ProHoster > Blogi > antaminen > Älä avaa satamia maailmalle - tulet rikki (riskit)

Älä avaa satamia maailmalle - tulet rikki (riskit)

Älä avaa satamia maailmalle - tulet rikki (riskit)

Kerta toisensa jälkeen, auditoinnin jälkeen, vastauksena suosituksilleni piilottaa portit valkoisen listan taakse, kohtaan väärinkäsitysten seinän. Jopa erittäin siistit järjestelmänvalvojat/kehittäjät kysyvät: "Miksi?!?"

Ehdotan riskien tarkastelua tapahtumien ja vaurioiden todennäköisyyden alenevassa järjestyksessä.

  1. Määritysvirhe
  2. DDoS IP:n kautta
  3. raaka voima
  4. Palvelun haavoittuvuudet
  5. Ydinpinon haavoittuvuudet
  6. Lisääntyneet DDoS-hyökkäykset

Määritysvirhe

Tyypillisin ja vaarallisin tilanne. Miten se tapahtuu. Kehittäjän on testattava hypoteesi nopeasti; hän perustaa väliaikaisen palvelimen mysql/redis/mongodb/elasticilla. Salasana on tietysti monimutkainen, hän käyttää sitä kaikkialla. Se avaa palvelun maailmalle – hänen on kätevää muodostaa yhteys tietokoneestaan ​​ilman näitä VPN-verkkojasi. Ja olen liian laiska muistamaan iptables-syntaksia; palvelin on joka tapauksessa väliaikainen. Vielä pari päivää kehitystä - siitä tuli hienoa, voimme näyttää sen asiakkaalle. Asiakas pitää siitä, ei ole aikaa tehdä sitä uudelleen, lanseeraamme sen PRODiin!

Esimerkki, joka on tarkoituksella liioiteltu, jotta kaikki haravoin menisi läpi:

  1. Mikään ei ole pysyvämpää kuin tilapäinen - en pidä tästä lauseesta, mutta subjektiivisten tunteiden mukaan 20-40% tällaisista väliaikaisista palvelimista pysyy pitkään.
  2. Monimutkainen yleinen salasana, jota käytetään monissa palveluissa, on paha. Koska yksi palveluista, joissa tätä salasanaa käytettiin, on saatettu murtautua. Tavalla tai toisella hakkeroitujen palveluiden tietokannat kerääntyvät yhteen, jota käytetään [raakavoimaan]*.
    On syytä lisätä, että asennuksen jälkeen redis, mongodb ja elastic ovat yleensä saatavilla ilman todennusta ja niitä täydennetään usein avoimien tietokantojen kokoelma.
  3. Saattaa näyttää siltä, ​​että kukaan ei tarkista 3306-porttiasi muutamassa päivässä. Se on harhaa! Masscan on erinomainen skanneri ja se voi skannata 10 miljoonalla portilla sekunnissa. Ja Internetissä on vain 4 miljardia IPv4:ää. Näin ollen kaikki Internetin 3306 porttia sijaitsevat 7 minuutissa. Charles!!! Seitsemän minuuttia!
    "Kuka tätä tarvitsee?" - vastustat. Joten olen yllättynyt, kun katson pudonneiden pakettien tilastoja. Mistä 40 tuhatta skannausyritystä 3 tuhannesta yksilöllisestä IP-osoitteesta tulee päivässä? Nyt kaikki tutkivat, äidin hakkereista hallitukseen. Se on erittäin helppo tarkistaa – ota mikä tahansa VPS 3-5 dollarilla mistä tahansa** halpalentoyhtiöstä, ota käyttöön pudonneiden pakettien kirjaaminen ja katso loki päivässä.

Kirjaamisen ottaminen käyttöön

Lisää tiedoston /etc/iptables/rules.v4 loppuun:
-A INPUT -j LOG --log-etuliite "[FW - ALL] " --log-level 4

Ja tiedostossa /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - " /var/log/iptables.log
& lopettaa

DDoS IP:n kautta

Jos hyökkääjä tietää IP-osoitteesi, hän voi kaapata palvelimesi useiden tuntien tai päivien ajaksi. Kaikilla edullisilla isännöintipalveluntarjoajilla ei ole DDoS-suojausta ja palvelimesi yksinkertaisesti irrotetaan verkosta. Jos piilotit palvelimesi CDN:n taakse, älä unohda vaihtaa IP-osoitetta, muuten hakkeri googlettaa sen ja DDoS palvelimesi ohittaen CDN:n (erittäin suosittu virhe).

