ProHoster > blog > administrasi > Jangan membuka port ke dunia - Anda akan rusak (risiko)

Jangan membuka port ke dunia - Anda akan rusak (risiko)

Jangan membuka port ke dunia - Anda akan rusak (risiko)

Berkali-kali, setelah melakukan audit, sebagai tanggapan atas rekomendasi saya untuk menyembunyikan port di balik daftar putih, saya menemui tembok kesalahpahaman. Bahkan admin/DevOps yang sangat keren pun bertanya: β€œMengapa?!?”

Saya mengusulkan untuk mempertimbangkan risiko dalam urutan kemungkinan terjadinya dan kerusakan.

  1. Kesalahan konfigurasi
  2. DDoS melalui IP
  3. kasar
  4. Kerentanan layanan
  5. Kerentanan tumpukan kernel
  6. Peningkatan serangan DDoS

Kesalahan konfigurasi

Situasi paling umum dan berbahaya. Bagaimana hal itu terjadi. Pengembang perlu menguji hipotesis dengan cepat; dia menyiapkan server sementara dengan mysql/redis/mongodb/elastic. Kata sandinya tentu saja rumit, dia menggunakannya di mana-mana. Ini membuka layanan kepada dunia - akan lebih mudah baginya untuk terhubung dari PC-nya tanpa VPN Anda ini. Dan saya terlalu malas untuk mengingat sintaks iptables, lagi pula servernya bersifat sementara. Beberapa hari pengembangan lagi - hasilnya luar biasa, kami dapat menunjukkannya kepada pelanggan. Pelanggan menyukainya, tidak ada waktu untuk mengulanginya, kami meluncurkannya ke PROD!

Sebuah contoh yang sengaja dilebih-lebihkan agar dapat melewati semua hasil:

  1. Tidak ada yang lebih permanen daripada sementara - Saya tidak suka ungkapan ini, tetapi menurut perasaan subjektif, 20-40% dari server sementara tersebut bertahan lama.
  2. Kata sandi universal yang rumit yang digunakan di banyak layanan adalah kejahatan. Karena salah satu layanan yang menggunakan kata sandi ini bisa saja telah diretas. Dengan satu atau lain cara, database layanan yang diretas berkumpul menjadi satu, yang digunakan untuk [brute force]*.
    Perlu ditambahkan bahwa setelah instalasi, redis, mongodb, dan elastic umumnya tersedia tanpa autentikasi, dan sering kali diisi ulang kumpulan database terbuka.
  3. Tampaknya tidak ada yang akan memindai port 3306 Anda dalam beberapa hari. Itu hanya khayalan! Masscan adalah pemindai luar biasa dan dapat memindai dengan kecepatan 10 juta port per detik. Dan hanya ada 4 miliar IPv4 di Internet. Oleh karena itu, semua 3306 port di Internet berada dalam 7 menit. Charles!!! Tujuh menit!
    β€œSiapa yang butuh ini?” - kamu keberatan. Jadi saya terkejut ketika melihat statistik paket yang dijatuhkan. Dari mana datangnya 40 ribu upaya pemindaian dari 3 ribu IP unik per hari? Sekarang semua orang melakukan pemindaian, mulai dari ibu peretas hingga pemerintah. Sangat mudah untuk memeriksanya - gunakan VPS apa pun seharga $3-5 dari** maskapai penerbangan bertarif rendah mana pun, aktifkan pencatatan paket yang dibatalkan, dan lihat pencatatannya dalam sehari.

Mengaktifkan pencatatan

Di /etc/iptables/rules.v4 tambahkan di bagian akhir:
-A INPUT -j LOG --log-prefix "[FW - SEMUA] " --log-level 4

Dan di /etc/rsyslog.d/10-iptables.conf
: pesan, berisi,"[FW - "/var/log/iptables.log
& berhenti

DDoS melalui IP

Jika penyerang mengetahui IP Anda, dia dapat membajak server Anda selama beberapa jam atau hari. Tidak semua penyedia hosting berbiaya rendah memiliki perlindungan DDoS dan server Anda akan terputus begitu saja dari jaringan. Jika Anda menyembunyikan server Anda di belakang CDN, jangan lupa untuk mengubah IP, jika tidak, peretas akan mencarinya di Google dan melakukan DDoS pada server Anda dengan melewati CDN (kesalahan yang sangat populer).

