Аудит жүргізгеннен кейін порттарды ақ тізімнің артына жасыру туралы ұсыныстарыма жауап ретінде қайта-қайта мен түсінбеушілік қабырғасына тап болдым. Тіпті өте керемет әкімшілер/DevOps: «Неге?!?» Деп сұрайды.
Тәуекелдерді туындау ықтималдығы мен зақымдануының кему тәртібімен қарастыруды ұсынамын.
- Конфигурация қатесі
- IP арқылы DDoS
- Дөрекі күш
- Қызметтің осал тұстары
- Ядро стекінің осалдықтары
- DDoS шабуылдарының артуы
Конфигурация қатесі
Ең типтік және қауіпті жағдай. Бұл қалай болады. Әзірлеуші гипотезаны жылдам тексеруі керек; ол mysql/redis/mongodb/elastic көмегімен уақытша серверді орнатады. Құпия сөз, әрине, күрделі, ол оны барлық жерде пайдаланады. Бұл бүкіл әлемге қызмет ашады - бұл сіздің VPN-сіз компьютерден қосылуға ыңғайлы. Мен iptables синтаксисін есте сақтауға тым жалқаумын; сервер бәрібір уақытша. Әзірлеудің тағы бір-екі күні - бұл керемет болды, біз оны тұтынушыға көрсете аламыз. Тұтынушыға ұнайды, оны қайта жасауға уақыт жоқ, біз оны PROD-ге шығарамыз!
Мысал барлық рейктен өту үшін әдейі әсірелеп көрсетілген:
- Уақытшадан тұрақты ештеңе жоқ - маған бұл фраза ұнамайды, бірақ субъективті сезімдерге сәйкес, мұндай уақытша серверлердің 20-40% ұзақ уақыт бойы қалады.
- Көптеген қызметтерде қолданылатын күрделі әмбебап құпия сөз зұлымдық болып табылады. Өйткені бұл құпия сөз қолданылған қызметтердің бірі бұзылған болуы мүмкін. Қалай болғанда да, бұзылған қызметтердің дерекқорлары [қате күш]* үшін қолданылатын біреуіне түседі.
Орнатқаннан кейін redis, mongodb және elastic әдетте аутентификациясыз қол жетімді және олар жиі толықтырылады. . - Бірнеше күнде сіздің 3306 портыңызды ешкім сканерлемейтін сияқты көрінуі мүмкін. Бұл адасушылық! Masscan - тамаша сканер және секундына 10 миллион портпен сканерлей алады. Ал интернетте небәрі 4 миллиард IPv4 бар. Сәйкесінше, Интернеттегі барлық 3306 порт 7 минутта орналасады. Чарльз!!! Жеті минут!
«Бұл кімге керек?» - қарсысың. Сондықтан мен түсіп қалған пакеттердің статистикасын қараған кезде таң қаламын. Күніне 40 мың бірегей IP-ден 3 мың сканерлеу әрекеті қайдан келеді? Қазір ананың хакерлерінен бастап үкіметтерге дейін барлығы сканерлеуде. Тексеру өте оңай – кез келген ** арзан авиакомпаниядан 3-5 долларға кез келген VPS алыңыз, түсірілген пакеттерді тіркеуді қосыңыз және бір күнде журналды қараңыз.
Тіркеуді қосу
/etc/iptables/rules.v4 ішінде соңына қосыңыз:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4
Және /etc/rsyslog.d/10-iptables.conf ішінде
:msg,құрамында,"[FW - "/var/log/iptables.log
& Тоқта
IP арқылы DDoS
Егер шабуылдаушы сіздің IP-ді білсе, ол бірнеше сағат немесе күн бойы серверіңізді ұрлауы мүмкін. Барлық арзан хостинг провайдерлерінде DDoS қорғауы жоқ және сіздің серверіңіз желіден ажыратылады. Егер сіз серверіңізді CDN артына жасырсаңыз, IP-ді өзгертуді ұмытпаңыз, әйтпесе хакер оны Google-ге жібереді және CDN-ді айналып өтіп серверіңізді DDoS жасайды (өте танымал қате).