Palvelun haavoittuvuudet

Kaikki suositut ohjelmistot löytävät ennemmin tai myöhemmin virheet, jopa testatuimmat ja kriittisimmät. IB-asiantuntijoiden joukossa on puolivitsi - infrastruktuurin turvallisuus voidaan turvallisesti arvioida viimeiseen päivitykseen mennessä. Jos infrastruktuurissasi on runsaasti portteja, jotka ulottuvat maailmaan, etkä ole päivittänyt sitä vuoteen, kuka tahansa tietoturvaasiantuntija kertoo sinulle katsomatta, että olet vuotanut ja todennäköisesti jo hakkeroitu.
On myös syytä mainita, että kaikki tunnetut haavoittuvuudet olivat aikoinaan tuntemattomia. Kuvittele hakkeri, joka löysi tällaisen haavoittuvuuden ja skannaa koko Internetin 7 minuutissa sen läsnäolon varalta... Tässä on uusi virusepidemia) Meidän täytyy päivittää, mutta tämä voi vahingoittaa tuotetta, sanot. Ja olet oikeassa, jos paketteja ei ole asennettu virallisista käyttöjärjestelmän arkistoista. Kokemuksen mukaan virallisen arkiston päivitykset rikkovat tuotteen harvoin.

raaka voima

Kuten edellä on kuvattu, on olemassa tietokanta, jossa on puoli miljardia salasanaa, jotka on kätevä kirjoittaa näppäimistöltä. Toisin sanoen, jos et luonut salasanaa, vaan kirjoitit vierekkäisiä symboleja näppäimistöllä, voit olla varma*, että ne hämmentävät sinua.

Ydinpinon haavoittuvuudet.

Tapahtuu myös ****, että sillä ei ole edes väliä mikä palvelu avaa portin, kun itse ydinverkkopino on haavoittuvainen. Toisin sanoen ehdottomasti kaikki kaksi vuotta vanhan järjestelmän tcp/udp-pistokkeet ovat alttiita DDoS:ään johtavalle haavoittuvuudelle.

Lisääntyneet DDoS-hyökkäykset

Se ei aiheuta suoraa vahinkoa, mutta se voi tukkia kanavasi, lisätä järjestelmän kuormitusta, IP-osoitteesi päätyy jollekin mustalle listalle***** ja saat väärinkäyttöä isännöitsijältä.

Tarvitsetko todella kaikkia näitä riskejä? Lisää kotisi ja työsi IP-osoitteesi sallittujen luetteloon. Vaikka se olisi dynaaminen, kirjaudu sisään isännöitsijän hallintapaneelin kautta verkkokonsolin kautta ja lisää vain toinen.

Olen rakentanut ja suojellut IT-infrastruktuuria 15 vuoden ajan. Olen kehittänyt säännön, jota suosittelen kaikille - Mikään satama ei saisi ulottua maailmaan ilman valkoista listaa.

Esimerkiksi turvallisin verkkopalvelin*** on se, joka avaa 80 ja 443 vain CDN/WAF:lle. Ja palveluporttien (ssh, netdata, bacula, phpmyadmin) tulisi olla vähintään valkoisen listan takana ja vielä paremmin VPN: n takana. Muuten vaarana on joutua vaarantumiseen.

Siinä kaikki, mitä halusin sanoa. Pidä portit suljettuina!

  • (1) UPD1: Täällä voit tarkistaa upean yleisen salasanasi (Älä tee tätä korvaamatta tätä salasanaa satunnaisella kaikissa palveluissa), esiintyikö se yhdistetyssä tietokannassa. Ja täällä voit nähdä kuinka monta palvelua on hakkeroitu, mihin sähköpostisi sisältyi, ja vastaavasti selvittää, onko upea yleinen salasanasi vaarantunut.
  • (2) Amazonin kunniaksi LightSaililla on vain vähän skannauksia. Ilmeisesti he suodattavat sen jotenkin.
  • (3) Vielä turvallisempi web-palvelin on erillisen palomuurin takana, oma WAF, mutta puhumme julkisesta VPS/Dedicatedistä.
  • (4) Segmentsmak.
  • (5) Firehol.

Vain rekisteröityneet käyttäjät voivat osallistua kyselyyn. Kirjaudu sisään, ole kiltti.

Ovatko portit ulospäin?

  • Aina

  • joskus

  • Ei koskaan

  • En tiedä, vittu

54 käyttäjää äänesti. 6 käyttäjää pidättyi äänestämästä.

Lähde: will.com

Lisää kommentti