ProHoster > Blog > Administratioun > Maacht keng Ports op d'Welt op - Dir wäert gebrach ginn (Risiken)

Maacht keng Ports op d'Welt op - Dir wäert gebrach ginn (Risiken)

Maacht keng Ports op d'Welt op - Dir wäert gebrach ginn (Risiken)

Ëmmer erëm, nodeems ech en Audit gemaach hunn, an Äntwert op meng Empfehlungen fir d'Ports hannert enger wäisser Lëscht ze verstoppen, sinn ech mat enger Mauer vu Mëssverständnis begéint. Och ganz cool Administrateuren / DevOps froen: "Firwat?!?"

Ech proposéieren d'Risiken an der erofgaangend Uerdnung vun der Wahrscheinlechkeet vum Optriede a Schued ze berücksichtegen.

  1. Konfiguratiounsfehler
  2. DDoS iwwer IP
  3. Brute Kraaft
  4. Service Schwachstelle
  5. Kernel Stack Schwachstelle
  6. Méi DDoS Attacken

Konfiguratiounsfehler

Déi typesch a geféierlech Situatioun. Wéi et geschitt. Den Entwéckler muss d'Hypothese séier testen; hien setzt en temporäre Server mat mysql/redis/mongodb/elastic op. D'Passwuert ass natierlech komplex, hie benotzt et iwwerall. Et mécht de Service op d'Welt op - et ass bequem fir hien vu sengem PC ze verbannen ouni dës VPNs vun Iech. An ech sinn ze faul fir un den iptables Syntax ze erënneren; de Server ass souwisou temporär. E puer méi Deeg vun der Entwécklung - et ass super erausgaang, mir kënnen et dem Client weisen. De Client huet et gär, et gëtt keng Zäit et nei ze maachen, mir starten et an PROD!

E Beispill bewosst iwwerdriwwen fir duerch all Rake ze goen:

  1. Et gëtt näischt méi permanent wéi temporär - ech hunn dëse Saz net gär, awer no subjektiv Gefiller bleiwen 20-40% vun esou temporäre Serveren fir eng laang Zäit.
  2. E komplext universellt Passwuert dat a ville Servicer benotzt gëtt ass béis. Well ee vun de Servicer, wou dëst Passwuert benotzt gouf, kéint gehackt ginn. Op déi eng oder aner Manéier flocken d'Datebanke vun gehackte Servicer an eng, déi fir [brute Force]* benotzt gëtt.
    Et ass derwäert derzou bäizedroen datt no der Installatioun Redis, Mongodb an Elastik allgemeng ouni Authentifikatioun verfügbar sinn an dacks ersat ginn. Sammlung vun oppenen Datenbanken.
  3. Et kann schéngen datt keen Ären 3306 Hafen an e puer Deeg scannt. Et ass eng Wahn! Masscan ass en exzellente Scanner a ka mat 10M Ports pro Sekonn scannen. An et gi just 4 Milliarden IPv4 um Internet. Deementspriechend sinn all 3306 Ports um Internet an 7 Minutten lokaliséiert. Charles!!! Siwe Minutten!
    "Wien brauch dat?" - Dir Objet. Also ech sinn iwwerrascht wann ech d'Statistike vun erofgefallene Packagen kucken. Wou kommen 40 Scan Versich vun 3 eenzegaartegen IPen pro Dag? Elo scannt jiddereen, vu Mammen Hacker bis Regierungen. Et ass ganz einfach ze kontrolléieren - huelt all VPS fir $ 3-5 vun all ** Low-Cost Airline, aktivéiert d'Logéierung vun erofgefallene Packagen a kuckt de Log an engem Dag.

Logged aktivéieren

An /etc/iptables/rules.v4 füügt um Enn:
-A INPUT -j LOG --log-Präfix "[FW - ALL] " --log-Level 4

An an /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - " /var/log/iptables.log
& ophalen

DDoS iwwer IP

Wann en Ugräifer Är IP kennt, kann hien Äre Server fir e puer Stonnen oder Deeg kapéieren. Net all Low-Cost Hosting Ubidder hunn DDoS Schutz an Äre Server gëtt einfach aus dem Netz getrennt. Wann Dir Äre Server hannert engem CDN verstoppt hutt, vergiesst net d'IP z'änneren, soss googlet en Hacker et an DDoS Äre Server ëmgoen den CDN (e ganz populäre Feeler).

