ProHoster > BLOG > administrare > Nu deschide porturi către lume - vei fi stricat (riscuri)

Nu deschide porturi către lume - vei fi stricat (riscuri)

Nu deschide porturi către lume - vei fi stricat (riscuri)

Din când în când, după efectuarea unui audit, ca răspuns la recomandările mele de a ascunde porturile în spatele unei liste albe, mă întâlnesc cu un zid de neînțelegere. Chiar și administratorii/DevOps foarte cool întreabă: „De ce?!?”

Propun să luăm în considerare riscurile în ordinea descrescătoare a probabilității de apariție și a daunelor.

  1. Eroare de configurare
  2. DDoS prin IP
  3. Forta bruta
  4. Vulnerabilitatea serviciului
  5. Vulnerabilitățile stivei de kernel
  6. Creșterea atacurilor DDoS

Eroare de configurare

Cea mai tipică și periculoasă situație. Cum se întâmplă. Dezvoltatorul trebuie să testeze rapid ipoteza; el creează un server temporar cu mysql/redis/mongodb/elastic. Parola, desigur, este complexă, o folosește peste tot. Deschide serviciul către lume - este convenabil pentru el să se conecteze de la computerul său fără aceste VPN-uri ale tale. Și îmi este prea lene să-mi amintesc sintaxa iptables; serverul este oricum temporar. Încă câteva zile de dezvoltare - a ieșit grozav, îl putem arăta clientului. Clientului îi place, nu este timp să-l refacă, îl lansăm în PROD!

Un exemplu exagerat în mod deliberat pentru a trece prin toată grebla:

  1. Nu există nimic mai permanent decât temporar - nu-mi place această frază, dar conform sentimentelor subiective, 20-40% dintre astfel de servere temporare rămân mult timp.
  2. O parolă universală complexă care este folosită în multe servicii este diabolică. Pentru că unul dintre serviciile în care a fost folosită această parolă ar fi putut fi piratat. Într-un fel sau altul, bazele de date ale serviciilor piratate se adună într-una, care este folosită pentru [forța brută]*.
    Merită adăugat că, după instalare, redis, mongodb și elastic sunt în general disponibile fără autentificare și sunt adesea completate colecție de baze de date deschise.
  3. Poate părea că nimeni nu vă va scana portul 3306 în câteva zile. Este o iluzie! Masscan este un scaner excelent și poate scana la 10 milioane de porturi pe secundă. Și există doar 4 miliarde de IPv4 pe Internet. În consecință, toate cele 3306 porturi de pe Internet sunt localizate în 7 minute. Charles!!! Șapte minute!
    „Cine are nevoie de asta?” - obiectezi. Așa că sunt surprins când mă uit la statisticile pachetelor abandonate. De unde provin 40 de mii de încercări de scanare de la 3 mii de IP-uri unice pe zi? Acum toată lumea scanează, de la hackerii mamei până la guverne. Este foarte ușor de verificat - luați orice VPS pentru 3-5 USD de la orice** companie aeriană low-cost, activați înregistrarea pachetelor abandonate și priviți jurnalul într-o zi.

Se activează înregistrarea

În /etc/iptables/rules.v4 adăugați la sfârșit:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4

Și în /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - "/var/log/iptables.log
& Stop

DDoS prin IP

Dacă un atacator vă cunoaște IP-ul, vă poate deturna serverul pentru câteva ore sau zile. Nu toți furnizorii de găzduire low-cost au protecție DDoS și serverul dvs. va fi pur și simplu deconectat de la rețea. Dacă v-ați ascuns serverul în spatele unui CDN, nu uitați să schimbați IP-ul, altfel un hacker îl va căuta pe google și va DDoS serverul dvs. ocolind CDN-ul (o greșeală foarte populară).

Vulnerabilitatea serviciului

Toate programele populare găsesc mai devreme sau mai târziu erori, chiar și cele mai testate și critice. Printre specialiștii IB, există o jumătate de glumă - securitatea infrastructurii poate fi evaluată în siguranță până la ultima actualizare. Dacă infrastructura dvs. este bogată în porturi care ies în lume și nu ați actualizat-o de un an, atunci orice specialist în securitate vă va spune fără să vă uitați că aveți scurgeri și, cel mai probabil, ați fost deja piratați.
De asemenea, merită menționat faptul că toate vulnerabilitățile cunoscute au fost cândva necunoscute. Imaginați-vă un hacker care a găsit o astfel de vulnerabilitate și a scanat întregul Internet în 7 minute pentru prezența acestuia... Iată o nouă epidemie de virus) Trebuie să facem update, dar acest lucru poate dăuna produsului, spuneți dumneavoastră. Și veți avea dreptate dacă pachetele nu sunt instalate din depozitele oficiale ale sistemului de operare. Din experiență, actualizările din depozitul oficial rar rup produsul.

Forta bruta

După cum este descris mai sus, există o bază de date cu jumătate de miliard de parole care sunt convenabile de tastat de la tastatură. Cu alte cuvinte, dacă nu ai generat o parolă, ci ai tastat simboluri adiacente pe tastatură, fii sigur* că te vor încurca.

Vulnerabilitățile stivei de kernel.

De asemenea, se întâmplă **** că nici măcar nu contează ce serviciu deschide portul, când stiva de rețea a nucleului în sine este vulnerabilă. Adică, absolut orice socket tcp/udp de pe un sistem vechi de doi ani este susceptibil la o vulnerabilitate care duce la DDoS.

Creșterea atacurilor DDoS

Nu va provoca daune directe, dar vă poate înfunda canalul, crește încărcarea sistemului, IP-ul dvs. va ajunge pe o listă neagră***** și veți primi abuz de la hoster.

Chiar ai nevoie de toate aceste riscuri? Adăugați IP-ul dvs. de acasă și de la locul de muncă pe lista albă. Chiar dacă este dinamic, conectați-vă prin panoul de administrare al hosterului, prin consola web și adăugați încă unul.

Construiesc și protejez infrastructura IT de 15 ani. Am dezvoltat o regulă pe care o recomand cu căldură tuturor - niciun port nu ar trebui să iasă în lume fără o listă albă.

De exemplu, cel mai sigur server web*** este cel care deschide 80 și 443 doar pentru CDN/WAF. Și porturile de servicii (ssh, netdata, bacula, phpmyadmin) ar trebui să fie cel puțin în spatele listei albe și chiar mai bine în spatele VPN-ului. Altfel, riști să fii compromis.

Atât am vrut să spun. Țineți-vă porturile închise!

  • (1) UPD1: Aici vă puteți verifica parola universală (nu faceți acest lucru fără a înlocui această parolă cu una aleatorie în toate serviciile), indiferent dacă a apărut în baza de date îmbinată. Si aici puteți vedea câte servicii au fost piratate, unde a fost inclus e-mailul dvs. și, în consecință, puteți afla dacă parola dvs. universală cool a fost compromisă.
  • (2) Spre creditul Amazon, LightSail are scanări minime. Se pare că îl filtrează cumva.
  • (3) Un server web și mai sigur este cel din spatele unui firewall dedicat, propriul WAF, dar vorbim de VPS public/Dedicat.
  • (4) Segmentsmak.
  • (5) Firehol.

Numai utilizatorii înregistrați pot participa la sondaj. Loghează-te, Vă rog.

Ies porturile tale?

  • mereu

  • uneori

  • Niciodată

  • Nu știu, la naiba

Au votat 54 de utilizatori. 6 utilizatori s-au abținut.

Sursa: www.habr.com

Adauga un comentariu