ProHoster > Blog > Administración > Non abras portos ao mundo - estarás roto (riscos)

Non abras portos ao mundo - estarás roto (riscos)

Non abras portos ao mundo - estarás roto (riscos)

Unha e outra vez, despois de realizar unha auditoría, en resposta ás miñas recomendacións de ocultar os portos detrás dunha lista branca, atópome cun muro de malentendidos. Mesmo os administradores/DevOps moi xeniais preguntan: "¡Por que?!?"

Propoño considerar os riscos por orde decrecente de probabilidade de aparición e danos.

  1. Erro de configuración
  2. DDoS sobre IP
  3. Forza bruta
  4. Vulnerabilidades do servizo
  5. Vulnerabilidades da pila do núcleo
  6. Aumento dos ataques DDoS

Erro de configuración

A situación máis típica e perigosa. Como ocorre. O programador debe probar rapidamente a hipótese; configura un servidor temporal con mysql/redis/mongodb/elastic. O contrasinal, por suposto, é complexo, utilízao en todas partes. Abre o servizo ao mundo: é conveniente para el conectarse desde o seu PC sen estas túas VPN. E estou moi preguiceiro para lembrar a sintaxe de iptables; o servidor é temporal de todos os xeitos. Un par de días máis de desenvolvemento - resultou xenial, podemos mostrarllo ao cliente. Ao cliente gústalle, non hai tempo para refacelo, lanzámolo a PROD!

Un exemplo deliberadamente esaxerado para pasar por todo o rastro:

  1. Non hai nada máis permanente que temporal: non me gusta esta frase, pero segundo os sentimentos subxectivos, o 20-40% destes servidores temporais permanecen durante moito tempo.
  2. Un contrasinal universal complexo que se usa en moitos servizos é malvado. Porque un dos servizos onde se utilizou este contrasinal puido ser pirateado. Dunha maneira ou doutra, as bases de datos dos servizos pirateados reúnense nun, que se usa para [forza bruta]*.
    Paga a pena engadir que despois da instalación, redis, mongodb e elastic xeralmente están dispoñibles sen autenticación e adoitan ser reabastecidos colección de bases de datos abertas.
  3. Pode parecer que ninguén escaneará o seu porto 3306 nun par de días. É unha ilusión! Masscan é un excelente escáner e pode dixitalizar a 10 millóns de portos por segundo. E só hai 4 millóns de IPv4 en Internet. En consecuencia, os 3306 portos de Internet están localizados en 7 minutos. Carlos!!! Sete minutos!
    "Quen precisa isto?" - vostede obxecta. Así que sorpréndeme cando miro as estatísticas dos paquetes que se deixaron caer. De onde veñen 40 mil intentos de dixitalización de 3 mil IPs únicas ao día? Agora todo o mundo está escaneando, desde os hackers da nai ata os gobernos. É moi sinxelo de verificar: toma calquera VPS por 3-5 $ de calquera** compañía aérea de baixo custo, activa o rexistro de paquetes perdidos e mira o rexistro nun día.

Activando o rexistro

En /etc/iptables/rules.v4 engadir ao final:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4

E en /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - " /var/log/iptables.log
& parar

DDoS sobre IP

Se un atacante coñece a túa IP, pode secuestrar o teu servidor durante varias horas ou días. Non todos os provedores de hospedaxe de baixo custo teñen protección contra DDoS e o teu servidor simplemente desconectarase da rede. Se escondeches o teu servidor detrás dun CDN, non esquezas cambiar a IP, se non, un hacker buscarao en Google e DDoS o teu servidor evitando o CDN (un erro moi popular).

Vulnerabilidades do servizo

Todo o software popular atopa erros tarde ou cedo, incluso os máis probados e críticos. Entre os especialistas do IB, hai unha broma media: a seguridade da infraestrutura pódese avaliar con seguridade no momento da última actualización. Se a túa infraestrutura é rica en portos que sobresaen no mundo, e hai un ano que non a actualizaches, calquera especialista en seguridade diráche sen mirar que tes fugas e que moi probablemente xa foi pirateado.
Tamén vale a pena mencionar que todas as vulnerabilidades coñecidas foron unha vez descoñecidas. Imaxina un hacker que atopou esa vulnerabilidade e escaneou toda Internet en 7 minutos para a súa presenza... Aquí hai unha nova epidemia de virus) Necesitamos actualizar, pero isto pode prexudicar o produto, dis. E terás razón se os paquetes non están instalados desde os repositorios oficiais do SO. Por experiencia, as actualizacións do repositorio oficial raramente rompen o produto.

Forza bruta

Como se describiu anteriormente, hai unha base de datos con medio billón de contrasinais que é conveniente escribir desde o teclado. Noutras palabras, se non xerou un contrasinal, pero escribiu símbolos adxacentes no teclado, pode estar seguro* de que o confundirán.

Vulnerabilidades da pila do núcleo.

Tamén ocorre **** que nin sequera importa que servizo abra o porto, cando a propia pila de rede do núcleo é vulnerable. É dicir, absolutamente calquera socket tcp/udp nun sistema de dous anos é susceptible a unha vulnerabilidade que leva a DDoS.

Aumento dos ataques DDoS

Non causará ningún dano directo, pero pode obstruír a túa canle, aumentar a carga do sistema, a túa IP terminará nunha lista negra***** e recibirás abusos do host.

Realmente necesitas todos estes riscos? Engade a túa IP de casa e de traballo á lista branca. Aínda que sexa dinámico, inicia sesión a través do panel de administración do hospedador, a través da consola web e engade outro.

Levo 15 anos construíndo e protexendo infraestruturas de TI. Desenvolvín unha regra que recomendo encarecidamente a todos: ningún porto debería saír ao mundo sen unha lista branca.

Por exemplo, o servidor web máis seguro*** é o que abre 80 e 443 só para CDN/WAF. E os portos de servizo (ssh, netdata, bacula, phpmyadmin) deberían estar polo menos detrás da lista branca, e aínda mellor detrás da VPN. Se non, corre o risco de verse comprometido.

Iso é todo o que quería dicir. Mantén os teus portos pechados!

  • (1) UPD1: Aquí podes comprobar o teu contrasinal universal xenial (non faga isto sen substituír este contrasinal por un aleatorio en todos os servizos), se apareceu na base de datos combinada. E aquí podes ver cantos servizos foron pirateados, onde se incluíu o teu correo electrónico e, en consecuencia, descubrir se o teu contrasinal universal foi comprometido.
  • (2) Para crédito de Amazon, LightSail ten escaneos mínimos. Ao parecer o filtran dalgún xeito.
  • (3) Un servidor web aínda máis seguro é o que está detrás dun firewall dedicado, o seu propio WAF, pero estamos a falar de VPS/Dedicado público.
  • (4) Segmentos.
  • (5) Firehol.

Só os usuarios rexistrados poden participar na enquisa. Rexístrate, por favor.

Os seus portos sobresaen?

  • Sempre

  • Ás veces

  • Nunca

  • Non sei, carallo

Votaron 54 usuarios. 6 usuarios abstivéronse.

Fonte: www.habr.com

Engadir un comentario