Қызметтің осал тұстары
Барлық танымал бағдарламалық жасақтама ерте ме, кеш пе қателерді, тіпті ең сыналған және маңыздыларын табады. IB мамандарының арасында жартылай әзіл бар - инфрақұрылымның қауіпсіздігін соңғы жаңарту уақытына қарай қауіпсіз бағалауға болады. Егер сіздің инфрақұрылымыңыз әлемге шығатын порттарға бай болса және сіз оны бір жыл бойы жаңартпасаңыз, кез келген қауіпсіздік маманы сіздің ағып жатқаныңызды және, бәлкім, әлдеқашан бұзылғаныңызды айтпай-ақ айтады.
Сондай-ақ, барлық белгілі осалдықтардың бір кездері белгісіз болғанын атап өткен жөн. Осындай осалдықты тауып алып, оның бар-жоғын 7 минут ішінде бүкіл интернетті қарап шыққан хакерді елестетіп көріңізші... Міне, жаңа вирустық эпидемия) Жаңарту керек, бірақ бұл өнімге зиян келтіруі мүмкін, сіз айтасыз. Егер пакеттер ОЖ-ның ресми репозиторийлерінен орнатылмаған болса, сіз дұрыс боласыз. Тәжірибе бойынша, ресми репозиторийдің жаңартулары өнімді сирек бұзады.
Дөрекі күш
Жоғарыда сипатталғандай, пернетақтадан теруге ыңғайлы жарты миллиард парольден тұратын мәліметтер базасы бар. Басқаша айтқанда, егер сіз құпия сөзді жасамасаңыз, бірақ пернетақтада іргелес таңбаларды терсеңіз, ұрланатыныңызға сенімді болыңыз*.
Ядро стекінің осалдықтары.
Сондай-ақ, ядро желісінің стекінің өзі осал болған кезде портты қай қызмет ашатыны маңызды емес. Яғни, екі жастағы жүйедегі кез келген tcp/udp ұясы DDoS-қа әкелетін осалдыққа бейім.
DDoS шабуылдарының артуы
Бұл тікелей зақым келтірмейді, бірақ ол сіздің арнаңызды бітеп тастауы, жүйедегі жүктемені арттыруы мүмкін, сіздің IP қара тізімге***** түсіп қалады және сіз хосттен қиянат аласыз.
Сізге осы тәуекелдердің барлығы қажет пе? Ақ тізімге үй және жұмыс IP мекенжайын қосыңыз. Ол динамикалық болса да, хосттердің басқару тақтасы, веб-консоль арқылы жүйеге кіріп, тағы біреуін қосыңыз.
Мен 15 жыл бойы IT инфрақұрылымын құрып, қорғап келемін. Мен бәріне қатты ұсынатын ережені әзірледім - ешбір порт ақ тізімсіз әлемге шықпауы керек.
Мысалы, ең қауіпсіз веб-сервер*** тек CDN/WAF үшін 80 және 443 ашатын сервер болып табылады. Ал қызмет порттары (ssh, netdata, bacula, phpmyadmin) кем дегенде ақ тізімнің артында, ал VPN-нің артында болуы керек. Әйтпесе, сіз қауіп төндіресіз.
Менің айтқым келгені осы болды. Порттарыңызды жабық ұстаңыз!
- (1) UPD1: тамаша әмбебап парольді тексеруге болады (барлық қызметтерде осы құпия сөзді кездейсоқ құпия сөзбен ауыстырмай мұны жасамаңыз), біріктірілген дерекқорда пайда болды ма. сіз қанша қызмет бұзылғанын, электрондық поштаңыздың қай жерде енгізілгенін көре аласыз және сәйкесінше әмбебап құпия сөзіңіз бұзылғанын біле аласыз.
- (2) Amazon несиесі үшін LightSail ең аз сканерлеуге ие. Олар оны әйтеуір сүзгіден өткізетін сияқты.
- (3) Одан да қауіпсіз веб-сервер арнайы брандмауэрдің артында орналасқан, өзінің жеке WAF, бірақ біз жалпыға ортақ VPS/Dedicated туралы айтып отырмыз.
- (4) Segmentsmak.
- (5) Firehol.
Сауалнамаға тек тіркелген пайдаланушылар қатыса алады. , өтінемін.
Сіздің порттарыңыз шығып тұр ма?
-
әрқашан
-
Кейде
-
Ешқашан
-
Білмеймін, блять
54 қолданушы дауыс берді. 6 пайдаланушы қалыс қалды.
Ақпарат көзі: www.habr.com