ProHoster > Blog > Stjórnsýsla > Ekki opna höfn fyrir heiminn - þú verður brotinn (áhætta)

Ekki opna höfn fyrir heiminn - þú verður brotinn (áhætta)

Ekki opna höfn fyrir heiminn - þú verður brotinn (áhætta)

Aftur og aftur, eftir að hafa gert úttekt, sem svar við tilmælum mínum um að fela hafnirnar á bak við hvíta lista, mætir mér veggur misskilnings. Jafnvel mjög flottir stjórnendur/DevOps spyrja: "Af hverju?!?"

Ég legg til að íhuga áhættu í lækkandi röð eftir líkum á uppákomu og tjóni.

  1. Stillingarvilla
  2. DDoS yfir IP
  3. Hrottalegt afl
  4. Þjónustuveikleikar
  5. Kernel stafla varnarleysi
  6. Auknar DDoS árásir

Stillingarvilla

Dæmigerðasta og hættulegasta ástandið. Hvernig það gerist. Framkvæmdaraðilinn þarf að prófa tilgátuna fljótt; hann setur upp tímabundinn netþjón með mysql/redis/mongodb/elastic. Lykilorðið er auðvitað flókið, hann notar það alls staðar. Það opnar þjónustuna fyrir heiminum - það er þægilegt fyrir hann að tengjast úr tölvunni sinni án þessara VPN þinna. Og ég er of latur til að muna setningafræði iptables; þjónninn er samt tímabundinn. Nokkrir dagar í viðbót af þróun - það reyndist frábært, við getum sýnt það viðskiptavinum. Viðskiptavininum líkar það, það er enginn tími til að endurtaka það, við ræsum það í PROD!

Dæmi vísvitandi ýkt til að fara í gegnum alla hrífuna:

  1. Það er ekkert varanlegra en tímabundið - mér líkar ekki við þessa setningu, en samkvæmt huglægum tilfinningum eru 20-40% slíkra tímabundinna netþjóna áfram í langan tíma.
  2. Flókið alhliða lykilorð sem er notað í mörgum þjónustum er illt. Vegna þess að einhver af þeim þjónustum þar sem þetta lykilorð var notað gæti hafa verið brotist inn. Með einum eða öðrum hætti flykkjast gagnagrunnar yfir tölvuþrjóta þjónustu í einn, sem er notaður fyrir [brute force]*.
    Það er þess virði að bæta við að eftir uppsetningu eru redis, mongodb og elastic almennt fáanlegar án auðkenningar og er oft endurnýjað söfnun opinna gagnagrunna.
  3. Það kann að virðast sem enginn muni skanna 3306 tengið þitt eftir nokkra daga. Það er blekking! Masscan er frábær skanni og getur skannað á 10M tengi á sekúndu. Og það eru aðeins 4 milljarðar IPv4 á netinu. Samkvæmt því eru allar 3306 tengi á internetinu staðsettar á 7 mínútum. Charles!!! Sjö mínútur!
    "Hver þarf þetta?" - þú mótmælir. Svo ég er hissa þegar ég horfi á tölfræðina um pakka sem hafa sleppt. Hvaðan koma 40 þúsund skannatilraunir úr 3 þúsund einstökum IP-tölum á dag? Nú eru allir að skanna, allt frá tölvuþrjótum mömmu til ríkisstjórna. Það er mjög auðvelt að athuga það - taktu hvaða VPS sem er fyrir $3-5 frá hvaða** lággjaldaflugfélagi sem er, gerðu skráningu pakka sem hafa sleppt út og skoðaðu dagbókina á einum degi.

Virkjar skráningu

Í /etc/iptables/rules.v4 bættu við í lokin:
-A INPUT -j LOG --log-forskeyti "[FW - ALL] " --log-stig 4

Og í /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - " /var/log/iptables.log
& hætta

DDoS yfir IP

Ef árásarmaður þekkir IP-töluna þína getur hann rænt netþjóninum þínum í nokkrar klukkustundir eða daga. Ekki eru allir ódýrir hýsingaraðilar með DDoS vernd og netþjónninn þinn verður einfaldlega aftengdur netinu. Ef þú faldir netþjóninn þinn á bak við CDN, ekki gleyma að breyta IP, annars mun tölvuþrjótur gúgla það og DDoS netþjóninn þinn framhjá CDN (mjög vinsæl mistök).

