ProHoster > Blog > administracja > Nie otwieraj portów na świat - zostaniesz złamany (ryzyko)

Nie otwieraj portów na świat - zostaniesz złamany (ryzyko)

Nie otwieraj portów na świat - zostaniesz złamany (ryzyko)

Raz po raz po przeprowadzeniu audytu w odpowiedzi na moje zalecenia, aby ukryć porty za białą listą, spotykam się ze ścianą nieporozumień. Nawet bardzo fajni administratorzy/DevOps pytają: „Dlaczego?!?”

Proponuję rozważyć ryzyko w kolejności malejącego prawdopodobieństwa wystąpienia i szkody.

  1. Błąd konfiguracji
  2. DDoS przez IP
  3. brutalna siła
  4. Luki w zabezpieczeniach usług
  5. Luki w stosie jądra
  6. Zwiększona liczba ataków DDoS

Błąd konfiguracji

Najbardziej typowa i niebezpieczna sytuacja. Jak to się dzieje. Programista musi szybko przetestować hipotezę; konfiguruje tymczasowy serwer z mysql/redis/mongodb/elastic. Hasło oczywiście jest skomplikowane, używa go wszędzie. Otwiera usługę na cały świat - wygodnie jest mu łączyć się ze swojego komputera bez tych twoich VPN. Jestem zbyt leniwy, aby zapamiętać składnię iptables; serwer i tak jest tymczasowy. Jeszcze kilka dni rozwoju - wyszło świetnie, możemy to pokazać klientowi. Klientowi się podoba, nie ma czasu na przerabianie, uruchamiamy w PROD!

Przykład celowo przesadzony, aby przejść przez cały rake:

  1. Nie ma nic trwalszego niż tymczasowe – nie podoba mi się to określenie, ale według subiektywnych odczuć 20-40% takich serwerów tymczasowych pozostaje na dłużej.
  2. Złożone uniwersalne hasło używane w wielu usługach jest złe. Ponieważ jedna z usług, w których użyto tego hasła, mogła zostać zhakowana. Tak czy inaczej, bazy danych zhakowanych usług gromadzą się w jedną, która jest wykorzystywana do [brutalnej siły]*.
    Warto dodać, że po instalacji redis, mongodb i Elastic są ogólnie dostępne bez uwierzytelniania i często są uzupełniane zbiór otwartych baz danych.
  3. Może się wydawać, że za kilka dni nikt nie będzie skanował Twojego portu 3306. To złudzenie! Masscan to doskonały skaner, który może skanować z szybkością 10M portów na sekundę. A w Internecie jest tylko 4 miliardy IPv4. W związku z tym wszystkie 3306 portów w Internecie znajdują się w 7 minut. Karol!!! Siedem minut!
    „Kto tego potrzebuje?” - sprzeciwiasz się. Dlatego dziwię się, gdy patrzę na statystyki upuszczonych paczek. Skąd bierze się 40 tysięcy prób skanowania z 3 tysięcy unikalnych adresów IP dziennie? Teraz wszyscy skanują, od hakerów mamy po rządy. Bardzo łatwo to sprawdzić - weź dowolny VPS za 3-5 $ od dowolnej** taniej linii lotniczej, włącz rejestrację upuszczonych przesyłek i przeglądaj log w ciągu jednego dnia.

Włączanie rejestrowania

W /etc/iptables/rules.v4 dodaj na końcu:
-A WEJŚCIE -j LOG --przedrostek-loga "[FW - WSZYSTKO] " --poziom-loga 4

Oraz w /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - " /var/log/iptables.log
& zatrzymywać się

DDoS przez IP

Jeśli atakujący zna Twój adres IP, może przejąć kontrolę nad Twoim serwerem na kilka godzin lub dni. Nie wszyscy tani dostawcy usług hostingowych mają ochronę DDoS i Twój serwer zostanie po prostu odłączony od sieci. Jeśli ukryłeś swój serwer za CDN, nie zapomnij zmienić adresu IP, w przeciwnym razie haker wyszuka go w Google i wykona DDoS na Twoim serwerze z pominięciem CDN (bardzo popularny błąd).

