ProHoster > Blog > Pentadbiran > Jangan buka pelabuhan kepada dunia - anda akan rosak (risiko)

Jangan buka pelabuhan kepada dunia - anda akan rosak (risiko)

Jangan buka pelabuhan kepada dunia - anda akan rosak (risiko)

Berulang kali, selepas menjalankan audit, sebagai tindak balas kepada cadangan saya untuk menyembunyikan pelabuhan di sebalik senarai putih, saya berhadapan dengan dinding salah faham. Malah pentadbir/DevOps yang sangat keren bertanya: "Kenapa?!?"

Saya bercadang untuk mempertimbangkan risiko dalam susunan menurun kemungkinan berlaku dan kerosakan.

  1. Ralat konfigurasi
  2. DDoS melalui IP
  3. Kekerasan
  4. Kelemahan perkhidmatan
  5. Kerentanan tindanan kernel
  6. Peningkatan serangan DDoS

Ralat konfigurasi

Keadaan yang paling tipikal dan berbahaya. Bagaimana ia berlaku. Pembangun perlu menguji hipotesis dengan cepat; dia menyediakan pelayan sementara dengan mysql/redis/mongodb/elastic. Kata laluan, sudah tentu, adalah kompleks, dia menggunakannya di mana-mana. Ia membuka perkhidmatan kepada dunia - ia mudah untuk menyambung daripada PCnya tanpa VPN anda ini. Dan saya terlalu malas untuk mengingati sintaks iptables; pelayan tetap sementara. Beberapa hari lagi pembangunan - ternyata hebat, kami boleh menunjukkannya kepada pelanggan. Pelanggan menyukainya, tidak ada masa untuk melakukannya semula, kami melancarkannya ke dalam PROD!

Contoh yang sengaja dibesar-besarkan untuk melalui semua rake:

  1. Tidak ada yang lebih kekal daripada sementara - Saya tidak suka frasa ini, tetapi menurut perasaan subjektif, 20-40% daripada pelayan sementara itu kekal untuk masa yang lama.
  2. Kata laluan universal yang kompleks yang digunakan dalam banyak perkhidmatan adalah jahat. Kerana salah satu perkhidmatan di mana kata laluan ini digunakan mungkin telah digodam. Satu cara atau yang lain, pangkalan data perkhidmatan yang digodam berkumpul menjadi satu, yang digunakan untuk [brute force]*.
    Perlu ditambah bahawa selepas pemasangan, redis, mongodb dan elastik biasanya tersedia tanpa pengesahan, dan sering diisi semula pengumpulan pangkalan data terbuka.
  3. Nampaknya tiada siapa yang akan mengimbas port 3306 anda dalam beberapa hari. Ia adalah khayalan! Masscan ialah pengimbas yang sangat baik dan boleh mengimbas pada port 10M sesaat. Dan terdapat hanya 4 bilion IPv4 di Internet. Sehubungan itu, semua 3306 port di Internet terletak dalam masa 7 minit. Charles!!! Tujuh minit!
    β€œSiapa yang memerlukan ini?” - awak bantah. Jadi saya terkejut apabila saya melihat statistik pakej yang tercicir. Dari manakah datangnya 40 ribu percubaan imbasan daripada 3 ribu IP unik setiap hari? Kini semua orang sedang mengimbas, daripada penggodam ibu kepada kerajaan. Sangat mudah untuk menyemak - ambil mana-mana VPS dengan harga $3-5 daripada mana-mana** syarikat penerbangan tambang rendah, dayakan pengelogan pakej yang tercicir dan lihat log dalam sehari.

Mendayakan pembalakan

Dalam /etc/iptables/rules.v4 tambah pada akhir:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4

Dan dalam /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - "/var/log/iptables.log
& berhenti

DDoS melalui IP

Jika penyerang mengetahui IP anda, dia boleh merampas pelayan anda selama beberapa jam atau hari. Tidak semua penyedia pengehosan kos rendah mempunyai perlindungan DDoS dan pelayan anda hanya akan diputuskan sambungan daripada rangkaian. Jika anda menyembunyikan pelayan anda di sebalik CDN, jangan lupa untuk menukar IP, jika tidak penggodam akan google dan DDoS pelayan anda memintas CDN (kesilapan yang sangat popular).

