ProHoster > Blog > administração > Não abra portas para o mundo - você será quebrado (riscos)

Não abra portas para o mundo - você será quebrado (riscos)

Não abra portas para o mundo - você será quebrado (riscos)

Repetidas vezes, depois de realizar uma auditoria, em resposta às minhas recomendações para ocultar os portos atrás de uma lista branca, deparo-me com um muro de mal-entendidos. Até administradores/DevOps muito legais perguntam: “Por quê?!?”

Proponho considerar os riscos em ordem decrescente de probabilidade de ocorrência e dano.

  1. Erro de configuração
  2. DDoS sobre IP
  3. força bruta
  4. Vulnerabilidades de serviço
  5. Vulnerabilidades da pilha do kernel
  6. Aumento de ataques DDoS

Erro de configuração

A situação mais típica e perigosa. Como isso acontece. O desenvolvedor precisa testar rapidamente a hipótese; ele configura um servidor temporário com mysql/redis/mongodb/elastic. A senha, claro, é complexa, ele a usa em todos os lugares. Ele abre o serviço para o mundo - é conveniente para ele se conectar de seu PC sem essas suas VPNs. E estou com preguiça de lembrar a sintaxe do iptables; o servidor é temporário de qualquer maneira. Mais alguns dias de desenvolvimento - ficou ótimo, podemos mostrar ao cliente. O cliente gosta, não dá tempo de refazer, lançamos no PROD!

Um exemplo deliberadamente exagerado para passar por todo o rake:

  1. Não há nada mais permanente do que temporário - não gosto dessa frase, mas de acordo com sentimentos subjetivos, 20-40% desses servidores temporários permanecem por muito tempo.
  2. Uma senha universal complexa usada em muitos serviços é maligna. Porque um dos serviços onde esta senha foi usada pode ter sido hackeado. De uma forma ou de outra, os bancos de dados de serviços hackeados se aglomeram em um só, que é usado para [força bruta]*.
    Vale acrescentar que após a instalação, redis, mongodb e elastic geralmente estão disponíveis sem autenticação e são frequentemente reabastecidos coleção de bancos de dados abertos.
  3. Pode parecer que ninguém fará a varredura da sua porta 3306 em alguns dias. É uma ilusão! Masscan é um excelente scanner e pode digitalizar 10 milhões de portas por segundo. E existem apenas 4 bilhões de IPv4 na Internet. Assim, todas as 3306 portas da Internet estão localizadas em 7 minutos. Carlos!!! Sete minutos!
    “Quem precisa disso?” - você se opõe. Portanto, fico surpreso quando vejo as estatísticas de pacotes descartados. De onde vêm 40 mil tentativas de varredura de 3 mil IPs únicos por dia? Agora todo mundo está escaneando, desde hackers de mães até governos. É muito fácil verificar: pegue qualquer VPS por US$ 3-5 de qualquer** companhia aérea de baixo custo, habilite o registro de pacotes descartados e veja o registro em um dia.

Habilitando o registro em log

Em /etc/iptables/rules.v4 adicione no final:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4

E em /etc/rsyslog.d/10-iptables.conf
:msg, contém,"[FW - " /var/log/iptables.log
& parar

DDoS sobre IP

Se um invasor souber o seu IP, ele poderá sequestrar seu servidor por várias horas ou dias. Nem todos os provedores de hospedagem de baixo custo possuem proteção DDoS e seu servidor simplesmente será desconectado da rede. Se você escondeu seu servidor atrás de um CDN, não se esqueça de alterar o IP, caso contrário, um hacker irá pesquisá-lo no Google e fazer um DDoS em seu servidor, ignorando o CDN (um erro muito comum).

Vulnerabilidades de serviço

Todos os softwares populares, mais cedo ou mais tarde, encontram erros, mesmo os mais testados e críticos. Entre os especialistas em IB, há uma meia piada - a segurança da infraestrutura pode ser avaliada com segurança no momento da última atualização. Se sua infraestrutura é rica em portas espalhadas pelo mundo e você não a atualiza há um ano, qualquer especialista em segurança lhe dirá, sem olhar, que você está com vazamento e provavelmente já foi hackeado.
Vale ressaltar também que todas as vulnerabilidades conhecidas já foram desconhecidas. Imagine um hacker que encontrou tal vulnerabilidade e escaneou toda a Internet em busca de sua presença em 7 minutos... Aqui está uma nova epidemia de vírus) Precisamos atualizar, mas isso pode prejudicar o produto, você diz. E você estará certo se os pacotes não forem instalados a partir dos repositórios oficiais do sistema operacional. Por experiência própria, as atualizações do repositório oficial raramente quebram o produto.

força bruta

Conforme descrito acima, existe um banco de dados com meio bilhão de senhas que são convenientes para digitar no teclado. Em outras palavras, se você não gerou uma senha, mas digitou símbolos adjacentes no teclado, fique tranquilo* pois eles irão confundi-lo.

Vulnerabilidades da pilha do kernel.

Também acontece que nem importa qual serviço abre a porta, quando a própria pilha de rede do kernel está vulnerável. Ou seja, absolutamente qualquer soquete tcp/udp em um sistema com dois anos de idade é suscetível a uma vulnerabilidade que leva a DDoS.

Aumento de ataques DDoS

Não causará nenhum dano direto, mas pode obstruir seu canal, aumentar a carga do sistema, seu IP acabará em alguma lista negra ***** e você receberá abusos do hoster.

Você realmente precisa de todos esses riscos? Adicione seu IP residencial e comercial à lista branca. Mesmo que seja dinâmico, faça login pelo painel de administração do hoster, pelo console web, e basta adicionar outro.

Venho construindo e protegendo infraestrutura de TI há 15 anos. Desenvolvi uma regra que recomendo fortemente a todos - nenhum porto deveria se destacar no mundo sem uma lista branca.

Por exemplo, o servidor web mais seguro*** é aquele que abre 80 e 443 apenas para CDN/WAF. E as portas de serviço (ssh, netdata, bacula, phpmyadmin) devem estar pelo menos atrás da lista branca, e melhor ainda, atrás da VPN. Caso contrário, você corre o risco de ficar comprometido.

Isso é tudo que eu queria dizer. Mantenha seus portos fechados!

  • (1) UPD1: é você pode verificar sua senha universal legal (não faça isso sem substituir esta senha por uma aleatória em todos os serviços), se ele apareceu no banco de dados mesclado. E aqui você pode ver quantos serviços foram hackeados, onde seu e-mail foi incluído e, consequentemente, descobrir se sua senha universal legal foi comprometida.
  • (2) Para crédito da Amazon, o LightSail possui varreduras mínimas. Aparentemente eles filtram de alguma forma.
  • (3) Um servidor web ainda mais seguro é aquele atrás de um firewall dedicado, seu próprio WAF, mas estamos falando de VPS/Dedicado público.
  • (4) Segmentação.
  • (5) Firehol.

Apenas usuários registrados podem participar da pesquisa. Entrarpor favor

Suas portas se destacam?

  • Sempre

  • As vezes

  • Nunca

  • Eu não sei, porra

54 usuários votaram. 6 usuários se abstiveram.

Fonte: habr.com

Adicionar um comentário