ProHoster > Օրագիր > Վարչակազմը > Մի բացեք նավահանգիստները աշխարհի համար, դուք կկոտրվեք (ռիսկներ)

Մի բացեք նավահանգիստները աշխարհի համար, դուք կկոտրվեք (ռիսկներ)

Մի բացեք նավահանգիստները աշխարհի համար, դուք կկոտրվեք (ռիսկներ)

Ժամանակ առ ժամանակ, աուդիտ անցկացնելուց հետո, ի պատասխան իմ առաջարկություններին` թաքցնել նավահանգիստները սպիտակ ցուցակի հետևում, ես հանդիպում եմ թյուրիմացության պատին: Նույնիսկ շատ հիանալի ադմիններ/DevOps-ները հարցնում են. «Ինչու՞?!»:

Առաջարկում եմ ռիսկերը դիտարկել առաջացման և վնասի հավանականության նվազման կարգով:

  1. Կազմաձևման սխալ
  2. DDoS IP-ի միջոցով
  3. Դաժան ուժ
  4. Ծառայության խոցելիություններ
  5. Kernel stack-ի խոցելիությունը
  6. DDoS հարձակումների ավելացում

Կազմաձևման սխալ

Ամենաբնորոշ և վտանգավոր իրավիճակը. Ինչպես է դա տեղի ունենում: Մշակողը պետք է արագ փորձարկի վարկածը, նա ստեղծում է ժամանակավոր սերվեր mysql/redis/mongodb/elastic-ով: Գաղտնաբառը, իհարկե, բարդ է, նա այն օգտագործում է ամենուր։ Այն բացում է ծառայությունը աշխարհին. նրա համար հարմար է միանալ իր համակարգչից առանց ձեր այս VPN-ների: Եվ ես շատ ծույլ եմ հիշելու iptables շարահյուսությունը, սերվերը, այնուամենայնիվ, ժամանակավոր է: Մշակման ևս մի քանի օր - հիանալի ստացվեց, մենք կարող ենք դա ցույց տալ հաճախորդին: Հաճախորդին այն դուր է գալիս, այն նորից անելու ժամանակ չկա, մենք այն գործարկում ենք PROD:

Մի օրինակ, որը դիտավորյալ չափազանցված է, որպեսզի անցնի ամբողջ փոցխը.

  1. Չկա ավելի մշտական ​​բան, քան ժամանակավորը. ինձ դուր չի գալիս այս արտահայտությունը, բայց սուբյեկտիվ զգացմունքների համաձայն, նման ժամանակավոր սերվերների 20-40% -ը մնում է երկար ժամանակ:
  2. Բարդ ունիվերսալ գաղտնաբառը, որն օգտագործվում է բազմաթիվ ծառայություններում, չարիք է: Քանի որ ծառայություններից մեկը, որտեղ օգտագործվել է այս գաղտնաբառը, կարող էր կոտրվել: Այսպես թե այնպես, կոտրված ծառայությունների տվյալների բազաները հավաքվում են մեկի մեջ, որն օգտագործվում է [բիրտ ուժի] համար:
    Արժե ավելացնել, որ տեղադրումից հետո redis-ը, mongodb-ը և elastic-ը հիմնականում հասանելի են առանց նույնականացման և հաճախ համալրվում են: բաց տվյալների բազաների հավաքածու.
  3. Կարող է թվալ, որ ոչ ոք չի սկանավորի ձեր 3306 պորտը մի քանի օրվա ընթացքում: Դա զառանցանք է։ Masscan-ը հիանալի սկաներ է և կարող է սկանավորել վայրկյանում 10M պորտով: Իսկ ինտերնետում կա ընդամենը 4 միլիարդ IPv4: Համապատասխանաբար, ինտերնետի բոլոր 3306 նավահանգիստները գտնվում են 7 րոպեում։ Չարլզ!!! Յոթ րոպե!
    «Ո՞ւմ է պետք սա»: - դեմ ես։ Այսպիսով, ես զարմանում եմ, երբ նայում եմ ընկած փաթեթների վիճակագրությանը: Որտեղի՞ց են գալիս օրական 40 հազար եզակի IP-ներից 3 հազար սկան փորձեր: Այժմ բոլորը սկանավորում են՝ մայրիկի հաքերներից մինչև կառավարություններ: Ստուգելը շատ հեշտ է. վերցրեք ցանկացած VPS 3-5 դոլարով ցանկացած** էժան ավիաընկերությունից, միացրեք գցված փաթեթների գրանցումը և դիտեք գրանցամատյանը մեկ օրվա ընթացքում:

Միացնելով գրանցումը

/etc/iptables/rules.v4-ում վերջում ավելացրեք.
-A INPUT -j LOG --log-prefix "[FW - ALL]" --log-level 4

Իսկ /etc/rsyslog.d/10-iptables.conf-ում
:msg,contains,"[FW - "/var/log/iptables.log
& կանգառ

DDoS IP-ի միջոցով

Եթե ​​հարձակվողը գիտի ձեր IP-ն, նա կարող է առևանգել ձեր սերվերը մի քանի ժամով կամ օրերով: Ոչ բոլոր էժան հոսթինգ պրովայդերներն ունեն DDoS պաշտպանություն, և ձեր սերվերը պարզապես կանջատվի ցանցից: Եթե ​​դուք թաքցրել եք ձեր սերվերը CDN-ի հետևում, մի մոռացեք փոխել IP-ն, այլապես հաքերն այն կգուգլի և ձեր սերվերը DDoS կդարձնի՝ շրջանցելով CDN-ը (շատ տարածված սխալ):

