ProHoster > Blog > Adminisztráció > Ne nyisson kikötőket a világ felé - összetörik (kockázatok)

Ne nyisson kikötőket a világ felé - összetörik (kockázatok)

Ne nyisson kikötőket a világ felé - összetörik (kockázatok)

Egy audit elvégzése után újra és újra a félreértések falával találkoztam, válaszul azokra az ajánlásaimra, hogy rejtsem el a kikötőket egy fehér lista mögé. Még a nagyon menő adminok/fejlesztők is megkérdezik: „Miért?!?”

Azt javaslom, hogy a kockázatokat az előfordulás és a kár valószínűségének csökkenő sorrendjében vegyük figyelembe.

  1. Konfigurációs hiba
  2. DDoS IP-n keresztül
  3. Nyers erő
  4. Szolgáltatási sebezhetőségek
  5. Kernelverem sebezhetőségei
  6. Megnövekedett DDoS támadások száma

Konfigurációs hiba

A legtipikusabb és legveszélyesebb helyzet. Hogyan történik. A fejlesztőnek gyorsan le kell tesztelnie a hipotézist; beállít egy ideiglenes szervert a mysql/redis/mongodb/elastic segítségével. A jelszó persze összetett, mindenhol ezt használja. Megnyitja a szolgáltatást a világ számára – kényelmes, ha a számítógépéről csatlakozhat az Ön VPN-jei nélkül. És lusta vagyok, hogy emlékezzek az iptables szintaxisára; a szerver amúgy is ideiglenes. Még pár nap fejlesztés - remekül sikerült, megmutathatjuk a megrendelőnek. Tetszik a megrendelőnek, nincs idő újracsinálni, elindítjuk PROD-ba!

Szándékosan eltúlzott példa, hogy végigmenjünk a rake-en:

  1. Nincs tartósabb az ideiglenesnél - nem szeretem ezt a kifejezést, de a szubjektív érzések szerint az ilyen ideiglenes szerverek 20-40% -a hosszú ideig megmarad.
  2. A sok szolgáltatásban használt összetett univerzális jelszó gonosz. Mert az egyik szolgáltatást, ahol ezt a jelszót használták, feltörhették. Így vagy úgy, a feltört szolgáltatások adatbázisai egybe gyűlnek össze, amelyet [brute force]*-ra használnak fel.
    Érdemes hozzátenni, hogy a telepítés után a redis, a mongodb és az elastic általában hitelesítés nélkül elérhető, és gyakran feltöltődik nyílt adatbázisok gyűjteménye.
  3. Úgy tűnhet, hogy néhány napon belül senki sem fogja átvizsgálni a 3306-os portját. Ez egy téveszme! A Masscan kiváló szkenner, és másodpercenként 10 millió porttal képes beolvasni. És mindössze 4 milliárd IPv4 van az interneten. Ennek megfelelően az internet mind a 3306 portja 7 perc alatt található. Károly!!! Hét perc!
    – Kinek kell ez? - tiltakozol. Szóval meglepődöm, amikor megnézem az elejtett csomagok statisztikáit. Honnan jön napi 40 ezer vizsgálati kísérlet 3 ezer egyedi IP-ről? Most mindenki szkennel, anya hackereitől a kormányokig. Nagyon egyszerű ellenőrizni – vegyen el bármilyen VPS-t 3-5 dollárért bármely** fapados légitársaságtól, engedélyezze az eldobott csomagok naplózását, és egy nap múlva nézze meg a naplót.

Naplózás engedélyezése

Az /etc/iptables/rules.v4 fájl végéhez adja hozzá:
-A BEMENET -j NAPLÓ --log-előtag "[FW - ALL] " --log-level 4

És az /etc/rsyslog.d/10-iptables.conf fájlban
:msg,contains,"[FW - " /var/log/iptables.log
& állj meg

DDoS IP-n keresztül

Ha egy támadó ismeri az Ön IP-címét, több órára vagy napra eltérítheti a szerverét. Nem minden olcsó tárhelyszolgáltató rendelkezik DDoS-védelemmel, és a szerver egyszerűen leválik a hálózatról. Ha a szerverét CDN mögé rejtette, ne felejtse el megváltoztatni az IP-címet, különben egy hacker rákeres a Google-ra, és DDoS-osítja a szerverét a CDN megkerülésével (nagyon népszerű hiba).

