Atkal un atkal pēc audita veikšanas, atbildot uz maniem ieteikumiem ostas slēpt aiz baltā saraksta, mani sastopas ar pārpratumu sienu. Pat ļoti forši administratori/DevOps jautā: "Kāpēc?!?"
Es ierosinu apsvērt riskus rašanās iespējamības un bojājumu dilstošā secībā.
- Konfigurācijas kļūda
- DDoS, izmantojot IP
- brutālu spēku
- Pakalpojuma ievainojamības
- Kodola steka ievainojamības
- Palielināti DDoS uzbrukumi
Konfigurācijas kļūda
Tipiskākā un bīstamākā situācija. Kā tas notiek. Izstrādātājam ir ātri jāpārbauda hipotēze; viņš iestata pagaidu serveri ar mysql/redis/mongodb/elastic. Parole, protams, ir sarežģīta, viņš to izmanto visur. Tas atver pakalpojumu pasaulei — viņam ir ērti izveidot savienojumu no datora bez šiem jūsu VPN. Un es esmu pārāk slinks, lai atcerētos iptables sintaksi; serveris jebkurā gadījumā ir īslaicīgs. Vēl pāris dienas izstrādes - sanāca lieliski, varam parādīt klientam. Klientam patīk, nav laika pārtaisīt, laižam uz PROD!
Piemērs, kas apzināti pārspīlēts, lai izietu cauri visam grābeklim:
- Nav nekas pastāvīgāks par pagaidu - man nepatīk šī frāze, bet pēc subjektīvām izjūtām 20–40% šādu pagaidu serveru paliek ilgu laiku.
- Sarežģīta universāla parole, kas tiek izmantota daudzos pakalpojumos, ir ļauna. Jo kāds no servisiem, kurā tika izmantota šī parole, varēja būt uzlauzts. Tā vai citādi uzlauzto pakalpojumu datubāzes saplūst vienā, kas tiek izmantota [brutāla spēka]*.
Ir vērts piebilst, ka pēc instalēšanas redis, mongodb un elastic parasti ir pieejami bez autentifikācijas un bieži tiek papildināti. . - Var šķist, ka jūsu 3306 portu pāris dienu laikā neviens neskenēs. Tas ir malds! Masscan ir lielisks skeneris un var skenēt ar 10 miljoniem portu sekundē. Un internetā ir tikai 4 miljardi IPv4. Attiecīgi visi 3306 porti internetā atrodas 7 minūtēs. Čārlzs!!! Septiņas minūtes!
"Kam tas vajadzīgs?" - tu iebilsti. Tāpēc esmu pārsteigts, kad skatos uz izmesto paku statistiku. No kurienes nāk 40 tūkstoši skenēšanas mēģinājumu no 3 tūkstošiem unikālu IP adresēm dienā? Tagad visi skenē, sākot no mammas hakeriem un beidzot ar valdībām. To ir ļoti viegli pārbaudīt — paņemiet jebkuru VPS par 3–5 $ no jebkuras** zemo izmaksu aviokompānijas, iespējojiet nomesto paku reģistrēšanu un apskatiet žurnālu vienas dienas laikā.
Tiek iespējota reģistrēšana
Faila /etc/iptables/rules.v4 beigās pievienojiet:
-I INPUT -j ŽURNĀLS --log-prefikss "[FW - ALL] " --log-level 4
Un mapē /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - "/var/log/iptables.log
& apstāties
DDoS, izmantojot IP
Ja uzbrucējs zina jūsu IP, viņš var nolaupīt jūsu serveri vairākas stundas vai dienas. Ne visiem zemo izmaksu mitināšanas pakalpojumu sniedzējiem ir DDoS aizsardzība, un jūsu serveris vienkārši tiks atvienots no tīkla. Ja paslēpāt savu serveri aiz CDN, neaizmirstiet nomainīt IP, pretējā gadījumā hakeris to meklēs Google un DDoS jūsu serveri, apejot CDN (ļoti populāra kļūda).
