ProHoster > Blog > Administrasyon an > Pa louvri pò nan mond lan - ou pral kase (risk)

Pa louvri pò nan mond lan - ou pral kase (risk)

Pa louvri pò nan mond lan - ou pral kase (risk)

Tan ak tan ankò, apre yo fin fè yon odit, an repons a rekòmandasyon mwen kache pò yo dèyè yon lis blan, mwen rankontre ak yon miray nan enkonpreyansyon. Menm trè cool admins/DevOps mande: "Poukisa?!?"

Mwen pwopoze yo konsidere risk yo nan lòd desandan nan chans pou yo rive ak domaj.

  1. Erè konfigirasyon
  2. DDoS sou IP
  3. Fòs brital
  4. Vulnerabilite sèvis yo
  5. Kernel pile vilnerabilite
  6. Ogmante atak DDoS

Erè konfigirasyon

Sitiyasyon ki pi tipik ak danjere. Ki jan sa rive. Pwomotè a bezwen byen vit teste ipotèz la; li mete kanpe yon sèvè tanporè ak mysql/redis/mongodb/elastic. Modpas la, nan kou, se konplèks, li sèvi ak li toupatou. Li ouvè sèvis la nan mond lan - li bon pou li konekte sou PC li san yo pa VPN sa yo ou yo. Epi mwen twò parese pou m sonje sentaks iptables la; sèvè a se tanporè kanmenm. Yon koup plis jou nan devlopman - li te tounen soti gwo, nou ka montre li nan kliyan an. Kliyan an renmen li, pa gen tan refè li, nou lanse li nan PROD!

Yon egzanp fè espre ekzajere yo nan lòd yo ale nan tout rato a:

  1. Pa gen anyen ki pi pèmanan pase tanporè - mwen pa renmen fraz sa a, men dapre santiman subjectif, 20-40% nan serveurs tanporè sa yo rete pou yon tan long.
  2. Yon modpas inivèsèl konplèks ki itilize nan anpil sèvis se sa ki mal. Paske youn nan sèvis kote yo te itilize modpas sa a te kapab pirate. Yon fason oswa yon lòt, baz done sèvis rache yo rasanble nan yon sèl, ki itilize pou [fòs brut]*.
    Li vo ajoute ke apre enstalasyon, redis, mongodb ak elastik yo jeneralman disponib san otantifikasyon, epi yo souvan ranplir. koleksyon baz done louvri.
  3. Li ka sanble ke pa gen moun ki pral eskane pò 3306 ou nan yon koup de jou. Se yon dezi! Masscan se yon eskanè ekselan epi li ka eskane nan 10M pò pou chak segonn. Epi gen sèlman 4 milya IPv4 sou entènèt la. An konsekans, tout pò 3306 sou entènèt la yo sitiye nan 7 minit. Charles!!! Sèt minit!
    "Ki moun ki bezwen sa a?" - ou objeksyon. Se konsa, mwen sezi lè mwen gade nan estatistik yo nan pakè tonbe. Ki kote 40 mil tantativ eskanè soti nan 3 mil IP inik soti nan chak jou? Koulye a, tout moun ap eskane, soti nan entru manman an rive nan gouvènman yo. Li trè fasil pou tcheke - pran nenpòt VPS pou $3-5 nan nenpòt** konpayi avyon pri ki ba, pèmèt anrejistreman pakè tonbe epi gade boutèy la nan yon jou.

Pèmèt antre

Nan /etc/iptables/rules.v4 ajoute nan fen a:
-A INPUT -j LOG --log-prefix "[FW - TOUT] " --log-level 4

Ak nan /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - " /var/log/iptables.log
& sispann

DDoS sou IP

Si yon atakè konnen IP ou, li ka detounen sèvè ou pandan plizyè èdtan oswa jou. Se pa tout founisè hosting ki ba pri ki gen pwoteksyon DDoS epi sèvè ou a pral tou senpleman dekonekte nan rezo a. Si ou kache sèvè ou a dèyè yon CDN, pa bliye chanje IP a, otreman yon pirate pral google li ak DDoS sèvè ou a kontoune CDN a (yon erè trè popilè).

