پورت ها را به روی دنیا باز نکنید - شکسته خواهید شد (خطرات)

بارها و بارها، پس از انجام ممیزی، در پاسخ به توصیه های من برای پنهان کردن پورت ها در پشت لیست سفید، با دیواری از سوء تفاهم مواجه می شوم. حتی ادمین های بسیار باحال / DevOps می پرسند: "چرا؟!؟"

من پیشنهاد می کنم خطرات را به ترتیب نزولی احتمال وقوع و آسیب در نظر بگیریم.

1. خطای پیکربندی
2. DDoS از طریق IP
3. نیروی بی رحم
4. آسیب پذیری های سرویس
5. آسیب پذیری های پشته هسته
6. افزایش حملات DDoS

خطای پیکربندی

معمولی ترین و خطرناک ترین وضعیت. چگونه اتفاق می افتد. توسعه‌دهنده باید به سرعت این فرضیه را آزمایش کند؛ او یک سرور موقت با mysql/redis/mongodb/elastic راه‌اندازی می‌کند. رمز عبور، البته، پیچیده است، او در همه جا از آن استفاده می کند. این سرویس را به روی جهان باز می کند - برای او راحت است که از رایانه شخصی خود بدون این VPN های شما وصل شود. و من خیلی تنبل هستم که نحو iptables را به خاطر بسپارم؛ به هر حال سرور موقتی است. چند روز دیگر توسعه - عالی شد، می توانیم آن را به مشتری نشان دهیم. مشتری آن را دوست دارد، زمانی برای انجام مجدد آن وجود ندارد، ما آن را در PROD راه اندازی می کنیم!

مثالی که به طور عمدی اغراق شده است تا از طریق تمام چنگک ها بگذرد:

1. هیچ چیز دائمی تر از موقت نیست - من این عبارت را دوست ندارم ، اما طبق احساسات ذهنی ، 20-40٪ از چنین سرورهای موقت برای مدت طولانی باقی می مانند.
2. رمز عبور پیچیده جهانی که در بسیاری از سرویس ها استفاده می شود، شیطانی است. زیرا یکی از سرویس هایی که در آن از این رمز عبور استفاده شده ممکن است هک شده باشد. به هر شکلی، پایگاه‌های اطلاعاتی سرویس‌های هک‌شده در یک پایگاه‌داده جمع می‌شوند که برای [بی رحمی]* استفاده می‌شود.
   شایان ذکر است که پس از نصب، redis، mongodb و elastic به طور کلی بدون احراز هویت در دسترس هستند و اغلب دوباره پر می شوند. مجموعه ای از پایگاه های داده باز.
3. ممکن است به نظر برسد که هیچ کس پورت 3306 شما را در چند روز اسکن نخواهد کرد. این یک توهم است! Masscan یک اسکنر عالی است و می تواند با پورت 10M در ثانیه اسکن کند. و تنها 4 میلیارد IPv4 در اینترنت وجود دارد. بر این اساس تمامی 3306 پورت اینترنت در 7 دقیقه قرار دارند. چارلز!!! هفت دقیقه!
   "چه کسی به این نیاز دارد؟" - اعتراض می کنی بنابراین وقتی به آمار بسته های ریزش شده نگاه می کنم شگفت زده می شوم. 40 هزار تلاش اسکن از 3 هزار IP منحصر به فرد در روز از کجا می آید؟ اکنون همه در حال اسکن هستند، از هکرهای مادر گرفته تا دولت ها. بررسی آن بسیار آسان است - هر VPS را با قیمت 3 تا 5 دلار از هر شرکت هواپیمایی ارزان قیمت ** بگیرید، ثبت بسته های حذف شده را فعال کنید و در یک روز به گزارش نگاه کنید.

فعال کردن ورود به سیستم

در /etc/iptables/rules.v4 به انتها اضافه کنید:
-A INPUT -j LOG --log-prefix "[FW - ALL]" --log-level 4

و در /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - "/var/log/iptables.log
& متوقف کردن

DDoS از طریق IP

اگر یک مهاجم IP شما را بشناسد، می تواند سرور شما را برای چندین ساعت یا چند روز ربوده باشد. همه ارائه دهندگان هاست ارزان قیمت از محافظت DDoS برخوردار نیستند و سرور شما به سادگی از شبکه جدا می شود. اگر سرور خود را پشت یک CDN پنهان کرده اید، فراموش نکنید که IP را تغییر دهید، در غیر این صورت یک هکر آن را در گوگل جستجو می کند و سرور شما را با دور زدن CDN DDoS می کند (یک اشتباه بسیار رایج).

