ProHoster > блог > Администрација > Не отворајте пристаништа кон светот - ќе бидете скршени (ризици)

Не отворајте пристаништа кон светот - ќе бидете скршени (ризици)

Не отворајте пристаништа кон светот - ќе бидете скршени (ризици)

Одново и одново, по спроведувањето на ревизијата, како одговор на моите препораки да се кријат пристаништата зад белата листа, се среќавам со ѕид на недоразбирање. Дури и многу кул администратори/DevOps прашуваат: „Зошто?!?“

Предлагам да се земат предвид ризиците во опаѓачки редослед на веројатноста за појава и оштетување.

  1. Грешка во конфигурацијата
  2. DDoS преку IP
  3. Брутална сила
  4. Ранливост на услугите
  5. Ранливост на оџакот на јадрото
  6. Зголемени DDoS напади

Грешка во конфигурацијата

Најтипична и најопасна ситуација. Како се случува. Програмерот треба брзо да ја тестира хипотезата; тој поставува привремен сервер со mysql/redis/mongodb/elastic. Лозинката, се разбира, е сложена, тој ја користи насекаде. Ја отвора услугата кон светот - му е погодно да се поврзе од својот компјутер без овие ваши VPN. И јас сум премногу мрзлив да ја запомнам синтаксата iptables; серверот и онака е привремен. Уште неколку дена развој - се покажа одлично, можеме да му го покажеме на клиентот. На купувачот му се допаѓа, нема време да го повториме, го лансираме во PROD!

Пример намерно претеран за да се помине низ целиот гребло:

  1. Нема ништо потрајно од привремено - не ми се допаѓа оваа фраза, но според субјективните чувства, 20-40% од таквите привремени сервери остануваат долго време.
  2. Сложената универзална лозинка што се користи во многу услуги е зло. Бидејќи една од услугите каде што се користела оваа лозинка можела да биде хакирана. На еден или друг начин, базите на податоци на хакирани услуги се собираат во една, која се користи за [брутална сила]*.
    Вреди да се додаде дека по инсталацијата, redis, mongodb и elastic се генерално достапни без автентикација и често се надополнуваат збирка на отворени бази на податоци.
  3. Можеби изгледа дека никој нема да ја скенира вашата порта 3306 за неколку дена. Тоа е заблуда! Masscan е одличен скенер и може да скенира со 10M порти во секунда. А на Интернет има само 4 милијарди IPv4. Според тоа, сите 3306 порти на Интернет се наоѓаат за 7 минути. Чарлс!!! Седум минути!
    „Кому му треба ова? - се противиш. Затоа, јас сум изненаден кога ќе ја погледнам статистиката на паднатите пакети. Од каде доаѓаат 40 илјади обиди за скенирање од 3 илјади уникатни IP-адреси дневно? Сега сите скенираат, од хакерите на мајката до владите. Многу е лесно да се провери - земете кој било VPS за 3-5 долари од која било нискобуџетна авиокомпанија, овозможете евиденција на паднатите пакети и погледнете го дневникот за еден ден.

Овозможување на евиденција

Во /etc/iptables/rules.v4 додадете до крај:
-A INPUT -j LOG --log-префикс „[FW - ALL]“ --log-ниво 4

И во /etc/rsyslog.d/10-iptables.conf
:msg,содржи,"[FW - " /var/log/iptables.log
& запре

DDoS преку IP

Ако напаѓачот ја знае вашата IP адреса, тој може да го киднапира вашиот сервер неколку часа или денови. Не сите евтини даватели на хостинг имаат DDoS заштита и вашиот сервер едноставно ќе биде исклучен од мрежата. Ако го сокривте вашиот сервер зад CDN, не заборавајте да ја смените IP-а, инаку хакер ќе го прогугла и ќе го DDoS вашиот сервер заобиколувајќи го CDN (многу популарна грешка).

Ранливост на услугите

Грешки се наоѓаат во сите популарни софтвери порано или подоцна, дури и во најпроверените и најкритичните. Меѓу специјалистите на IB, постои половина шега - безбедноста на инфраструктурата може безбедно да се процени до времето на последното ажурирање. Ако вашата инфраструктура е богата со пристаништа кои се појавуваат низ светот и не сте ја ажурирале една година, тогаш секој специјалист за безбедност ќе ви каже без да гледа дека сте протекуваат и најверојатно веќе сте биле хакирани.
Исто така, вреди да се спомене дека сите познати пропусти некогаш биле непознати. Замислете хакер кој пронашол таква ранливост и го скенирал целиот Интернет за 7 минути за неговото присуство... Еве нова епидемија на вируси) Треба да ажурираме, но ова може да му наштети на производот, велите вие. И ќе бидете во право ако пакетите не се инсталирани од официјалните складишта на ОС. Од искуство, ажурирањата од официјалното складиште ретко го кршат производот.

Брутална сила

Како што е опишано погоре, постои база на податоци со половина милијарда лозинки кои се погодни за пишување од тастатурата. Со други зборови, ако не сте генерирале лозинка, туку сте напишале соседни симболи на тастатурата, бидете сигурни* дека тие ќе ве збунат.

Ранливост на оџакот на јадрото.

Исто така, се случува **** да не е ни важно која услуга ја отвора портата, кога самиот стек на мрежата на јадрото е ранлив. Односно, апсолутно секој tcp/udp сокет на систем стар две години е подложен на ранливост што води до DDoS.

Зголемени DDoS напади

Нема да предизвика директна штета, но може да го заглави вашиот канал, да го зголеми оптоварувањето на системот, вашата IP адреса ќе заврши на некоја црна листа***** и ќе добиете злоупотреба од хостерот.

Дали навистина ви се потребни сите овие ризици? Додајте ја вашата домашна и работна IP IP на белата листа. Дури и ако е динамичен, најавете се преку административниот панел на хостерот, преку веб-конзолата и само додадете уште една.

15 години градам и штитам ИТ инфраструктура. Развив правило кое силно го препорачувам на сите - ниту едно пристаниште не треба да се појавува во светот без бела листа.

На пример, најбезбедниот веб-сервер*** е оној што ги отвора 80 и 443 само за CDN/WAF. И сервисните порти (ssh, netdata, bacula, phpmyadmin) треба да бидат барем зад белата листа, а уште подобро зад VPN. Во спротивно, ризикувате да бидете компромитирани.

Тоа е се што сакав да кажам. Чувајте ги вашите пристаништа затворени!

  • (1) UPD1: Тука можете да ја проверите вашата кул универзална лозинка (не правете го ова без да ја замените оваа лозинка со случајна во сите услуги), дали се појавил во споената база на податоци. И тука можете да видите колку услуги се хакирани, каде е вклучена вашата е-пошта и, соодветно, да дознаете дали вашата кул универзална лозинка е компромитирана.
  • (2) На кредит на Амазон, LightSail има минимални скенирања. Очигледно некако го филтрираат.
  • (3) Уште побезбеден веб-сервер е оној кој стои зад посветен заштитен ѕид, свој WAF, но зборуваме за јавен VPS/Dedicated.
  • (4) Segmentsmak.
  • (5) Firehol.

Само регистрирани корисници можат да учествуваат во анкетата. Најави се, вие сте добредојдени.

Дали вашите пристаништа се издвојуваат?

  • Секогаш

  • Понекогаш

  • Никогаш

  • Не знам, јебига

Гласале 54 корисници. 6 корисници беа воздржани.

Извор: www.habr.com

Додадете коментар