Մի բացեք նավահանգիստները աշխարհի համար, դուք կկոտրվեք (ռիսկներ)
Ժամանակ առ ժամանակ, աուդիտ անցկացնելուց հետո, ի պատասխան իմ առաջարկություններին` թաքցնել նավահանգիստները սպիտակ ցուցակի հետևում, ես հանդիպում եմ թյուրիմացության պատին: Նույնիսկ շատ հիանալի ադմիններ/DevOps-ները հարցնում են. «Ինչու՞?!»:
Առաջարկում եմ ռիսկերը դիտարկել առաջացման և վնասի հավանականության նվազման կարգով:
Կազմաձևման սխալ
DDoS IP-ի միջոցով
Դաժան ուժ
Ծառայության խոցելիություններ
Kernel stack-ի խոցելիությունը
DDoS հարձակումների ավելացում
Կազմաձևման սխալ
Ամենաբնորոշ և վտանգավոր իրավիճակը. Ինչպես է դա տեղի ունենում: Մշակողը պետք է արագ փորձարկի վարկածը, նա ստեղծում է ժամանակավոր սերվեր mysql/redis/mongodb/elastic-ով: Գաղտնաբառը, իհարկե, բարդ է, նա այն օգտագործում է ամենուր։ Այն բացում է ծառայությունը աշխարհին. նրա համար հարմար է միանալ իր համակարգչից առանց ձեր այս VPN-ների: Եվ ես շատ ծույլ եմ հիշելու iptables շարահյուսությունը, սերվերը, այնուամենայնիվ, ժամանակավոր է: Մշակման ևս մի քանի օր - հիանալի ստացվեց, մենք կարող ենք դա ցույց տալ հաճախորդին: Հաճախորդին այն դուր է գալիս, այն նորից անելու ժամանակ չկա, մենք այն գործարկում ենք PROD:
Մի օրինակ, որը դիտավորյալ չափազանցված է, որպեսզի անցնի ամբողջ փոցխը.
Չկա ավելի մշտական բան, քան ժամանակավորը. ինձ դուր չի գալիս այս արտահայտությունը, բայց սուբյեկտիվ զգացմունքների համաձայն, նման ժամանակավոր սերվերների 20-40% -ը մնում է երկար ժամանակ:
Բարդ ունիվերսալ գաղտնաբառը, որն օգտագործվում է բազմաթիվ ծառայություններում, չարիք է: Քանի որ ծառայություններից մեկը, որտեղ օգտագործվել է այս գաղտնաբառը, կարող էր կոտրվել: Այսպես թե այնպես, կոտրված ծառայությունների տվյալների բազաները հավաքվում են մեկի մեջ, որն օգտագործվում է [բիրտ ուժի] համար:
Արժե ավելացնել, որ տեղադրումից հետո redis-ը, mongodb-ը և elastic-ը հիմնականում հասանելի են առանց նույնականացման և հաճախ համալրվում են: բաց տվյալների բազաների հավաքածու.
Կարող է թվալ, որ ոչ ոք չի սկանավորի ձեր 3306 պորտը մի քանի օրվա ընթացքում: Դա զառանցանք է։ Masscan-ը հիանալի սկաներ է և կարող է սկանավորել վայրկյանում 10M պորտով: Իսկ ինտերնետում կա ընդամենը 4 միլիարդ IPv4: Համապատասխանաբար, ինտերնետի բոլոր 3306 նավահանգիստները գտնվում են 7 րոպեում։ Չարլզ!!! Յոթ րոպե!
«Ո՞ւմ է պետք սա»: - դեմ ես։ Այսպիսով, ես զարմանում եմ, երբ նայում եմ ընկած փաթեթների վիճակագրությանը: Որտեղի՞ց են գալիս օրական 40 հազար եզակի IP-ներից 3 հազար սկան փորձեր: Այժմ բոլորը սկանավորում են՝ մայրիկի հաքերներից մինչև կառավարություններ: Ստուգելը շատ հեշտ է. վերցրեք ցանկացած VPS 3-5 դոլարով ցանկացած** էժան ավիաընկերությունից, միացրեք գցված փաթեթների գրանցումը և դիտեք գրանցամատյանը մեկ օրվա ընթացքում:
Միացնելով գրանցումը
/etc/iptables/rules.v4-ում վերջում ավելացրեք.
