Ne kartą, atlikus auditą, reaguojant į mano rekomendacijas uostus slėpti už baltojo sąrašo, mane užklumpa nesusipratimų siena. Net labai šaunūs administratoriai / kūrėjai klausia: "Kodėl?!?"
Siūlau riziką svarstyti mažėjančia tvarka pagal atsiradimo tikimybę ir žalą.
- Konfigūracijos klaida
- DDoS per IP
- Brutali jėga
- Paslaugų pažeidžiamumas
- Branduolio dėklo pažeidžiamumas
- Padidėjusios DDoS atakos
Konfigūracijos klaida
Tipiškiausia ir pavojingiausia situacija. Kaip tai atsitinka. Kūrėjas turi greitai patikrinti hipotezę; jis nustato laikiną serverį su mysql/redis/mongodb/elastic. Žinoma, slaptažodis yra sudėtingas, jis jį naudoja visur. Tai atveria paslaugą pasauliui – jam patogu prisijungti iš savo kompiuterio be šių jūsų VPN. Ir aš tingiu prisiminti iptables sintaksę; serveris vis tiek yra laikinas. Dar pora dienų tobulėjimo – pavyko puikiai, galime parodyti klientui. Klientui patinka, nėra laiko perdaryti, paleidžiame į PROD!
Pavyzdys, sąmoningai perdėtas, norint pereiti visą grėblį:
- Nėra nieko pastovesnio už laikiną - man ši frazė nepatinka, tačiau, remiantis subjektyviais jausmais, 20–40% tokių laikinų serverių išlieka ilgam.
- Sudėtingas universalus slaptažodis, naudojamas daugelyje paslaugų, yra blogis. Nes galėjo būti įsilaužta į vieną iš paslaugų, kuriose buvo naudojamas šis slaptažodis. Vienaip ar kitaip įsilaužtų paslaugų duomenų bazės buriasi į vieną, kuri naudojama [brutalia jėga]*.
Verta pridurti, kad po įdiegimo „redis“, „mongodb“ ir „elastic“ paprastai pasiekiami be autentifikavimo ir dažnai papildomi. . - Gali atrodyti, kad per porą dienų niekas jūsų 3306 prievado nenuskaitys. Tai kliedesys! Masscan yra puikus skaitytuvas ir gali nuskaityti 10M prievadų per sekundę greičiu. O IPv4 internete yra tik 4 milijardai. Atitinkamai, visi 3306 prievadai internete yra per 7 minutes. Charlesas!!! Septynios minutės!
"Kam to reikia?" - tu prieštarauji. Todėl nustembu, kai žiūriu į numestų pakuočių statistiką. Iš kur per dieną 40 tūkstančių bandymų nuskaityti iš 3 tūkstančių unikalių IP? Dabar nuskaito visi – nuo mamos įsilaužėlių iki vyriausybių. Tai labai lengva patikrinti – pasiimkite bet kurį VPS už 3–5 USD iš bet kurios** pigių skrydžių bendrovės, įjunkite išmestų siuntų registravimą ir per dieną peržiūrėkite žurnalą.
Įjungiamas registravimas
/etc/iptables/rules.v4 pabaigoje pridėkite:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4
Ir /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - " /var/log/iptables.log
& sustabdyti
DDoS per IP
Jei užpuolikas žino jūsų IP, jis gali kelias valandas ar dienas užgrobti jūsų serverį. Ne visi pigių prieglobos paslaugų teikėjai turi DDoS apsaugą ir jūsų serveris bus tiesiog atjungtas nuo tinklo. Jei paslėpėte savo serverį už CDN, nepamirškite pakeisti IP, nes priešingu atveju įsilaužėlis jį suras „Google“ ir DDoS jūsų serverį apeidamas CDN (labai populiari klaida).
