ProHoster > blog > administratie > Open geen poorten voor de wereld - u zult gebroken worden (risico's)

Open geen poorten voor de wereld - u zult gebroken worden (risico's)

Open geen poorten voor de wereld - u zult gebroken worden (risico's)

Keer op keer, na het uitvoeren van een audit, als reactie op mijn aanbevelingen om de havens achter een witte lijst te verbergen, stuit ik op een muur van misverstanden. Zelfs hele coole admins/DevOps vragen: “Waarom?!?”

Ik stel voor om risico's te beschouwen in afnemende volgorde van waarschijnlijkheid van optreden en schade.

  1. Configuratiefout
  2. DDoS over IP
  3. brute kracht
  4. Kwetsbaarheden in de dienstverlening
  5. Kwetsbaarheden in de kernelstack
  6. Toegenomen DDoS-aanvallen

Configuratiefout

De meest typische en gevaarlijke situatie. Hoe het gebeurt. De ontwikkelaar moet de hypothese snel testen; hij zet een tijdelijke server op met mysql/redis/mongodb/elastic. Het wachtwoord is natuurlijk complex, hij gebruikt het overal. Het opent de service voor de wereld - het is handig voor hem om verbinding te maken vanaf zijn pc zonder deze VPN's van jou. En ik ben te lui om de syntaxis van iptables te onthouden; de server is sowieso tijdelijk. Nog een paar dagen ontwikkeling - het is geweldig geworden, we kunnen het aan de klant laten zien. De klant vindt het leuk, er is geen tijd om het opnieuw te doen, we lanceren het in PROD!

Een voorbeeld opzettelijk overdreven om alle rake door te nemen:

  1. Er is niets permanenter dan tijdelijk - ik hou niet van deze zin, maar volgens subjectieve gevoelens blijft 20-40% van dergelijke tijdelijke servers lange tijd bestaan.
  2. Een complex universeel wachtwoord dat in veel diensten wordt gebruikt, is kwaadaardig. Omdat een van de diensten waar dit wachtwoord werd gebruikt, mogelijk gehackt was. Op de een of andere manier komen de databases van gehackte diensten samen in één database, die wordt gebruikt voor [brute force]*.
    Het is de moeite waard hieraan toe te voegen dat redis, mongodb en elastic na installatie over het algemeen zonder authenticatie beschikbaar zijn en vaak worden aangevuld verzameling van open databases.
  3. Het lijkt misschien dat niemand uw 3306-poort binnen een paar dagen zal scannen. Het is een waanidee! Masscan is een uitstekende scanner en kan scannen met 10 miljoen poorten per seconde. En er zijn slechts 4 miljard IPv4 op internet. Dienovereenkomstig bevinden alle 3306 poorten op internet zich in 7 minuten. Karel!!! Zeven minuten!
    “Wie heeft dit nodig?” - u maakt bezwaar. Ik ben dus verrast als ik naar de statistieken van gevallen pakketten kijk. Waar komen 40 scanpogingen van 3 unieke IP’s per dag vandaan? Nu is iedereen aan het scannen, van moeders hackers tot overheden. Het is heel eenvoudig te controleren: neem een ​​VPS voor €3-5 van een goedkope luchtvaartmaatschappij**, schakel het loggen van gedropte pakketten in en bekijk het logbestand per dag.

Logboekregistratie inschakelen

Voeg in /etc/iptables/rules.v4 toe aan het einde:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-niveau 4

En in /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - "/var/log/iptables.log
& stop

DDoS over IP

Als een aanvaller uw IP kent, kan hij uw server enkele uren of dagen lang kapen. Niet alle goedkope hostingproviders hebben DDoS-bescherming en uw server wordt eenvoudigweg losgekoppeld van het netwerk. Als je je server achter een CDN hebt verborgen, vergeet dan niet het IP-adres te wijzigen, anders zal een hacker het googlen en je server in DDoS-modus het CDN omzeilen (een zeer populaire fout).

