Po opravljeni reviziji vedno znova naletim na zid nerazumevanja kot odgovor na moja priporočila, naj skrijem vrata za belim seznamom. Tudi zelo kul skrbniki/DevOps vprašajo: "Zakaj?!?"
Predlagam, da se tveganja obravnavajo v padajočem vrstnem redu glede na verjetnost nastanka in škode.
- Napaka konfiguracije
- DDoS prek IP-ja
- Surova sila
- Ranljivosti storitve
- Ranljivosti sklada jedra
- Povečano število napadov DDoS
Napaka konfiguracije
Najbolj tipična in nevarna situacija. Kako se zgodi. Razvijalec mora hitro preizkusiti hipotezo; nastavi začasni strežnik z mysql/redis/mongodb/elastic. Geslo je seveda zapleteno, uporablja ga povsod. Storitev odpre svetu - zanj je priročno, da se poveže s svojega računalnika brez teh vaših VPN-jev. In sem prelen, da bi si zapomnil sintakso iptables; strežnik je tako ali tako začasen. Še nekaj dni razvoja - izkazalo se je odlično, lahko ga pokažemo stranki. Stranki je všeč, ni časa za prenovo, lansiramo ga v PROD!
Namenoma pretiran primer, da bi šli skozi vse rake:
- Nič ni bolj trajnega kot začasno - ta besedna zveza mi ni všeč, vendar po subjektivnih občutkih 20-40% takih začasnih strežnikov ostane dolgo časa.
- Zapleteno univerzalno geslo, ki se uporablja v številnih storitvah, je zlo. Ker je bila ena od storitev, kjer je bilo uporabljeno to geslo, lahko vlomljena. Tako ali drugače se baze podatkov vdrtih storitev združijo v eno, ki se uporablja za [surovo silo]*.
Vredno je dodati, da so po namestitvi redis, mongodb in elastik na splošno na voljo brez preverjanja pristnosti in se pogosto dopolnjujejo . - Morda se zdi, da v nekaj dneh nihče ne bo pregledal vaših vrat 3306. To je zabloda! Masscan je odličen skener in lahko skenira s hitrostjo 10 milijonov vrat na sekundo. In na internetu je samo 4 milijarde IPv4. V skladu s tem se vseh 3306 vrat na internetu nahaja v 7 minutah. Charles!!! Sedem minut!
"Kdo potrebuje to?" - ugovarjate. Zato sem presenečen, ko pogledam statistiko padlih paketov. Od kod 40 tisoč poskusov skeniranja s 3 tisoč edinstvenih IP-jev na dan? Zdaj vsi skenirajo, od maminih hekerjev do vlad. To je zelo enostavno preveriti - vzemite kateri koli VPS za 3-5 $ pri kateri koli** nizkocenovni letalski družbi, omogočite beleženje odpadlih paketov in poglejte dnevnik čez en dan.
Omogočanje beleženja
V /etc/iptables/rules.v4 dodajte na konec:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4
In v /etc/rsyslog.d/10-iptables.conf
:msg,vsebuje,"[FW - "/var/log/iptables.log
& ustavi se
DDoS prek IP-ja
Če napadalec pozna vaš IP, lahko ugrabi vaš strežnik za več ur ali dni. Vsi nizkocenovni ponudniki gostovanja nimajo DDoS zaščite in vaš strežnik bo preprosto izklopljen iz omrežja. Če ste strežnik skrili za CDN, ne pozabite spremeniti IP-ja, sicer ga bo heker poguglal in vaš strežnik DDoS zaobšel CDN (zelo priljubljena napaka).
Ranljivosti storitve
Vsa priljubljena programska oprema prej ali slej najde napake, tudi najbolj preizkušene in kritične. Med strokovnjaki za IB obstaja napol šala - varnost infrastrukture je mogoče varno oceniti do zadnje posodobitve. Če je vaša infrastruktura bogata s pristanišči, ki štrlijo v svet, in je niste posodobili eno leto, vam bo vsak strokovnjak za varnost povedal, ne da bi pogledal, da puščate in da je najverjetneje že prišlo do vdora.
Omeniti velja tudi, da so bile vse znane ranljivosti nekoč neznane. Predstavljajte si hekerja, ki je našel takšno ranljivost in v 7 minutah pregledal celoten internet, da bi ugotovil njeno prisotnost ... Tukaj je nova epidemija virusa) Moramo posodobiti, vendar to lahko škoduje izdelku, pravite. In imeli boste prav, če paketi niso nameščeni iz uradnih repozitorijev OS. Po izkušnjah posodobitve iz uradnega repozitorija redko pokvarijo izdelek.
Surova sila
Kot je opisano zgoraj, obstaja zbirka podatkov s pol milijarde gesel, ki jih je priročno tipkati s tipkovnico. Z drugimi besedami, če niste ustvarili gesla, ampak ste na tipkovnici vtipkali sosednje simbole, bodite prepričani*, da boste oropani.
Ranljivosti sklada jedra.
Zgodi se tudi ****, da sploh ni pomembno, katera storitev odpre vrata, ko je sam sklad jedra omrežja ranljiv. To pomeni, da je absolutno vsaka vtičnica tcp/udp v dve leti starem sistemu dovzetna za ranljivost, ki vodi do DDoS.
Povečano število napadov DDoS
Ne bo povzročil nobene neposredne škode, lahko pa zamaši vaš kanal, poveča obremenitev sistema, vaš IP bo končal na črnem seznamu***** in deležni boste zlorabe s strani gostitelja.
Ali res potrebujete vsa ta tveganja? Dodajte svoj domači in službeni IP na beli seznam. Tudi če je dinamičen, se prijavite prek skrbniške plošče gostitelja, prek spletne konzole in dodajte drugega.
Gradim in varujem IT infrastrukturo že 15 let. Razvil sem pravilo, ki ga toplo priporočam vsem - nobeno pristanišče ne bi smelo štrleti v svet brez bele liste.
Na primer, najbolj varen spletni strežnik*** je tisti, ki odpira 80 in 443 samo za CDN/WAF. In servisna vrata (ssh, netdata, bacula, phpmyadmin) naj bodo vsaj za white-listom, še bolje pa za VPN. V nasprotnem primeru tvegate, da boste ogroženi.
To je vse, kar sem hotel povedati. Pustite svoja vrata zaprta!
- (1) UPD1: lahko preverite svoje kul univerzalno geslo (tega ne storite, ne da bi to geslo zamenjali z naključnim v vseh storitvah), ali se je pojavil v združeni bazi podatkov. lahko vidite, koliko storitev je bilo vlomljenih, kje je bila vključena vaša e-pošta, in v skladu s tem ugotovite, ali je bilo vaše kul univerzalno geslo ogroženo.
- (2) Po Amazonovi zaslugi ima LightSail minimalno število skeniranj. Očitno ga nekako filtrirajo.
- (3) Še bolj varen spletni strežnik je tisti za namenskim požarnim zidom, lastnim WAF, vendar govorimo o javnem VPS/Dedicated.
- (4) Segmentsmak.
- (5) Firehol.
V anketi lahko sodelujejo samo registrirani uporabniki. , prosim.
Ali vaša vrata štrlijo?
-
Vedno
-
Včasih
-
Nikoli
-
Ne vem, kurac
Glasovalo je 54 uporabnikov. 6 uporabnikov se je vzdržalo.
Vir: www.habr.com