Luki w zabezpieczeniach usług

Każde popularne oprogramowanie prędzej czy później znajdzie błędy, nawet te najbardziej przetestowane i krytyczne. Wśród specjalistów IB panuje półżart – bezpieczeństwo infrastruktury można bezpiecznie ocenić do czasu ostatniej aktualizacji. Jeśli Twoja infrastruktura jest bogata w porty wystające w świat, a nie aktualizowałeś jej od roku, to każdy specjalista ds. bezpieczeństwa powie Ci bez patrzenia, że ​​jesteś nieszczelny i najprawdopodobniej zostałeś już zhakowany.
Warto również wspomnieć, że wszystkie znane luki były kiedyś nieznane. Wyobraź sobie hakera, który znalazł taką lukę i w ciągu 7 minut przeskanował cały Internet w poszukiwaniu jej obecności... Oto nowa epidemia wirusów) Musimy zaktualizować, ale to może zaszkodzić produktowi, mówisz. I będziesz mieć rację, jeśli pakiety nie zostaną zainstalowane z oficjalnych repozytoriów systemu operacyjnego. Z doświadczenia wynika, że ​​aktualizacje z oficjalnego repozytorium rzadko psują produkt.

brutalna siła

Jak opisano powyżej, istnieje baza danych zawierająca pół miliarda haseł, które można wygodnie wpisać z klawiatury. Innymi słowy, jeśli nie wygenerowałeś hasła, ale wpisałeś na klawiaturze sąsiednie symbole, możesz być pewien*, że zostaniesz okradziony.

Luki w stosie jądra.

Zdarza się też ****, że nie ma znaczenia, która usługa otworzy port, gdy sam stos sieciowy jądra jest podatny na ataki. Oznacza to, że absolutnie każde gniazdo TCP/udp w dwuletnim systemie jest podatne na lukę prowadzącą do DDoS.

Zwiększona liczba ataków DDoS

Nie spowoduje to żadnych bezpośrednich szkód, ale może zablokować Twój kanał, zwiększyć obciążenie systemu, Twoje IP wyląduje na jakiejś czarnej liście***** i będziesz spotykał się z nadużyciami ze strony hostera.

Czy naprawdę potrzebujesz tego całego ryzyka? Dodaj swój domowy i służbowy adres IP do białej listy. Nawet jeśli jest dynamiczny, zaloguj się przez panel administracyjny hosta, przez konsolę internetową i po prostu dodaj kolejny.

Od 15 lat zajmuję się budową i zabezpieczeniem infrastruktury IT. Wypracowałem sobie zasadę, którą gorąco wszystkim polecam – żaden port nie powinien wystawać na zewnątrz bez białej listy.

Na przykład najbezpieczniejszy serwer WWW*** to ten, który otwiera 80 i 443 tylko dla CDN/WAF. A porty usług (ssh, netdata, bacula, phpmyadmin) powinny znajdować się przynajmniej za białą listą, a jeszcze lepiej za VPN. W przeciwnym razie ryzykujesz, że zostaniesz narażony na szwank.

To wszystko, co chciałem powiedzieć. Trzymaj porty zamknięte!

  • (1) UPD1: Tutaj możesz sprawdzić swoje fajne uniwersalne hasło (nie rób tego bez zastąpienia tego hasła losowym we wszystkich usługach), niezależnie od tego, czy pojawił się w połączonej bazie danych. I tu możesz zobaczyć, ile usług zostało zhakowanych, gdzie znalazł się Twój adres e-mail, a co za tym idzie, dowiedzieć się, czy Twoje fajne uniwersalne hasło zostało naruszone.
  • (2) Trzeba przyznać, że Amazon LightSail wykonuje minimalne skany. Widocznie jakoś to filtrują.
  • (3) Jeszcze bezpieczniejszy serwer WWW to ten za dedykowaną zaporą sieciową, z własnym WAF, ale mówimy o publicznym VPS/Dedykowanym.
  • (4) Segmentsmak.
  • (5) Ogień.

W ankiecie mogą brać udział tylko zarejestrowani użytkownicy. Zaloguj się, Proszę.

Czy Twoje porty wystają?

  • Zawsze

  • Czasami

  • Nigdy

  • Nie wiem, kurwa

Głosowało 54 użytkowników. 6 użytkowników wstrzymało się od głosu.

Źródło: www.habr.com

Dodaj komentarz