Pakalpojuma ievainojamības
Visa populārā programmatūra agrāk vai vēlāk atrod kļūdas, pat visvairāk pārbaudītās un kritiskās. IB speciālistu vidū ir pusjoks - infrastruktūras drošību var droši novērtēt līdz pēdējās atjaunināšanas brīdim. Ja jūsu infrastruktūra ir bagāta ar pasaulē izstieptām ostām, un jūs to neesat atjauninājis gadu, jebkurš drošības speciālists jums nepaskatoties pateiks, ka esat noplūdis un, visticamāk, jau esat uzlauzts.
Ir arī vērts pieminēt, ka visas zināmās ievainojamības kādreiz nebija zināmas. Iedomājieties hakeri, kurš atrada šādu ievainojamību un 7 minūšu laikā skenēja visu internetu, lai noteiktu tās klātbūtni... Šeit ir jauna vīrusa epidēmija) Mums ir jāatjaunina, taču tas var kaitēt produktam, jūs sakāt. Un jums būs taisnība, ja pakotnes netiks instalētas no oficiālajām OS krātuvēm. No pieredzes izriet, ka atjauninājumi no oficiālās krātuves reti sabojā produktu.
brutālu spēku
Kā aprakstīts iepriekš, ir datubāze ar pusmiljardu paroļu, kuras ir ērti ievadīt no tastatūras. Citiem vārdiem sakot, ja neesat ģenerējis paroli, bet ierakstījāt blakus esošos simbolus uz tastatūras, esiet drošs*, ka tie jūs mulsinās.
Kodola steka ievainojamības.
Gadās arī ****, ka nav pat svarīgi, kurš pakalpojums atver portu, kad pats kodola tīkla steks ir neaizsargāts. Tas nozīmē, ka pilnīgi jebkura divus gadus vecas sistēmas tcp/udp ligzda ir jutīga pret ievainojamību, kas izraisa DDoS.
Palielināti DDoS uzbrukumi
Tas neradīs tiešus bojājumus, taču tas var aizsprostot jūsu kanālu, palielināt sistēmas slodzi, jūsu IP tiks iekļauts melnajā sarakstā*****, un jūs saņemsiet ļaunprātīgu izmantošanu no mitinātāja.
Vai jums tiešām ir vajadzīgi visi šie riski? Pievienojiet mājas un darba IP baltajam sarakstam. Pat ja tas ir dinamisks, piesakieties, izmantojot mitinātāja administratora paneli, izmantojot tīmekļa konsoli, un vienkārši pievienojiet vēl vienu.
Es veidoju un aizsargāju IT infrastruktūru 15 gadus. Esmu izstrādājis noteikumu, ko ļoti iesaku visiem - nevienai ostai nevajadzētu izcelties pasaulē bez baltā saraksta.
Piemēram, visdrošākais tīmekļa serveris*** ir tas, kas atver 80 un 443 tikai CDN/WAF. Un pakalpojumu portiem (ssh, netdata, bacula, phpmyadmin) vajadzētu būt vismaz aiz baltā saraksta un vēl labāk aiz VPN. Pretējā gadījumā jūs riskējat tikt apdraudēts.
Tas ir viss, ko es gribēju pateikt. Turiet savas ostas slēgtas!
- (1) UPD1: varat pārbaudīt savu foršo universālo paroli (nedariet to, neaizstājot šo paroli ar nejaušu paroli visos pakalpojumos), vai tas parādījās apvienotajā datu bāzē. jūs varat redzēt, cik pakalpojumu tika uzlauzti, kur tika iekļauts jūsu e-pasts, un attiecīgi uzzināt, vai jūsu foršā universālā parole nav apdraudēta.
- (2) Amazon nopelns, LightSail skenēšana ir minimāla. Acīmredzot viņi to kaut kā filtrē.
- (3) Vēl drošāks tīmekļa serveris ir tas, kas atrodas aiz īpaša ugunsmūra, sava WAF, taču mēs runājam par publisko VPS/Dedicated.
- (4) Segmentsmak.
- (5) Firehol.
Aptaujā var piedalīties tikai reģistrēti lietotāji. , lūdzu.
Vai jūsu porti izceļas?
-
Vienmēr
-
dažreiz
-
Nekad
-
Es nezinu, bāc
Nobalsoja 54 lietotāji. 6 lietotāji atturējās.
Avots: www.habr.com