zaituztela.

Kernel pilaren ahultasunak.

Gertatzen da ere **** axola zein zerbitzuk irekitzen duen ataka, nukleoaren sare pila bera zaurgarria denean. Hau da, bi urteko sistema bateko edozein tcp/udp socket DDoS-a eragiten duen ahultasun bat jasan dezake.

DDoS erasoak areagotu dira

Ez du kalte zuzenik eragingo, baina zure kanala trabatu dezake, sistemaren karga areagotu, zure IP-a zerrenda beltz batean geratuko da*****, eta ostalariaren tratu txarrak jasoko dituzu.

Benetan behar al dituzu arrisku horiek guztiak? Gehitu zure etxeko eta laneko IP zerrenda zurira. Nahiz eta dinamikoa izan, hasi saioa ostalariaren administrazio panelaren bidez, web kontsolaren bidez, eta gehitu beste bat.

15 urte daramatzat IT azpiegiturak eraikitzen eta babesten. Guztiei gomendatzen diedan arau bat garatu dut - porturik ez luke mundura irten behar zerrenda zuririk gabe.

Adibidez, web zerbitzaririk seguruena*** 80 eta 443 CDN/WAFentzat soilik irekitzen dituena da. Eta zerbitzu-atak (ssh, netdata, bacula, phpmyadmin) gutxienez zerrenda zuriaren atzean egon beharko lukete, eta are hobeto VPNaren atzean. Bestela, arriskuan jartzen zara.

Hori da esan nahi nuen guztia. Mantendu zure portuak itxita!

  • (1) UPD1: Hemen zure pasahitz unibertsala egiazta dezakezu (ez egin hau pasahitz hau ausazko batekin ordezkatu gabe zerbitzu guztietan), batatutako datu-basean agertzen den. Eta hemen zenbat zerbitzu hackeatu diren ikus dezakezu, zure posta elektronikoa non sartu den eta, horren arabera, zure pasahitz unibertsala kolokan egon den jakin dezakezu.
  • (2) Amazonen krediturako, LightSail-ek eskaneatu minimoak ditu. Antza denez, nolabait iragazten dute.
  • (3) Are seguruagoa den web zerbitzari bat suebaki dedikatu baten atzean dagoena da, bere WAF propioa, baina VPS/Dedikatu publikoaz ari gara.
  • (4) Segmentsmak.
  • (5) Firehol.

Erregistratutako erabiltzaileek soilik parte hartu dezakete inkestan. Hasi saioa, mesedez.

Zure portuak kanpoan geratzen al dira?

  • beti

  • batzuetan

  • Inoiz ez

  • Ez dakit, joder

54 erabiltzailek eman dute botoa. 6 erabiltzaile abstenitu ziren.

Iturria: www.habr.com

Gehitu iruzkin berria