Kwetsbaarheden in de dienstverlening

Alle populaire software ontdekt vroeg of laat fouten, zelfs de meest geteste en kritische software. Onder IB-specialisten is er een halve grap: de veiligheid van de infrastructuur kan veilig worden beoordeeld op het moment van de laatste update. Als uw infrastructuur rijk is aan poorten die de wereld in steken, en u heeft deze al een jaar niet bijgewerkt, dan zal elke beveiligingsspecialist u zonder te kijken vertellen dat u lek bent en hoogstwaarschijnlijk al bent gehackt.
Het is ook vermeldenswaard dat alle bekende kwetsbaarheden ooit onbekend waren. Stel je een hacker voor die zo'n kwetsbaarheid heeft gevonden en in 7 minuten het hele internet heeft gescand op de aanwezigheid ervan... Hier is een nieuwe virusepidemie) We moeten updaten, maar dit kan het product beschadigen, zegt u. En je hebt gelijk als de pakketten niet vanuit de officiële besturingssysteemrepository's worden geïnstalleerd. Uit ervaring blijkt dat updates uit de officiële repository het product zelden kapot maken.

brute kracht

Zoals hierboven beschreven, is er een database met een half miljard wachtwoorden die gemakkelijk vanaf het toetsenbord kunnen worden getypt. Met andere woorden: als u geen wachtwoord heeft gegenereerd, maar aangrenzende symbolen op het toetsenbord hebt getypt, kunt u er zeker van* zijn dat ze u in verwarring zullen brengen.

Kwetsbaarheden in de kernelstack.

Het komt ook voor dat het niet eens uitmaakt welke service de poort opent, als de kernelnetwerkstack zelf kwetsbaar is. Dat wil zeggen dat absoluut elke tcp/udp-socket op een twee jaar oud systeem vatbaar is voor een kwetsbaarheid die tot DDoS kan leiden.

Toegenomen DDoS-aanvallen

Het veroorzaakt geen directe schade, maar het kan je kanaal verstoppen, de belasting van het systeem verhogen, je IP komt op een zwarte lijst***** terecht en je krijgt misbruik van de hoster.

Heb je al deze risico’s echt nodig? Voeg uw thuis- en werk-IP toe aan de witte lijst. Zelfs als het dynamisch is, logt u in via het beheerderspaneel van de host, via de webconsole en voegt u er gewoon nog een toe.

Ik bouw en beveilig al 15 jaar een IT-infrastructuur. Ik heb een regel ontwikkeld die ik iedereen ten zeerste aanbeveel: geen enkele haven zou de wereld in moeten gaan zonder een witte lijst.

De veiligste webserver*** is bijvoorbeeld degene die 80 en 443 alleen opent voor CDN/WAF. En servicepoorten (ssh, netdata, bacula, phpmyadmin) zouden op zijn minst achter de witte lijst moeten staan, en nog beter achter de VPN. Anders loopt u het risico gecompromitteerd te worden.

Dat is alles wat ik wilde zeggen. Houd uw havens gesloten!

  • (1) UPD1: Hier u kunt uw coole universele wachtwoord controleren (doe dit niet zonder dit wachtwoord in alle services te vervangen door een willekeurig wachtwoord), of deze in de samengevoegde database voorkomt. En hier u kunt zien hoeveel services zijn gehackt, waar uw e-mailadres is opgenomen, en dienovereenkomstig ontdekken of uw coole universele wachtwoord is gecompromitteerd.
  • (2) Het strekt Amazon tot eer dat LightSail minimale scans heeft. Blijkbaar filteren ze het op de een of andere manier.
  • (3) Een nog veiligere webserver is die achter een speciale firewall, een eigen WAF, maar we hebben het over openbare VPS/Dedicated.
  • (4) Segmentmak.
  • (5) Vuurhol.

Alleen geregistreerde gebruikers kunnen deelnemen aan het onderzoek. Inloggen, Alsjeblieft.

steken uw poorten uit?

  • altijd

  • Soms

  • Nooit

  • Ik weet het niet, verdomme

54 gebruikers hebben gestemd. 6 gebruikers onthielden zich van stemming.

Bron: www.habr.com

Voeg een reactie