-A INPUT -j LOG --log-prefix "[FW - ALL]" --log-level 4
Իսկ /etc/rsyslog.d/10-iptables.conf-ում
:msg,contains,"[FW - "/var/log/iptables.log
& կանգառ
DDoS IP-ի միջոցով
Եթե հարձակվողը գիտի ձեր IP-ն, նա կարող է առևանգել ձեր սերվերը մի քանի ժամով կամ օրերով: Ոչ բոլոր էժան հոսթինգ պրովայդերներն ունեն DDoS պաշտպանություն, և ձեր սերվերը պարզապես կանջատվի ցանցից: Եթե դուք թաքցրել եք ձեր սերվերը CDN-ի հետևում, մի մոռացեք փոխել IP-ն, այլապես հաքերն այն կգուգլի և ձեր սերվերը DDoS կդարձնի՝ շրջանցելով CDN-ը (շատ տարածված սխալ):
Ծառայության խոցելիություններ
Բոլոր հայտնի ծրագրերը վաղ թե ուշ հայտնաբերում են սխալներ, նույնիսկ ամենափորձարկված և քննադատականները: IB-ի մասնագետների շրջանում կա կես կատակ՝ ենթակառուցվածքի անվտանգությունը կարելի է ապահով գնահատել վերջին թարմացման պահին։ Եթե ձեր ենթակառուցվածքը հարուստ է աշխարհում տարածվող նավահանգիստներով, և դուք այն մեկ տարի չեք թարմացրել, ապա անվտանգության ցանկացած մասնագետ առանց նայելու ձեզ կասի, որ դուք արտահոսում եք և, ամենայն հավանականությամբ, արդեն կոտրված եք:
Հարկ է նաև նշել, որ բոլոր հայտնի խոցելիությունները ժամանակին անհայտ են եղել։ Պատկերացրեք հաքերին, ով գտել է նման խոցելիություն և 7 րոպեում սկանավորել է ամբողջ ինտերնետը դրա առկայության համար... Ահա նոր վիրուսի համաճարակ) Պետք է թարմացնենք, բայց սա կարող է վնասել արտադրանքը, դուք ասում եք։ Եվ դուք ճիշտ կլինեք, եթե փաթեթները տեղադրվեն ՕՀ-ի պաշտոնական պահեստներից։ Ըստ փորձի՝ պաշտոնական պահոցից թարմացումները հազվադեպ են խախտում արտադրանքը:
Դաժան ուժ
Ինչպես վերը նկարագրվեց, կա տվյալների բազա, որտեղ կա կես միլիարդ գաղտնաբառեր, որոնք հարմար է մուտքագրել ստեղնաշարից։ Այսինքն, եթե դուք չեք ստեղծել գաղտնաբառ, այլ մուտքագրել եք կից սիմվոլները ստեղնաշարի վրա, վստահ եղեք*, որ դրանք ձեզ կշփոթեցնեն։
Kernel stack-ի խոցելիությունը:
Պատահում է նաև ****, որ նույնիսկ կարևոր չէ, թե որ ծառայությունն է բացում պորտը, երբ միջուկի ցանցի կույտը ինքնին խոցելի է: Այսինքն՝ բացարձակապես ցանկացած tcp/udp վարդակ երկամյա համակարգի վրա ենթակա է DDoS-ի տանող խոցելիության:
DDoS հարձակումների ավելացում
Այն ուղղակիորեն վնաս չի հասցնի, բայց կարող է խցանել ձեր ալիքը, մեծացնել համակարգի բեռնվածությունը, ձեր IP-ն կհայտնվի որոշ սև ցուցակում*****, և դուք կստանաք չարաշահումներ հոսթերից:
Ձեզ իսկապես պետք են այս բոլոր ռիսկերը: Սպիտակ ցուցակում ավելացրեք ձեր տան և աշխատանքային IP-ն: Նույնիսկ եթե այն դինամիկ է, մուտք գործեք հյուրընկալողի ադմինիստրատորի վահանակի միջոցով, վեբ վահանակի միջոցով և պարզապես ավելացրեք ևս մեկը:
Ես կառուցում և պաշտպանում եմ ՏՏ ենթակառուցվածքը 15 տարի: Ես մշակել եմ կանոն, որը խստորեն խորհուրդ եմ տալիս բոլորին. ոչ մի նավահանգիստ չպետք է հայտնվի աշխարհում առանց սպիտակ ցուցակի.
Օրինակ, ամենաապահով վեբ սերվերը*** այն է, որը բացում է 80 և 443 միայն CDN/WAF-ի համար: Եվ սպասարկման նավահանգիստները (ssh, netdata, bacula, phpmyadmin) պետք է լինեն առնվազն սպիտակ ցուցակի հետևում, և նույնիսկ ավելի լավ VPN-ի հետևում: Հակառակ դեպքում, դուք վտանգի տակ եք ընկնում:
Այսքանն էի ուզում ասել։ Փակ պահեք ձեր նավահանգիստները:
(1) Jud1: Այստեղ Դուք կարող եք ստուգել ձեր հիանալի ունիվերսալ գաղտնաբառը (մի արեք դա առանց այս գաղտնաբառը պատահականով փոխարինելու բոլոր ծառայություններում), արդյոք այն հայտնվել է միավորված տվյալների բազայում: Եվ ահա դուք կարող եք տեսնել, թե քանի ծառայություններ են կոտրվել, որտեղ է ներառված ձեր էլ.
(2) Ի պատիվ Amazon-ի՝ LightSail-ն ունի նվազագույն սկանավորում: Երևում է, ինչ-որ կերպ զտում են:
(3) Նույնիսկ ավելի ապահով վեբ սերվերն այն է, որը գտնվում է հատուկ firewall-ի, իր սեփական WAF-ի հետևում, բայց մենք խոսում ենք հանրային VPS/Dedicated-ի մասին:
(4) Segmentsmak.
(5) Firehol.
Հարցմանը կարող են մասնակցել միայն գրանցված օգտվողները։ Մուտք գործել, խնդրում եմ:
Ձեր նավահանգիստները դուրս են մնում:
Միշտ
Երբեմն
Երբեք
Չգիտեմ, ջհանդամ
Քվեարկել է 54 օգտատեր։ 6 օգտատեր ձեռնպահ է մնացել։