プロホスト > ブログ > 行政 > 世界に向けてポートを開かないでください - 壊れてしまいます (リスク)

世界に向けてポートを開かないでください - 壊れてしまいます (リスク)

世界に向けてポートを開かないでください - 壊れてしまいます (リスク)

監査を実施した後、ポートをホワイトリストの後ろに隠すという私の勧告に応えて、何度も誤解の壁に遭遇しました。 非常に冷静な管理者や DevOps でさえ、「なぜ?!?」と尋ねます。

リスクは発生可能性と被害が大きい順に考えることを提案します。

  1. 構成エラー
  2. IP 経由の DDoS
  3. 強引な
  4. サービスの脆弱性
  5. カーネルスタックの脆弱性
  6. DDoS攻撃の増加

構成エラー

最も典型的で危険な状況。 それはどのように起こるのか。 開発者は仮説を迅速にテストする必要があり、mysql/redis/mongodb/elastic を使用して一時サーバーをセットアップします。 もちろん、パスワードは複雑で、彼はどこでもそれを使用します。 これによりサービスが世界に開かれます。あなたの VPN を使用せずに自分の PC から接続できるので、彼にとっては便利です。 そして、私は iptables 構文を覚えるのが面倒なので、いずれにしてもサーバーは一時的なものです。 あと数日の開発 - 結果は素晴らしかったので、お客様にお見せできます。 お客様に気に入っていただき、やり直す時間はありません。それを製品化します。

すべてを網羅するために意図的に誇張した例:

  1. 一時的なものほど永続的なものはありません。私はこの表現が好きではありませんが、主観的な感覚によると、そのような一時的なサーバーの 20 ~ 40% は長期間にわたって残ります。
  2. 多くのサービスで使用されている複雑なユニバーサルパスワードは悪です。 このパスワードが使用されたサービスの XNUMX つがハッキングされた可能性があるためです。 いずれにせよ、ハッキングされたサービスのデータベースが XNUMX つに集まり、[総当たり]* に使用されます。
    インストール後、redis、mongodb、elastic は通常、認証なしで利用可能であり、頻繁に補充されることを付け加えておきます。 オープンデータベースのコレクション.
  3. 数日以内にあなたの 3306 ポートをスキャンする人は誰もいないように思えるかもしれません。 それは妄想です! Masscan は優れたスキャナーであり、10 秒あたり 4M ポートでスキャンできます。 そして、インターネット上には IPv4 は 3306 億しかありません。 したがって、インターネット上の 7 個のポートすべてが XNUMX 分で特定されます。 チャールズ!!! XNUMX分!
    「これを必要とする人は誰ですか?」 -あなたは反対します。 それで、ドロップされた荷物の統計を見て驚きました。 40 日に 3 個の一意の IP からの 3 回のスキャン試行はどこから来ているのでしょうか? 今では母親のハッカーから政府まで、誰もがスキャンしています。 確認は非常に簡単です。** 格安航空会社から 5 ~ XNUMX ドルで VPS を入手し、ドロップされた荷物のログを有効にして、XNUMX 日のログを確認します。

ロギングの有効化

/etc/iptables/rules.v4 の最後に次を追加します。
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4

/etc/rsyslog.d/10-iptables.conf 内
:msg,contains,"[FW - "/var/log/iptables.log
& 停止

IP 経由の DDoS

攻撃者があなたの IP を知っている場合、数時間または数日間にわたってサーバーを乗っ取ることができます。 すべての低コストのホスティング プロバイダーが DDoS 保護を備えているわけではなく、サーバーはネットワークから切断されるだけです。 サーバーを CDN の背後に隠した場合は、IP を変更することを忘れないでください。そうしないと、ハッカーがそのサーバーを Google 検索し、CDN をバイパスしてサーバーに DDoS 攻撃を加えてしまいます (よくある間違いです)。

サービスの脆弱性

すべての一般的なソフトウェアは、最もテストされた重大なソフトウェアであっても、遅かれ早かれエラーを発見します。 IB の専門家の間では、冗談半分で、インフラストラクチャのセキュリティは最後の更新の時点までに安全に評価できるという話があります。 あなたのインフラストラクチャに世界に突き出たポートが豊富にあり、それを XNUMX 年間更新していない場合、セキュリティの専門家なら誰でも、漏洩があり、すでにハッキングされている可能性が高く、見向きもせずにあなたに言うでしょう。
また、既知の脆弱性はすべて、かつては知られていなかったことにも言及する価値があります。 このような脆弱性を発見し、その存在を確認するためにインターネット全体を 7 分間でスキャンしたハッカーを想像してみてください...ここに新しいウイルスの流行があります) 更新する必要がありますが、これは製品に損害を与える可能性があるとあなたは言います。 パッケージが公式の OS リポジトリからインストールされていなければ、それは正しいことになります。 経験上、公式リポジトリからのアップデートによって製品が壊れることはほとんどありません。

強引な

上で説明したように、キーボードから入力するのに便利な XNUMX 億個のパスワードを含むデータベースがあります。 言い換えれば、パスワードを生成せずにキーボードで隣接する記号を入力した場合でも、混乱することはないのでご安心ください*。

カーネルスタックの脆弱性。

また、カーネル ネットワーク スタック自体が脆弱な場合、どのサービスがポートを開くかが問題にならないということも起こります。 つまり、XNUMX 年前のシステム上のすべての tcp/udp ソケットは、DDoS につながる脆弱性の影響を受けやすいということです。

DDoS攻撃の増加

直接的な損害は発生しませんが、チャンネルが詰まり、システムの負荷が増加し、IP がブラックリスト***** に掲載され、ホスティング業者から虐待を受ける可能性があります。

本当にこれらすべてのリスクが必要ですか? 自宅と職場の IP をホワイトリストに追加します。 動的であっても、ホスティング業者の管理パネルや Web コンソールからログインし、別のパネルを追加するだけです。

私は 15 年間、IT インフラストラクチャの構築と保護に携わってきました。 私は皆さんに強くお勧めするルールを作成しました - ホワイトリストなしでポートを世界に突き出すべきではありません.

たとえば、最も安全な Web サーバー*** は、CDN/WAF に対してのみ 80 と 443 を開くサーバーです。 また、サービス ポート (ssh、netdata、bacula、phpmyadmin) は少なくともホワイトリストの背後にある必要があり、できれば VPN の背後にある必要があります。 そうしないと、侵害される危険があります。

私が言いたかったのはそれだけです。 ポートは閉じたままにしてください。

  • (1) UPD1: それは クールなユニバーサルパスワードを確認できます(このパスワードをすべてのサービスでランダムなパスワードに置き換えずにこれを行わないでください。)、マージされたデータベースに表示されたかどうか。 そしてここに ハッキングされたサービスの数や電子メールがどこに含まれているかを確認でき、それに応じて、クールなユニバーサル パスワードが侵害されていないかどうかを確認できます。
  • (2) Amazon の名誉のために言っておきますが、LightSail のスキャンは最小限です。 どうやら何らかの方法でフィルターをかけているようです。
  • (3) さらに安全な Web サーバーは、専用ファイアウォールの背後にある Web サーバー、独自の WAF ですが、ここではパブリック VPS/専用について話しています。
  • (4) セグメントマク。
  • (5)ファイアホール。

登録ユーザーのみがアンケートに参加できます。 ログインお願いします。

ポートが突き出ていますか?

  • いつも

  • 時々

  • 決して

  • 分からない、クソ

54 人のユーザーが投票しました。 6名のユーザーが棄権した。

出所: habr.com

コメントを追加します