ProHoster > blog > Amministrazzjoni > Tiftaħx portijiet għad-dinja - inti tkun imkisser (riskji)

Tiftaħx portijiet għad-dinja - inti tkun imkisser (riskji)

Tiftaħx portijiet għad-dinja - inti tkun imkisser (riskji)

Għal darb'oħra, wara li wettaq verifika, bi tweġiba għar-rakkomandazzjonijiet tiegħi biex naħbi l-portijiet wara lista bajda, niltaqa 'ma' ħajt ta 'nuqqas ta' ftehim. Anke amministraturi/DevOps jibred ħafna jistaqsu: "Għaliex?!?"

Nipproponi li nikkunsidra r-riskji f'ordni dixxendenti ta' probabbiltà ta' okkorrenza u ħsara.

  1. Żball tal-konfigurazzjoni
  2. DDoS fuq IP
  3. Forza bruta
  4. Vulnerabbiltajiet tas-servizz
  5. Vulnerabbiltajiet tal-munzell tal-kernel
  6. Żieda fl-attakki DDoS

Żball tal-konfigurazzjoni

L-aktar sitwazzjoni tipika u perikoluża. Kif jiġri. L-iżviluppatur jeħtieġ li jittestja malajr l-ipoteżi; huwa jwaqqaf server temporanju b'mysql/redis/mongodb/elastic. Il-password, ovvjament, hija kumplessa, jużaha kullimkien. Jiftaħ is-servizz għad-dinja - huwa konvenjenti għalih li jgħaqqad mill-PC tiegħu mingħajr dawn il-VPN tiegħek. U jien għażżien wisq biex niftakar is-sintassi tal-iptables; is-server huwa temporanju xorta waħda. Ftit jiem oħra ta 'żvilupp - irriżulta tajjeb ħafna, nistgħu nuruha lill-klijent. Il-klijent jogħġobha, m'hemmx ħin biex terġa 'tagħmel dan, aħna nnieduha fi PROD!

Eżempju deliberatament esaġerat sabiex tgħaddi mill-rake kollu:

  1. M'hemm xejn aktar permanenti minn temporanju - ma nħobbx din il-frażi, iżda skont sentimenti suġġettivi, 20-40% ta 'servers temporanji bħal dawn jibqgħu għal żmien twil.
  2. Password universali kumplessa li tintuża f'ħafna servizzi hija ħażina. Minħabba li wieħed mis-servizzi fejn intużat din il-password seta’ ġie hacked. B'xi mod jew ieħor, id-databases tas-servizzi hacked qatgħa f'wieħed, li jintuża għal [forza bruta]*.
    Ta 'min iżżid li wara l-installazzjoni, redis, mongodb u elastiċi huma ġeneralment disponibbli mingħajr awtentikazzjoni, u ħafna drabi jerġgħu jimtlew ġbir ta’ databases miftuħa.
  3. Jista 'jidher li ħadd ma jiskennja l-port 3306 tiegħek fi ftit jiem. Huwa delużjoni! Masscan huwa skaner eċċellenti u jista 'skannja f'10M portijiet kull sekonda. U hemm biss 4 biljun IPv4 fuq l-Internet. Għaldaqstant, it-3306 portijiet kollha fuq l-Internet jinsabu f'7 minuti. Charles!!! Seba' minuti!
    "Min għandu bżonn dan?" - inti toġġezzjona. Allura ninsab sorpriż meta nħares lejn l-istatistika ta 'pakketti mwaqqfa. Minn fejn jiġu 40 elf tentattiv ta' skennjar minn 3 elf IP uniċi kuljum? Issa kulħadd qed jiskenja, mill-hackers tal-omm sal-gvernijiet. Huwa faċli ħafna li tiċċekkja - ħu kwalunkwe VPS għal $ 3-5 minn kwalunkwe ** linja tal-ajru bi prezz baxx, ppermetti l-illoggjar ta 'pakketti mwaqqfa u ħares lejn il-log f'ġurnata.

Jippermetti l-illoggjar

F'/etc/iptables/rules.v4 żid fl-aħħar:
-A INPUT -j LOG --log-prefiss "[FW - KOLLHA] " --log-livell 4

U f'/etc/rsyslog.d/10-iptables.conf
:msg,fih,"[FW - " /var/log/iptables.log
& waqfa

DDoS fuq IP

Jekk attakkant ikun jaf l-IP tiegħek, jista' jaħtaf is-server tiegħek għal diversi sigħat jew jiem. Mhux il-fornituri kollha ta 'hosting bi prezz baxx għandhom protezzjoni DDoS u s-server tiegħek sempliċement jiġi skonnettjat min-netwerk. Jekk ħbejt is-server tiegħek wara CDN, tinsiex tibdel l-IP, inkella hacker se jfittex fuq Google u DDoS is-server tiegħek jinjora s-CDN (żball popolari ħafna).

