Kaping pirang-pirang, sawise nganakake audit, kanggo nanggepi rekomendasiku kanggo ndhelikake port ing mburi dhaptar putih, aku ketemu karo tembok kesalahpahaman. Malah admin / DevOps sing keren banget takon: "Kenapa?!?"
Aku ngusulake kanggo nimbang risiko ing urutan mudhun saka kemungkinan kedadeyan lan karusakan.
- Kesalahan konfigurasi
- DDoS liwat IP
- Kekuwatan kasar
- vulnerabilities layanan
- Kernel tumpukan kerentanan
- Tambah serangan DDoS
Kesalahan konfigurasi
Kahanan sing paling khas lan mbebayani. Carane mengkono. Pangembang kudu nguji hipotesis kanthi cepet; dheweke nggawe server sementara kanthi mysql/redis/mongodb/elastis. Tembung sandhi, mesthi, rumit, dheweke nggunakake ing endi wae. Iki mbukak layanan menyang jagad iki - luwih trep kanggo nyambungake saka PC tanpa VPN sampeyan. Lan aku kesed ngelingi sintaks iptables; server kasebut sementara. Sawetara dina pembangunan - ternyata apik banget, kita bisa nuduhake menyang pelanggan. Pelanggan seneng, ora ana wektu kanggo nggawe maneh, diluncurake menyang PROD!
Tuladha kanthi sengaja digedhekake supaya bisa ngliwati kabeh rake:
- Ora ana sing luwih permanen tinimbang sementara - Aku ora seneng karo tembung iki, nanging miturut perasaan subyektif, 20-40% saka server sementara kasebut tetep suwe.
- Tembung sandhi universal rumit sing digunakake ing akeh layanan iku ala. Amarga salah sawijining layanan sing digunakake tembung sandhi iki bisa uga disusupi. Salah siji cara utawa liyane, basis data layanan sing disusupi dadi siji, sing digunakake kanggo [brute force]*.
Perlu ditambahake yen sawise instalasi, redis, mongodb lan elastis umume kasedhiya tanpa otentikasi, lan asring diisi maneh. . - Koyone ora ana sing bakal mindai port 3306 sampeyan sajrone sawetara dina. Iku khayalan! Masscan minangka scanner sing apik banget lan bisa mindai ing port 10M per detik. Lan mung ana 4 milyar IPv4 ing Internet. Patut, kabeh 3306 port ing Internet dumunung ing 7 menit. Charles!!! Pitung menit!
βSapa sing butuh iki?β - sampeyan mbantah. Dadi aku kaget nalika ndeleng statistik paket sing mudhun. Ngendi 40 ewu nyoba pindai saka 3 ewu IP unik saben dina? Saiki kabeh wong mindhai, saka peretas ibu nganti pamrentah. Gampang banget kanggo mriksa - njupuk VPS apa wae kanthi rega $3-5 saka sembarang** maskapai murah, aktifake logging paket sing ilang lan deleng log ing sedina.
Ngaktifake logging
Ing /etc/iptables/rules.v4 tambahake ing pungkasan:
-A INPUT -j LOG --log-awalan "[FW - ALL] " --log-level 4
Lan ing /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - " /var/log/iptables.log
& mandeg
DDoS liwat IP
Yen panyerang ngerti IP sampeyan, dheweke bisa mbajak server sampeyan nganti pirang-pirang jam utawa dina. Ora kabeh panyedhiya hosting murah duwe proteksi DDoS lan server sampeyan mung bakal dicopot saka jaringan. Yen sampeyan ndhelikake server ing mburi CDN, aja lali ngganti IP, yen ora, peretas bakal google lan DDoS server sampeyan ngliwati CDN (kesalahan sing populer banget).
vulnerabilities layanan
Kabeh piranti lunak populer cepet-cepet nemokake kesalahan, malah sing paling dites lan kritis. Ing antarane spesialis IB, ana setengah guyon - keamanan infrastruktur bisa ditaksir kanthi aman nalika nganyari pungkasan. Yen prasarana sampeyan sugih ing port sing ana ing saindenging jagad, lan sampeyan durung nganyari sajrone setaun, banjur spesialis keamanan bakal ngandhani sampeyan tanpa ndeleng manawa sampeyan bocor, lan kemungkinan wis disusupi.
Sampeyan uga kudu disebutake yen kabeh kerentanan sing dikenal ora dingerteni. Mbayangno peretas sing nemokake kerentanan kasebut lan mindhai kabeh Internet sajrone 7 menit kanggo anane ... Iki minangka epidemi virus anyar) Kita kudu nganyari, nanging iki bisa ngrusak produk, ujare. Lan sampeyan bakal bener yen paket ora diinstal saka repositori OS resmi. Saka pengalaman, nganyari saka gudang resmi arang banget ngrusak produk kasebut.
Kekuwatan kasar
Kaya sing kasebut ing ndhuwur, ana database kanthi setengah milyar sandhi sing trep kanggo ngetik saka keyboard. Ing tembung liyane, yen sampeyan ora nggawe tembung sandhi, nanging ngetik simbol jejer ing keyboard, yakin * sing bakal mbingungake sampeyan.
Kernel tumpukan kerentanan.
Uga kedaden **** sing ora malah Matter kang layanan mbukak port, nalika tumpukan jaringan kernel dhewe ngrugekke. Yaiku, kabeh soket tcp/udp ing sistem umur rong taun rentan marang kerentanan sing nyebabake DDoS.
Tambah serangan DDoS
Ora bakal nimbulakΓ© karusakan langsung, nanging bisa clog saluran Panjenengan, nambah mbukak ing sistem, IP bakal mungkasi munggah ing sawetara ireng-dhaftar *****, lan sampeyan bakal nampa planggaran saka hoster.
Apa sampeyan pancene mbutuhake kabeh risiko kasebut? Tambah IP omah lan kantor menyang dhaptar putih. Sanajan dinamis, mlebu liwat panel admin hoster, liwat konsol web, lan tambahake siji liyane.
Aku wis mbangun lan nglindhungi infrastruktur IT suwene 15 taun. Aku wis nggawe aturan sing aku banget nyaranake kanggo kabeh wong - ora ana port kudu tetep metu menyang donya tanpa putih-dhaftar.
Contone, server web sing paling aman*** yaiku sing mbukak 80 lan 443 mung kanggo CDN/WAF. Lan port layanan (ssh, netdata, bacula, phpmyadmin) mesthine ana ing mburi dhaptar putih, lan luwih apik ing mburi VPN. Yen ora, sampeyan duwe risiko dikompromi.
Mung kuwi sing dakkarepake. Tansah port sampeyan ditutup!
- (1) UPD1: sampeyan bisa mriksa sandi universal sing keren (aja nindakake iki tanpa ngganti tembung sandi iki kanthi acak ing kabeh layanan), apa katon ing database gabungan. sampeyan bisa ndeleng carane akeh layanan padha disusupi, ngendi email iki klebu, lan, patut, temokake apa sandi universal kelangan wis kompromi.
- (2) Kanggo kredit Amazon, LightSail duwe scan minimal. Ketoke padha nyaring piye wae.
- (3) Server web sing luwih aman yaiku sing ana ing mburi firewall khusus, WAF dhewe, nanging kita ngomong babagan VPS / Dedicated umum.
- (4) Segmentsmak.
- (5) Firehol.
Mung pangguna pangguna sing bisa melu survey. nggih.
Apa port sampeyan tetep metu?
-
Tansah
-
Kadhangkala
-
Ora bakal nate
-
Aku ora ngerti, jancok
54 pangguna milih. 6 pangguna abstain.
Source: www.habr.com