Vulnerabilite sèvis yo

Tout lojisyèl popilè pi bonè oswa pita jwenn erè, menm sa ki pi teste ak kritik. Pami espesyalis IB yo, gen yon demi-blag - sekirite enfrastrikti a ka san danje evalye nan moman dènye aktyalizasyon an. Si enfrastrikti ou a rich nan pò ki soti nan mond lan, epi ou pa te mete ajou li pou yon ane, Lè sa a, nenpòt espesyalis sekirite ap di ou san yo pa gade ke ou gen koule, epi gen plis chans yo te deja rache.
Li se tou vo mansyone ke tout frajilite li te ye yo te yon fwa enkoni. Imajine yon pirate ki te jwenn yon vilnerabilite konsa ak analize tout entènèt la nan 7 minit pou prezans li... Men yon nouvo epidemi viris) Nou bezwen mete ajou, men sa a ka mal pwodwi a, ou di. Epi w ap gen rezon si pakè yo pa enstale nan depo ofisyèl OS yo. Soti nan eksperyans, mizajou ki soti nan depo ofisyèl la raman kraze pwodwi a.

Fòs brital

Jan sa dekri pi wo a, gen yon baz done ak yon demi milya modpas ki bon pou tape nan klavye a. Nan lòt mo, si ou pa jenere yon modpas, men tape senbòl adjasan sou klavye a, asire w * ke yo pral konfonn ou.

Kernel pile vilnerabilite.

Li rive tou **** ke li pa menm gen pwoblèm ki sèvis ouvè pò a, lè pile rezo nwayo a tèt li vilnerab. Sa vle di, absoliman nenpòt priz tcp / udp sou yon sistèm dezan se sansib a yon vilnerabilite ki mennen nan DDoS.

Ogmante atak DDoS

Li pa pral lakòz okenn domaj dirèk, men li ka bouche chanèl ou a, ogmante chaj la sou sistèm nan, IP ou a pral fini sou kèk lis nwa *****, epi ou pral resevwa abi nan men hoster la.

Èske ou reyèlman bezwen tout risk sa yo? Ajoute IP lakay ou ak travay ou nan lis blan an. Menm si li dinamik, konekte nan panèl admin hoster la, atravè konsole entènèt la, epi jis ajoute yon lòt.

Mwen te konstwi ak pwoteje enfrastrikti IT pou 15 ane. Mwen te devlope yon règ ke mwen rekòmande pou tout moun - pa gen okenn pò ta dwe rete nan mond lan san yon lis blan.

Pa egzanp, sèvè entènèt ki pi an sekirite*** se youn ki louvri 80 ak 443 sèlman pou CDN/WAF. Ak pò sèvis (ssh, netdata, bacula, phpmyadmin) ta dwe omwen dèyè lis blan an, e menm pi bon dèyè VPN la. Sinon, ou riske konpwomèt.

Se tout sa mwen te vle di. Kenbe pò ou fèmen!

  • (1) UPD1: Isit la ou ka tcheke modpas inivèsèl fre ou a (pa fè sa san ranplase modpas sa a ak yon sèl o aza nan tout sèvis yo), si li te parèt nan baz done a fizyone. Ak isit la ou ka wè konbyen sèvis yo te rache, kote imel ou te enkli, epi, kòmsadwa, chèche konnen si modpas fre inivèsèl ou te konpwomèt.
  • (2) Pou kredi Amazon, LightSail gen eskanè minim. Aparamman yo filtre li yon jan kanmenm.
  • (3) Yon sèvè entènèt ki pi an sekirite se youn ki dèyè yon pare-feu devwe, pwòp WAF li, men nou ap pale de VPS piblik/Dedye.
  • (4) Segmentsmak.
  • (5) Firehol.

Se sèlman itilizatè ki anrejistre ki ka patisipe nan sondaj la. Enskri, tanpri.

Èske pò ou yo rete deyò?

  • Toujou

  • Pafwa

  • Pa janm

  • Mwen pa konnen, fout

54 itilizatè yo te vote. 6 itilizatè te absteni.

Sous: www.habr.com

Add nouvo kòmantè