Vulnerabbiltajiet tas-servizz

Is-softwer popolari kollu llum jew għada jsib żbalji, anke dawk l-aktar ittestjati u kritiċi. Fost l-ispeċjalisti tal-IB, hemm nofs ċajta - is-sigurtà tal-infrastruttura tista 'tiġi vvalutata b'mod sikur sal-ħin tal-aħħar aġġornament. Jekk l-infrastruttura tiegħek hija rikka f'portijiet li joħorġu fid-dinja, u ma aġġornajtx għal sena, allura kwalunkwe speċjalista tas-sigurtà jgħidlek mingħajr ma tħares li inti leaky, u x'aktarx diġà ġie hacked.
Ta’ min isemmi wkoll li l-vulnerabbiltajiet kollha magħrufa darba ma kinux magħrufa. Immaġina hacker li sab vulnerabbiltà bħal din u skennja l-Internet kollu f'7 minuti għall-preżenza tiegħu... Hawnhekk hawn epidemija ta 'virus ġdida) Għandna bżonn naġġornaw, iżda dan jista' jagħmel ħsara lill-prodott, tgħid. U jkollok raġun jekk il-pakketti ma jkunux installati mir-repożitorji uffiċjali tal-OS. Mill-esperjenza, aġġornamenti mir-repożitorju uffiċjali rarament ikissru l-prodott.

Forza bruta

Kif deskritt hawn fuq, hemm database b'nofs biljun password li huma konvenjenti biex tittajpja mit-tastiera. Fi kliem ieħor, jekk ma ġġenerajtx password, iżda ttajpjat simboli ħdejn it-tastiera, ibqa' ċert* li se jħawduk.

Vulnerabbiltajiet tal-munzell tal-kernel.

Jiġri wkoll **** li lanqas jimpurta liema servizz jiftaħ il-port, meta l-munzell tan-netwerk tal-kernel innifsu huwa vulnerabbli. Jiġifieri, assolutament kwalunkwe socket tcp/udp fuq sistema ta 'sentejn huwa suxxettibbli għal vulnerabbiltà li twassal għal DDoS.

Żieda fl-attakki DDoS

Mhux se jikkawża l-ebda ħsara diretta, iżda jista 'jgħaqqad il-kanal tiegħek, iżid it-tagħbija fuq is-sistema, l-IP tiegħek jispiċċa fuq xi lista sewda*****, u int tirċievi abbuż mingħand min jospita.

Tassew għandek bżonn dawn ir-riskji kollha? Żid l-IP tad-dar u tax-xogħol tiegħek mal-lista bajda. Anke jekk huwa dinamiku, idħol permezz tal-pannell tal-amministrazzjoni tal-hoster, permezz tal-console tal-web, u żid ieħor.

Ilni nibni u nipproteġi l-infrastruttura tal-IT għal 15-il sena. Żviluppajt regola li nirrakkomanda bil-qawwa lil kulħadd - ebda port m'għandu joħroġ fid-dinja mingħajr white-list.

Pereżempju, is-server tal-web l-aktar sigur*** huwa dak li jiftaħ 80 u 443 biss għal CDN/WAF. U l-portijiet tas-servizz (ssh, netdata, bacula, phpmyadmin) għandhom ikunu mill-inqas wara l-lista bajda, u saħansitra aħjar wara l-VPN. Inkella, tirriskja li tiġi kompromessa.

Dak kollu ridt ngħid. Żomm il-portijiet tiegħek magħluqa!

  • (1) UPD1: Hawnhekk tista' tiċċekkja l-password universali tiegħek (tagħmel dan mingħajr ma tissostitwixxi din il-password b'waħda każwali fis-servizzi kollha), kemm jekk dehret fid-database magħquda. U hawn tista 'tara kemm servizzi ġew hacked, fejn l-email tiegħek kienet inkluża, u, għalhekk, issir taf jekk il-password universali tiegħek friska ġietx kompromessa.
  • (2) Għall-kreditu ta 'Amazon, LightSail għandu skans minimi. Apparentement jiffiltrawh b'xi mod.
  • (3) Web server saħansitra aktar sigur huwa dak wara firewall iddedikat, il-WAF tiegħu stess, iżda qed nitkellmu dwar VPS/Dedikat pubbliku.
  • (4) Segmentsmak.
  • (5) Firehol.

Utenti reġistrati biss jistgħu jipparteċipaw fl-istħarriġ. Idħol, ta 'xejn.

Il-portijiet tiegħek joħorġu?

  • Dejjem

  • Kultant

  • Qatt

  • Ma nafx, fuck

54 utent ivvutaw. 6-il utent astjenew.

Sors: www.habr.com

Żid kumment