ProHoster > blog > amministrazione > Non aprire porti al mondo: sarai distrutto (rischi)

Non aprire porti al mondo: sarai distrutto (rischi)

Non aprire porti al mondo: sarai distrutto (rischi)

Di volta in volta, dopo aver condotto un audit, in risposta alle mie raccomandazioni di nascondere le porte dietro una lista bianca, mi sono imbattuto in un muro di incomprensioni. Anche amministratori/DevOps molto interessanti chiedono: "Perché?!?"

Propongo di considerare i rischi in ordine decrescente di probabilità che si verifichino e di danno.

  1. Errore di configurazione
  2. DDoS su IP
  3. forza bruta
  4. Vulnerabilità del servizio
  5. Vulnerabilità dello stack del kernel
  6. Aumento degli attacchi DDoS

Errore di configurazione

La situazione più tipica e pericolosa. Come succede. Lo sviluppatore deve verificare rapidamente l'ipotesi; configura un server temporaneo con mysql/redis/mongodb/elastic. La password, ovviamente, è complessa, la usa ovunque. Apre il servizio al mondo: per lui è conveniente connettersi dal suo PC senza queste tue VPN. E sono troppo pigro per ricordare la sintassi di iptables; il server è comunque temporaneo. Ancora un paio di giorni di sviluppo: è andato tutto benissimo, possiamo mostrarlo al cliente. Al cliente piace, non c'è tempo per rifarlo, lo lanciamo in PROD!

Un esempio volutamente esagerato per poter passare tutta la rake:

  1. Non c'è niente di più permanente che temporaneo: non mi piace questa frase, ma secondo i sentimenti soggettivi, il 20-40% di tali server temporanei rimane a lungo.
  2. Una password universale complessa utilizzata in molti servizi è malvagia. Perché uno dei servizi in cui è stata utilizzata questa password potrebbe essere stato violato. In un modo o nell'altro, i database dei servizi compromessi si concentrano in uno solo, utilizzato per [forza bruta]*.
    Vale la pena aggiungere che dopo l'installazione, redis, mongodb ed elastic sono generalmente disponibili senza autenticazione e vengono spesso reintegrati raccolta di database aperti.
  3. Potrebbe sembrare che nessuno effettuerà la scansione della tua porta 3306 tra un paio di giorni. È un'illusione! Masscan è uno scanner eccellente e può eseguire la scansione a 10 milioni di porte al secondo. E ci sono solo 4 miliardi di IPv4 su Internet. Di conseguenza, tutte le 3306 porte su Internet si trovano in 7 minuti. Carlo!!! Sette minuti!
    "Chi ne ha bisogno?" - ti opponi. Quindi sono sorpreso quando guardo le statistiche dei pacchi abbandonati. Da dove arrivano 40mila tentativi di scansione da 3mila IP unici al giorno? Adesso tutti stanno scansionando, dagli hacker di mamma ai governi. È molto semplice controllare: prendi qualsiasi VPS per $ 3-5 da qualsiasi** compagnia aerea low cost, abilita la registrazione dei pacchi smarriti e controlla il registro in un giorno.

Abilitazione della registrazione

In /etc/iptables/rules.v4 aggiungi alla fine:
-A INPUT -j LOG --log-prefix "[FW - TUTTI] " --log-level 4

E in /etc/rsyslog.d/10-iptables.conf
:msg,contiene,"[FW - "/var/log/iptables.log
& fermare

DDoS su IP

Se un utente malintenzionato conosce il tuo IP, può prendere il controllo del tuo server per diverse ore o giorni. Non tutti i provider di hosting a basso costo dispongono di protezione DDoS e il tuo server verrà semplicemente disconnesso dalla rete. Se hai nascosto il tuo server dietro una CDN, non dimenticare di cambiare l'IP, altrimenti un hacker lo cercherà su Google e farà un DDoS al tuo server bypassando la CDN (un errore molto comune).

Vulnerabilità del servizio

Tutti i software più diffusi prima o poi trovano errori, anche quelli più testati e critici. Tra gli specialisti IB c'è un mezzo scherzo: la sicurezza dell'infrastruttura può essere valutata in modo sicuro al momento dell'ultimo aggiornamento. Se la tua infrastruttura è ricca di porte che si protendono verso il mondo e non la aggiorni da un anno, qualsiasi specialista della sicurezza ti dirà senza guardare che sei un leak e molto probabilmente sei già stato hackerato.
Vale anche la pena ricordare che tutte le vulnerabilità conosciute una volta erano sconosciute. Immagina un hacker che ha trovato una tale vulnerabilità e ha scansionato l'intera Internet in 7 minuti per ricercarne la presenza... Ecco una nuova epidemia di virus) Dobbiamo aggiornare, ma questo può danneggiare il prodotto, dici. E avrai ragione se i pacchetti non vengono installati dai repository ufficiali del sistema operativo. Per esperienza, gli aggiornamenti dal repository ufficiale raramente interrompono il prodotto.

forza bruta

Come descritto sopra, esiste un database con mezzo miliardo di password che è comodo digitare dalla tastiera. In altre parole, se non hai generato una password, ma hai digitato i simboli adiacenti sulla tastiera, stai certo* che verrai derubato.

Vulnerabilità dello stack del kernel.

Succede anche **** che non abbia importanza quale servizio apra la porta, quando lo stack di rete del kernel stesso è vulnerabile. Cioè, assolutamente qualsiasi socket tcp/udp su un sistema vecchio di due anni è suscettibile a una vulnerabilità che porta a DDoS.

Aumento degli attacchi DDoS

Non causerà alcun danno diretto, ma può intasare il tuo canale, aumentare il carico sul sistema, il tuo IP finirà in qualche lista nera***** e riceverai abusi dall'hoster.

Hai davvero bisogno di tutti questi rischi? Aggiungi il tuo IP di casa e lavoro alla lista bianca. Anche se è dinamico, accedi tramite il pannello di amministrazione dell'hoster, tramite la console web e aggiungine semplicemente un altro.

Costruisco e proteggo infrastrutture IT da 15 anni. Ho sviluppato una regola che consiglio vivamente a tutti: nessun porto dovrebbe emergere nel mondo senza una lista bianca.

Ad esempio, il server web più sicuro*** è quello che apre 80 e 443 solo per CDN/WAF. E le porte del servizio (ssh, netdata, bacula, phpmyadmin) dovrebbero essere almeno dietro la white-list, e ancora meglio dietro la VPN. Altrimenti rischi di essere compromesso.

Questo è tutto quello che volevo dire. Tenete i porti chiusi!

  • (1) UPD1: Qui puoi controllare la tua fantastica password universale (non farlo senza sostituire questa password con una casuale in tutti i servizi), se è apparso nel database unificato. E qui puoi vedere quanti servizi sono stati violati, dove è stata inclusa la tua email e, di conseguenza, scoprire se la tua fantastica password universale è stata compromessa.
  • (2) A merito di Amazon, LightSail ha scansioni minime. Apparentemente lo filtrano in qualche modo.
  • (3) Un web server ancora più sicuro è quello dietro un firewall dedicato, un proprio WAF, ma stiamo parlando di VPS pubblici/Dedicati.
  • (4) Segmentimak.
  • (5) Firehol.

Solo gli utenti registrati possono partecipare al sondaggio. AccediPer favore.

Le tue porte sporgono?

  • Sempre

  • A volte

  • Mai

  • Non lo so, cazzo

54 utenti hanno votato. 6 utenti si sono astenuti.

Fonte: habr.com

Aggiungi un commento