آسیب پذیری های سرویس

همه نرم افزارهای محبوب دیر یا زود خطاها را پیدا می کنند، حتی آزمایش شده ترین و بحرانی ترین آنها. در میان متخصصان IB، یک شوخی وجود دارد - امنیت زیرساخت را می توان تا زمان آخرین به روز رسانی با خیال راحت ارزیابی کرد. اگر زیرساخت‌های شما سرشار از پورت‌هایی است که به دنیا می‌آیند، و یک سال است که آن را به‌روزرسانی نکرده‌اید، هر متخصص امنیتی بدون اینکه نگاه کند به شما می‌گوید که نشتی دارید و به احتمال زیاد قبلاً هک شده‌اید.
همچنین لازم به ذکر است که تمام آسیب پذیری های شناخته شده زمانی ناشناخته بودند. هکری را تصور کنید که چنین آسیب‌پذیری را پیدا کرده و در عرض ۷ دقیقه کل اینترنت را برای حضور آن اسکن کرده است... اینجا یک اپیدمی ویروس جدید است) ما باید به‌روزرسانی کنیم، اما این می‌تواند به محصول آسیب برساند. و اگر بسته ها از مخازن رسمی سیستم عامل نصب نشده باشند حق با شماست. از تجربه، به‌روزرسانی‌های مخزن رسمی به ندرت محصول را خراب می‌کند.

نیروی بی رحم

همانطور که در بالا توضیح داده شد، یک پایگاه داده با نیم میلیارد رمز عبور وجود دارد که به راحتی می توان از صفحه کلید تایپ کرد. به عبارت دیگر، اگر رمز عبور ایجاد نکردید، اما نمادهای مجاور را روی صفحه کلید تایپ کردید، مطمئن باشید* که مورد سرقت قرار خواهید گرفت.

آسیب پذیری های پشته هسته

همچنین زمانی که پشته شبکه هسته آسیب پذیر است، حتی مهم نیست که کدام سرویس پورت را باز می کند. یعنی، مطلقاً هر سوکت tcp/udp در یک سیستم دو ساله مستعد آسیب‌پذیری است که منجر به DDoS می‌شود.

افزایش حملات DDoS

هیچ آسیب مستقیمی ایجاد نمی کند، اما می تواند کانال شما را مسدود کند، بار سیستم را افزایش دهد، IP شما در لیست سیاه ****** قرار گیرد و از میزبان سوء استفاده دریافت کنید.

آیا واقعاً به همه این خطرات نیاز دارید؟ IP خانه و محل کار خود را به لیست سفید اضافه کنید. حتی اگر پویا باشد، از طریق پنل مدیریت میزبان، از طریق کنسول وب وارد شوید و فقط یکی دیگر را اضافه کنید.

من 15 سال است که زیرساخت های فناوری اطلاعات را ساخته و محافظت می کنم. من قانونی ایجاد کرده ام که به شدت به همه توصیه می کنم - هیچ بندری نباید بدون لیست سفید وارد دنیا شود.

به عنوان مثال، امن ترین وب سرور*** سروری است که 80 و 443 را فقط برای CDN/WAF باز می کند. و پورت های سرویس (ssh، netdata، bacula، phpmyadmin) باید حداقل پشت لیست سفید و حتی بهتر از VPN قرار بگیرند. در غیر این صورت، شما در خطر به خطر افتادن هستید.

این تمام چیزی است که می خواستم بگویم. پورت های خود را بسته نگه دارید!

• (1) UPD1: اینجا می توانید رمز عبور جهانی جالب خود را بررسی کنید (این کار را بدون جایگزین کردن این رمز عبور با یک رمز عبور تصادفی در همه سرویس ها انجام ندهید، آیا در پایگاه داده ادغام شده ظاهر می شود. و اینجا می توانید ببینید که چند سرویس هک شده است، ایمیل شما در کجا گنجانده شده است، و بر این اساس، دریابید که آیا رمز عبور جهانی جالب شما به خطر افتاده است یا خیر.
• (2) به اعتبار آمازون، LightSail دارای حداقل اسکن است. ظاهراً به نوعی فیلترش می کنند.
• (3) یک وب سرور حتی امن تر، سروری است که پشت یک فایروال اختصاصی، WAF خودش قرار دارد، اما ما در مورد VPS/Dedicated عمومی صحبت می کنیم.
• (4) Segmentsmak.
• (5) فایرهول.

فقط کاربران ثبت نام شده می توانند در نظرسنجی شرکت کنند. ورود، لطفا.

آیا پورت های شما خارج می شوند؟

• همیشه

• گاهی اوقات

• هرگز

• نمیدونم لعنتی

54 کاربر رای دادند. 6 کاربر رای ممتنع دادند.

منبع: www.habr.com