Szolgáltatási sebezhetőségek

Minden népszerű szoftver előbb-utóbb hibát talál, még a legteszteltebb és kritikusabbak is. Az IB szakemberei között van egy félvicc - az utolsó frissítés idejére már nyugodtan felmérhető az infrastruktúra biztonsága. Ha az infrastruktúrája gazdag a világba kinyúló portokban, és egy éve nem frissítette, akkor bármelyik biztonsági szakember meglátás nélkül kijelenti, hogy szivárog, és valószínűleg már feltörték.
Azt is érdemes megemlíteni, hogy az összes ismert sebezhetőség egykor ismeretlen volt. Képzeljünk el egy hackert, aki talált egy ilyen sebezhetőséget, és 7 perc alatt átvizsgálta az egész internetet a jelenlétéért... Itt egy új vírusjárvány) Frissítenünk kell, de ez árthat a terméknek, mondja Ön. És igaza lesz, ha a csomagokat nem a hivatalos operációs rendszer tárolóiból telepíti. A tapasztalatok szerint a hivatalos adattárból származó frissítések ritkán törik meg a terméket.

Nyers erő

Ahogy fentebb leírtuk, létezik egy félmilliárd jelszót tartalmazó adatbázis, amelyet kényelmesen lehet begépelni a billentyűzetről. Más szóval, ha nem generált jelszót, hanem beírta a szomszédos szimbólumokat a billentyűzeten, biztos lehet benne*, hogy ezek megzavarják Önt.

Kernelverem sebezhetőségei.

Az is előfordul ****, hogy az sem mindegy, melyik szolgáltatás nyitja meg a portot, amikor maga a kernelhálózati verem sebezhető. Ez azt jelenti, hogy egy kétéves rendszeren minden tcp/udp socket ki van téve egy DDoS-hez vezető sebezhetőségnek.

Megnövekedett DDoS támadások száma

Közvetlen kárt nem okoz, de eltömítheti a csatornádat, megnövelheti a rendszer terhelését, az IP-d valamilyen feketelistára***** kerül, és visszaéléseket kapsz a szolgáltatótól.

Valóban szüksége van ezekre a kockázatokra? Adja hozzá otthoni és munkahelyi IP-címét a fehérlistához. Még ha dinamikus is, jelentkezzen be a tárhely adminisztrációs paneljén keresztül a webkonzolon keresztül, és adjon hozzá egy másikat.

15 éve foglalkozom IT infrastruktúra kiépítésével és védelmével. Kidolgoztam egy szabályt, amelyet bátran ajánlok mindenkinek - egyetlen port sem nyúlhat ki a világba fehérlista nélkül.

Például a legbiztonságosabb webszerver*** az, amelyik a 80-as és 443-as számokat csak CDN/WAF számára nyitja meg. És a szolgáltatási portoknak (ssh, netdata, bacula, phpmyadmin) legalább a fehérlista mögött kell lenniük, és még jobban a VPN mögött. Ellenkező esetben fennáll a veszélye, hogy kompromittálják.

Csak ennyit akartam mondani. Tartsa zárva a kikötőit!

  • (1) UPD1: Itt ellenőrizheti nagyszerű univerzális jelszavát (ne tegye ezt anélkül, hogy ezt a jelszót véletlenszerűre cserélné minden szolgáltatásban), megjelent-e az egyesített adatbázisban. És itt láthatja, hogy hány szolgáltatást törtek fel, hol szerepelt az e-mailje, és ennek megfelelően megtudhatja, hogy nem került-e veszélybe az univerzális jelszava.
  • (2) Az Amazon jóvoltából a LightSail minimális szkenneléssel rendelkezik. Nyilván szűrik valahogy.
  • (3) Egy még biztonságosabb webszerver a dedikált tűzfal, saját WAF mögött áll, de nyilvános VPS/Dedicated-ről beszélünk.
  • (4) Segmentsmak.
  • (5) Firehol.

A felmérésben csak regisztrált felhasználók vehetnek részt. Bejelentkezés, kérem.

Kilógnak a portjai?

  • mindig

  • Néha

  • Soha

  • Nem tudom, basszus

54 felhasználó szavazott. 6 felhasználó tartózkodott.

Forrás: will.com

Hozzászólás