Þjónustuveikleikar

Allur vinsæll hugbúnaður finnur fyrr eða síðar villur, jafnvel þær prófaðustu og mikilvægustu. Meðal IB-sérfræðinga er hálfgert grín - hægt er að meta öryggi innviðanna á öruggan hátt þegar síðasta uppfærsla er gerð. Ef innviðir þínir eru ríkir af höfnum sem stinga út í heiminn og þú hefur ekki uppfært það í eitt ár, þá mun hvaða öryggissérfræðingur sem er segja þér án þess að líta að þú sért lekur og líklega hefur verið brotist inn.
Það er líka rétt að minnast á að allir þekktir veikleikar voru einu sinni óþekktir. Ímyndaðu þér tölvuþrjóta sem fann slíkan varnarleysi og skannaði allt internetið á 7 mínútum fyrir nærveru þess... Hér er nýr vírusfaraldur) Við þurfum að uppfæra, en þetta getur skaðað vöruna, segirðu. Og þú munt hafa rétt fyrir þér ef pakkarnir eru ekki settir upp frá opinberum OS geymslum. Af reynslu brjóta uppfærslur frá opinberu geymslunni sjaldan vöruna.

Hrottalegt afl

Eins og lýst er hér að ofan er til gagnagrunnur með hálfum milljarði lykilorða sem auðvelt er að slá inn af lyklaborðinu. Með öðrum orðum, ef þú bjóst ekki til lykilorð, heldur skrifaðir aðliggjandi tákn á lyklaborðinu, vertu viss um* að þau munu rugla þig.

Kernel stafla varnarleysi.

Það kemur líka fyrir **** að það skiptir ekki einu sinni máli hvaða þjónusta opnar gáttina, þegar kjarnanetstaflan sjálfur er viðkvæmur. Það er, nákvæmlega hvaða tcp/udp fals sem er á tveggja ára gömlu kerfi er næmt fyrir varnarleysi sem leiðir til DDoS.

Auknar DDoS árásir

Það mun ekki valda neinum beinum skaða, en það getur stíflað rásina þína, aukið álagið á kerfið, IP-talan þín mun enda á einhverjum svörtum lista***** og þú munt fá misnotkun frá hýsingaraðilanum.

Þarftu virkilega alla þessa áhættu? Bættu IP heimili þínu og vinnu við hvíta listann. Jafnvel þótt það sé kraftmikið, skráðu þig inn í gegnum stjórnborð hýsingaraðilans, í gegnum vefborðið og bættu bara við öðru.

Ég hef byggt upp og verndað upplýsingatækniinnviði í 15 ár. Ég hef þróað reglu sem ég mæli eindregið með við alla - engin höfn ætti að standa út í heiminn án hvítlista.

Til dæmis er öruggasti vefþjónninn*** sá sem opnar 80 og 443 aðeins fyrir CDN/WAF. Og þjónustuhöfn (ssh, netdata, bacula, phpmyadmin) ættu að vera að minnsta kosti fyrir aftan hvíta listann og jafnvel betri á bak við VPN. Annars er hætta á að þú verðir í hættu.

Það var allt sem ég vildi segja. Haltu höfnum þínum lokuðum!

  • (1) UPD1: Hér þú getur athugað flott alhliða lykilorðið þitt (ekki gera þetta án þess að skipta þessu lykilorði út fyrir handahófskennt eitt í allri þjónustu), hvort það birtist í sameinuðum gagnagrunni. Og hér þú getur séð hversu margar þjónustur voru tölvusnáðar, hvar tölvupósturinn þinn var innifalinn, og í samræmi við það, komist að því hvort flott alhliða lykilorðið þitt hafi verið í hættu.
  • (2) Til hróss fyrir Amazon hefur LightSail lágmarksskannanir. Þeir sía það greinilega einhvern veginn.
  • (3) Enn öruggari vefþjónn er sá sem er á bak við sérstakan eldvegg, sinn eigin WAF, en við erum að tala um opinbera VPS/Dedicated.
  • (4) Segmentmak.
  • (5) Firehol.

Aðeins skráðir notendur geta tekið þátt í könnuninni. Skráðu þig inn, takk.

Staka höfnin þín út?

  • Alltaf

  • Stundum

  • Aldrei

  • Ég veit það ekki, fokk

54 notendur kusu. 6 notendur sátu hjá.

Heimild: www.habr.com

Bæta við athugasemd