Kerentanan layanan

Semua perangkat lunak populer cepat atau lambat menemukan kesalahan, bahkan kesalahan yang paling teruji dan kritis. Di antara spesialis IB, ada setengah lelucon - keamanan infrastruktur dapat dinilai dengan aman pada saat pembaruan terakhir. Jika infrastruktur Anda kaya akan port yang menonjol, dan Anda belum memperbaruinya selama setahun, spesialis keamanan mana pun akan memberi tahu Anda tanpa melihat bahwa Anda bocor, dan kemungkinan besar telah diretas.
Perlu juga disebutkan bahwa semua kerentanan yang diketahui dulunya tidak diketahui. Bayangkan seorang peretas yang menemukan kerentanan seperti itu dan memindai seluruh Internet dalam 7 menit untuk mengetahui keberadaannya... Ini adalah epidemi virus baru) Kita perlu memperbarui, tetapi ini dapat membahayakan produk, kata Anda. Dan Anda akan benar jika paket-paket tersebut tidak diinstal dari repositori OS resmi. Dari pengalaman, pembaruan dari repositori resmi jarang merusak produk.

kasar

Seperti dijelaskan di atas, terdapat database dengan setengah miliar kata sandi yang mudah diketik dari keyboard. Dengan kata lain, jika Anda tidak membuat kata sandi, namun mengetikkan simbol yang berdekatan pada keyboard, yakinlah* bahwa itu akan membingungkan Anda.

Kerentanan tumpukan kernel.

Hal ini juga terjadi ketika tidak peduli layanan mana yang membuka port, ketika tumpukan jaringan kernel itu sendiri rentan. Artinya, semua soket tcp/udp pada sistem berusia dua tahun rentan terhadap kerentanan yang mengarah ke DDoS.

Peningkatan serangan DDoS

Ini tidak akan menyebabkan kerusakan langsung, namun dapat menyumbat saluran Anda, menambah beban pada sistem, IP Anda akan masuk dalam daftar hitam*****, dan Anda akan menerima penyalahgunaan dari hoster.

Apakah Anda benar-benar membutuhkan semua risiko ini? Tambahkan IP rumah dan kantor Anda ke daftar putih. Meskipun dinamis, masuk melalui panel admin host, melalui konsol web, dan tambahkan saja yang lain.

Saya telah membangun dan melindungi infrastruktur TI selama 15 tahun. Saya telah mengembangkan aturan yang sangat saya rekomendasikan kepada semua orang - tidak ada pelabuhan yang menonjol di dunia tanpa daftar putih.

Misalnya, server web paling aman*** adalah yang membuka 80 dan 443 hanya untuk CDN/WAF. Dan port layanan (ssh, netdata, bacula, phpmyadmin) setidaknya harus berada di belakang daftar putih, dan bahkan lebih baik lagi di belakang VPN. Jika tidak, Anda berisiko dikompromikan.

Hanya itu yang ingin saya katakan. Tutup port Anda!

  • (1) UPD1: Di sini Anda dapat memeriksa kata sandi universal keren Anda (jangan lakukan ini tanpa mengganti kata sandi ini dengan kata sandi acak di semua layanan), apakah itu muncul di database gabungan. Dan di sini Anda dapat melihat berapa banyak layanan yang diretas, di mana email Anda disertakan, dan, oleh karena itu, mengetahui apakah kata sandi universal keren Anda telah disusupi.
  • (2) Sebagai penghargaan bagi Amazon, LightSail memiliki pemindaian minimal. Rupanya mereka menyaringnya entah bagaimana.
  • (3) Server web yang lebih aman adalah server yang memiliki firewall khusus, WAF-nya sendiri, tetapi kita berbicara tentang VPS publik/Dedicated.
  • (4) Segmenmak.
  • (5) Api unggun.

Hanya pengguna terdaftar yang dapat berpartisipasi dalam survei. Masuk, silakan.

Apakah port Anda menonjol?

  • Selalu

  • Terkadang

  • Tak pernah

  • Aku tidak tahu, sial

54 pengguna memilih. 6 pengguna abstain.

Sumber: www.habr.com

Tambah komentar