Paslaugų pažeidžiamumas
Visa populiari programinė įranga anksčiau ar vėliau randa klaidas, net ir labiausiai patikrintas ir svarbiausias. Tarp IB specialistų yra pusiau juokas – infrastruktūros saugumą galima drąsiai įvertinti iki paskutinio atnaujinimo. Jei jūsų infrastruktūroje gausu į pasaulį išsikišusių prievadų, o jūs jos neatnaujinote jau metus, bet kuris saugumo specialistas jums nežiūrėdamas pasakys, kad esate nesandarus ir greičiausiai jau buvote nulaužtas.
Taip pat verta paminėti, kad visi žinomi pažeidžiamumai kažkada buvo nežinomi. Įsivaizduokite įsilaužėlį, kuris rado tokį pažeidžiamumą ir per 7 minutes nuskenavo visą internetą dėl jo buvimo... Čia yra nauja viruso epidemija) Turime atnaujinti, bet tai gali pakenkti produktui, jūs sakote. Ir jūs būsite teisūs, jei paketai nebus įdiegti iš oficialių OS saugyklų. Remiantis patirtimi, oficialios saugyklos atnaujinimai retai pažeidžia produktą.
Brutali jėga
Kaip aprašyta aukščiau, yra duomenų bazė su puse milijardo slaptažodžių, kuriuos patogu įvesti iš klaviatūros. Kitaip tariant, jei nesukūrėte slaptažodžio, o klaviatūra įvedėte gretimus simbolius, būkite tikri*, kad jie jus suklaidins.
Branduolio dėklo pažeidžiamumas.
Taip pat atsitinka ****, kad net nesvarbu, kuri paslauga atidaro prievadą, kai pats branduolio tinklo dėklas yra pažeidžiamas. Tai reiškia, kad absoliučiai bet kuris tcp/udp lizdas dvejų metų senumo sistemoje yra jautrus pažeidžiamumui, sukeliančiam DDoS.
Padidėjusios DDoS atakos
Tai nepadarys jokios tiesioginės žalos, tačiau gali užkimšti jūsų kanalą, padidinti sistemos apkrovą, jūsų IP pateks į juodąjį sąrašą***** ir sulauksite prieglobos serverio piktnaudžiavimo.
Ar jums tikrai reikia visos šios rizikos? Pridėkite savo namų ir darbo IP prie baltojo sąrašo. Net jei jis yra dinamiškas, prisijunkite per prieglobos serverio administratoriaus skydelį, per žiniatinklio konsolę ir tiesiog pridėkite kitą.
IT infrastruktūrą kuriu ir saugau 15 metų. Aš sukūriau taisyklę, kurią primygtinai rekomenduoju visiems - joks uostas neturėtų išsiskirti į pasaulį be baltojo sąrašo.
Pavyzdžiui, saugiausias žiniatinklio serveris*** yra tas, kuris atidaro 80 ir 443 tik CDN/WAF. O paslaugų prievadai (ssh, netdata, bacula, phpmyadmin) turėtų būti bent jau už baltojo sąrašo, o dar geriau už VPN. Priešingu atveju rizikuojate būti pažeisti.
Tai viskas, ką norėjau pasakyti. Uždarykite savo uostus!
- (1) UPD1: galite patikrinti savo šaunų universalų slaptažodį (nedarykite to nepakeitę šio slaptažodžio atsitiktiniu visose paslaugose), ar jis pasirodė sujungtoje duomenų bazėje. galite pamatyti, kiek paslaugų buvo įsilaužta, kur buvo įtrauktas jūsų el. paštas, ir atitinkamai sužinoti, ar jūsų šaunus universalus slaptažodis nebuvo pažeistas.
- (2) „Amazon“ nuopelnas, „LightSail“ nuskaito nedaug. Matyt, jie kažkaip tai filtruoja.
- (3) Dar saugesnis žiniatinklio serveris yra už tam skirtos ugniasienės, savo WAF, bet mes kalbame apie viešąjį VPS/Dedicated.
- (4) Segmentsmak.
- (5) Firehol.
Apklausoje gali dalyvauti tik registruoti vartotojai. , Prašau.
Ar jūsų prievadai išsiskiria?
- Visada
- Kartais
- Niekada
- Nežinau, velnias
Balsavo 54 vartotojai. 6 vartotojų susilaikė.
Šaltinis: www.habr.com