Ծառայության խոցելիություններ

Բոլոր հայտնի ծրագրերը վաղ թե ուշ հայտնաբերում են սխալներ, նույնիսկ ամենափորձարկված և քննադատականները: IB-ի մասնագետների շրջանում կա կես կատակ՝ ենթակառուցվածքի անվտանգությունը կարելի է ապահով գնահատել վերջին թարմացման պահին։ Եթե ​​ձեր ենթակառուցվածքը հարուստ է աշխարհում տարածվող նավահանգիստներով, և դուք այն մեկ տարի չեք թարմացրել, ապա անվտանգության ցանկացած մասնագետ առանց նայելու ձեզ կասի, որ դուք արտահոսում եք և, ամենայն հավանականությամբ, արդեն կոտրված եք:
Հարկ է նաև նշել, որ բոլոր հայտնի խոցելիությունները ժամանակին անհայտ են եղել։ Պատկերացրեք հաքերին, ով գտել է նման խոցելիություն և 7 րոպեում սկանավորել է ամբողջ ինտերնետը դրա առկայության համար... Ահա նոր վիրուսի համաճարակ) Պետք է թարմացնենք, բայց սա կարող է վնասել արտադրանքը, դուք ասում եք։ Եվ դուք ճիշտ կլինեք, եթե փաթեթները տեղադրվեն ՕՀ-ի պաշտոնական պահեստներից։ Ըստ փորձի՝ պաշտոնական պահոցից թարմացումները հազվադեպ են խախտում արտադրանքը:

Դաժան ուժ

Ինչպես վերը նկարագրվեց, կա տվյալների բազա, որտեղ կա կես միլիարդ գաղտնաբառեր, որոնք հարմար է մուտքագրել ստեղնաշարից։ Այսինքն, եթե դուք չեք ստեղծել գաղտնաբառ, այլ մուտքագրել եք կից սիմվոլները ստեղնաշարի վրա, վստահ եղեք*, որ դրանք ձեզ կշփոթեցնեն։

Kernel stack-ի խոցելիությունը:

Պատահում է նաև ****, որ նույնիսկ կարևոր չէ, թե որ ծառայությունն է բացում պորտը, երբ միջուկի ցանցի կույտը ինքնին խոցելի է: Այսինքն՝ բացարձակապես ցանկացած tcp/udp վարդակ երկամյա համակարգի վրա ենթակա է DDoS-ի տանող խոցելիության:

DDoS հարձակումների ավելացում

Այն ուղղակիորեն վնաս չի հասցնի, բայց կարող է խցանել ձեր ալիքը, մեծացնել համակարգի բեռնվածությունը, ձեր IP-ն կհայտնվի որոշ սև ցուցակում*****, և դուք կստանաք չարաշահումներ հոսթերից:

Ձեզ իսկապես պետք են այս բոլոր ռիսկերը: Սպիտակ ցուցակում ավելացրեք ձեր տան և աշխատանքային IP-ն: Նույնիսկ եթե այն դինամիկ է, մուտք գործեք հյուրընկալողի ադմինիստրատորի վահանակի միջոցով, վեբ վահանակի միջոցով և պարզապես ավելացրեք ևս մեկը:

Ես կառուցում և պաշտպանում եմ ՏՏ ենթակառուցվածքը 15 տարի: Ես մշակել եմ կանոն, որը խստորեն խորհուրդ եմ տալիս բոլորին. ոչ մի նավահանգիստ չպետք է հայտնվի աշխարհում առանց սպիտակ ցուցակի.

Օրինակ, ամենաապահով վեբ սերվերը*** այն է, որը բացում է 80 և 443 միայն CDN/WAF-ի համար: Եվ սպասարկման նավահանգիստները (ssh, netdata, bacula, phpmyadmin) պետք է լինեն առնվազն սպիտակ ցուցակի հետևում, և նույնիսկ ավելի լավ VPN-ի հետևում: Հակառակ դեպքում, դուք վտանգի տակ եք ընկնում:

Այսքանն էի ուզում ասել։ Փակ պահեք ձեր նավահանգիստները:

  • (1) Jud1: Այստեղ Դուք կարող եք ստուգել ձեր հիանալի ունիվերսալ գաղտնաբառը (մի արեք դա առանց այս գաղտնաբառը պատահականով փոխարինելու բոլոր ծառայություններում), արդյոք այն հայտնվել է միավորված տվյալների բազայում: Եվ ահա դուք կարող եք տեսնել, թե քանի ծառայություններ են կոտրվել, որտեղ է ներառված ձեր էլ.
  • (2) Ի պատիվ Amazon-ի՝ LightSail-ն ունի նվազագույն սկանավորում: Երևում է, ինչ-որ կերպ զտում են:
  • (3) Նույնիսկ ավելի ապահով վեբ սերվերն այն է, որը գտնվում է հատուկ firewall-ի, իր սեփական WAF-ի հետևում, բայց մենք խոսում ենք հանրային VPS/Dedicated-ի մասին:
  • (4) Segmentsmak.
  • (5) Firehol.

Հարցմանը կարող են մասնակցել միայն գրանցված օգտվողները։ Մուտք գործել, խնդրում եմ:

Ձեր նավահանգիստները դուրս են մնում:

  • Միշտ

  • Երբեմն

  • Երբեք

  • Չգիտեմ, ջհանդամ

Քվեարկել է 54 օգտատեր։ 6 օգտատեր ձեռնպահ է մնացել։

Source: www.habr.com

Добавить комментарий