Service Schwachstelle

All populär Software desto oder spéider fënnt Feeler, och déi getest a kritesch. Ënner IB Spezialisten gëtt et en halleft Witz - d'Sécherheet vun der Infrastruktur ka sécher bis zur Zäit vum leschten Update bewäert ginn. Wann Är Infrastruktur reich an Häfen ass, déi an d'Welt stinn, an Dir hutt et net fir e Joer aktualiséiert, da wäert all Sécherheetsspezialist Iech soen ouni ze kucken datt Dir leckeg sidd, a wahrscheinlech schonn gehackt sidd.
Et ass och derwäert ze ernimmen datt all bekannte Schwachstelle eemol onbekannt waren. Stellt Iech en Hacker vir, deen esou eng Schwachstelle fonnt huet an de ganzen Internet a 7 Minutten op seng Präsenz gescannt huet ... Hei ass eng nei Virusepidemie) Mir mussen aktualiséieren, awer dëst kann dem Produkt schueden, seet Dir. An Dir wäert richteg sinn wann d'Packagen net vun den offiziellen OS Repositories installéiert sinn. Aus Erfahrung, Updates vum offiziellen Repository briechen selten de Produkt.

Brute Kraaft

Wéi uewen beschriwwen, gëtt et eng Datebank mat enger halwer Milliard Passwierder, déi bequem si vun der Tastatur ze tippen. An anere Wierder, wann Dir kee Passwuert generéiert hutt, awer ugrenzend Symboler op der Tastatur aginn hutt, sidd Dir sécher * datt se Iech duerchernee bréngen.

Kernel Stack Schwachstelle.

Et geschitt och **** datt et egal ass wéi ee Service den Hafen opmaacht, wann de Kernelnetzstack selwer vulnérabel ass. Dat ass, absolut all tcp / udp Socket op engem zwee Joer ale System ass ufälleg fir eng Schwachstelle déi zu DDoS féiert.

Méi DDoS Attacken

Et wäert keen direkten Schued verursaachen, awer et kann Äre Kanal verstoppen, d'Laascht op de System erhéijen, Är IP wäert op eng schwaarz Lëscht ***** kommen, an Dir kritt Mëssbrauch vum Hoster.

Braucht Dir wierklech all dës Risiken? Füügt Äert Heem an d'Aarbechts-IP op d'wäiss Lëscht. Och wann et dynamesch ass, loggt Iech iwwer d'Administratiounspanel vum Hoster un, iwwer d'Webkonsole, a füügt just en aneren un.

Ech bauen a schützen IT Infrastruktur fir 15 Joer. Ech hunn eng Regel entwéckelt déi ech jidderengem staark recommandéieren - keen Hafen däerf op d'Welt stieche ouni eng wäiss Lëscht.

Zum Beispill ass de sécherste Webserver*** deen deen 80 an 443 nëmme fir CDN/WAF opmaacht. A Service Ports (ssh, netdata, bacula, phpmyadmin) sollten op d'mannst hannert der wäisser Lëscht sinn, an nach besser hannert dem VPN. Soss riskéiert Dir kompromittéiert ze ginn.

Dat war alles wat ech wollt soen. Halt Är Häfen zou!

  • (1) UPD 1: et ass Dir kënnt Äert coolt universellt Passwuert kontrolléieren (maachen dat net ouni dëst Passwuert duerch eng zoufälleg an all Servicer ersat), ob et an der fusionéierter Datebank erschéngt. An hei Dir kënnt gesinn wéivill Servicer gehackt goufen, wou Är E-Mail abegraff ass, an deementspriechend erauszefannen ob Äert coolt universellt Passwuert kompromittéiert ass.
  • (2) Dem Amazon säi Kreditt huet LightSail minimal Scans. Anscheinend filteren se et iergendwéi.
  • (3) En nach méi séchere Webserver ass deen hannert enger engagéierter Firewall, säin eegene WAF, awer mir schwätzen iwwer ëffentlech VPS / Dedicated.
  • (4) Segmenter.
  • (5) Feierhol.

Nëmme registréiert Benotzer kënnen un der Ëmfro deelhuelen. Umellen, wann ech glift.

Halen Är Ports eraus?

  • Ëmmer

  • Heiansdo

  • Ni

  • Ech weess et net, fuck

54 Benotzer hunn gestëmmt. 6 Benotzer hu sech enthalen.

Source: will.com

Setzt e Commentaire