Kelemahan perkhidmatan

Semua perisian popular lambat laun menemui ralat, malah yang paling diuji dan kritikal. Di kalangan pakar IB, terdapat satu jenaka - keselamatan infrastruktur boleh dinilai dengan selamat pada masa kemas kini terakhir. Jika infrastruktur anda kaya dengan pelabuhan yang menonjol ke dunia, dan anda tidak mengemas kininya selama setahun, maka mana-mana pakar keselamatan akan memberitahu anda tanpa melihat bahawa anda bocor, dan kemungkinan besar telah digodam.
Perlu juga dinyatakan bahawa semua kelemahan yang diketahui pernah tidak diketahui. Bayangkan seorang penggodam yang menemui kelemahan sedemikian dan mengimbas seluruh Internet dalam masa 7 minit untuk kehadirannya... Berikut adalah wabak virus baharu) Kami perlu mengemas kini, tetapi ini boleh membahayakan produk, kata anda. Dan anda akan betul jika pakej tidak dipasang dari repositori OS rasmi. Dari pengalaman, kemas kini daripada repositori rasmi jarang memecahkan produk.

Kekerasan

Seperti yang diterangkan di atas, terdapat pangkalan data dengan setengah bilion kata laluan yang mudah untuk ditaip dari papan kekunci. Dalam erti kata lain, jika anda tidak menjana kata laluan, tetapi menaip simbol bersebelahan pada papan kekunci, yakinlah* bahawa ia akan mengelirukan anda.

Kerentanan tindanan kernel.

Ia juga berlaku **** bahawa ia tidak kira perkhidmatan mana yang membuka port, apabila susunan rangkaian kernel itu sendiri terdedah. Maksudnya, mana-mana soket tcp/udp pada sistem berusia dua tahun terdedah kepada kerentanan yang membawa kepada DDoS.

Peningkatan serangan DDoS

Ia tidak akan menyebabkan sebarang kerosakan langsung, tetapi ia boleh menyumbat saluran anda, meningkatkan beban pada sistem, IP anda akan berada pada beberapa senarai hitam*****, dan anda akan menerima penyalahgunaan daripada hoster.

Adakah anda benar-benar memerlukan semua risiko ini? Tambahkan IP rumah dan tempat kerja anda pada senarai putih. Walaupun ia dinamik, log masuk melalui panel pentadbir hoster, melalui konsol web, dan hanya tambah satu lagi.

Saya telah membina dan melindungi infrastruktur IT selama 15 tahun. Saya telah membangunkan peraturan yang saya amat mengesyorkan kepada semua orang - tidak ada pelabuhan yang harus menonjol ke dunia tanpa senarai putih.

Contohnya, pelayan web yang paling selamat*** ialah yang membuka 80 dan 443 hanya untuk CDN/WAF. Dan port perkhidmatan (ssh, netdata, bacula, phpmyadmin) hendaklah sekurang-kurangnya berada di belakang senarai putih, dan lebih baik di belakang VPN. Jika tidak, anda berisiko dikompromi.

Itu sahaja yang saya ingin katakan. Pastikan pelabuhan anda ditutup!

  • (1) UPD1: ia adalah anda boleh menyemak kata laluan universal anda yang hebat (jangan lakukan ini tanpa menggantikan kata laluan ini dengan kata laluan rawak dalam semua perkhidmatan), sama ada ia muncul dalam pangkalan data gabungan. Dan di sini anda boleh melihat bilangan perkhidmatan yang digodam, tempat e-mel anda dimasukkan, dan, dengan itu, ketahui sama ada kata laluan universal anda telah terjejas.
  • (2) Untuk kredit Amazon, LightSail mempunyai imbasan minimum. Nampaknya mereka menapisnya entah bagaimana.
  • (3) Pelayan web yang lebih selamat adalah yang berada di belakang tembok api khusus, WAFnya sendiri, tetapi kita bercakap tentang VPS/Dedicated awam.
  • (4) Segmenmak.
  • (5) Firehol.

Hanya pengguna berdaftar boleh mengambil bahagian dalam tinjauan. Log masuk, Sama-sama.

Adakah port anda menonjol?

  • Sentiasa

  • Kadang-kadang

  • Jangan sekali-kali

  • Saya tidak tahu, fuck

54 pengguna telah mengundi. 6 pengguna berpantang.

Sumber: www.habr.com

Tambah komen