ProHoster > Blog > administratë > Mos i hapni portet botës - do të prisheni (rrezik)

Mos i hapni portet botës - do të prisheni (rrezik)

Mos i hapni portet botës - do të prisheni (rrezik)

Herë pas here, pas kryerjes së një auditimi, në përgjigje të rekomandimeve të mia për të fshehur portet pas një liste të bardhë, jam përballur me një mur keqkuptimi. Edhe administratorët/DevOps shumë të lezetshëm pyesin: "Pse?!?"

Unë propozoj të merren parasysh rreziqet në rend zbritës të mundësisë së ndodhjes dhe dëmtimit.

  1. Gabim konfigurimi
  2. DDoS mbi IP
  3. Forcë e madhe
  4. Dobësitë e shërbimit
  5. Dobësitë e pirgut të kernelit
  6. Rritja e sulmeve DDoS

Gabim konfigurimi

Situata më tipike dhe e rrezikshme. Si ndodh. Zhvilluesi duhet të testojë shpejt hipotezën; ai vendos një server të përkohshëm me mysql/redis/mongodb/elastic. Fjalëkalimi, natyrisht, është kompleks, ai e përdor atë kudo. Ai hap shërbimin për botën - është i përshtatshëm për të që të lidhet nga kompjuteri i tij pa këto VPN tuajat. Dhe unë jam shumë dembel për të kujtuar sintaksën iptables; serveri është gjithsesi i përkohshëm. Edhe disa ditë zhvillimi - doli shkëlqyeshëm, ne mund t'ia tregojmë klientit. Klientit i pëlqen, nuk ka kohë për ta ribërë, ne e hedhim në PROD!

Një shembull i ekzagjeruar qëllimisht në mënyrë që të kalojë gjithë grabujën:

  1. Nuk ka asgjë më të përhershme se të përkohshme - nuk më pëlqen kjo frazë, por sipas ndjenjave subjektive, 20-40% e serverëve të tillë të përkohshëm mbeten për një kohë të gjatë.
  2. Një fjalëkalim kompleks universal që përdoret në shumë shërbime është i keq. Sepse një nga shërbimet ku është përdorur ky fjalëkalim mund të ishte hakuar. Në një mënyrë apo tjetër, bazat e të dhënave të shërbimeve të hakuara grumbullohen në një, e cila përdoret për [forcë brutale]*.
    Vlen të shtohet se pas instalimit, redis, mongodb dhe elastic janë përgjithësisht të disponueshëm pa vërtetim dhe shpesh plotësohen mbledhja e bazave të të dhënave të hapura.
  3. Mund të duket se askush nuk do të skanojë portin tuaj 3306 brenda disa ditësh. Është një iluzion! Masscan është një skaner i shkëlqyer dhe mund të skanojë me 10M porte në sekondë. Dhe ka vetëm 4 miliardë IPv4 në internet. Prandaj, të gjitha 3306 portet në internet janë të vendosura në 7 minuta. Charles!!! Shtatë minuta!
    "Kush ka nevojë për këtë?" - ju kundërshtoni. Kështu që habitem kur shikoj statistikat e paketave të hedhura. Nga vijnë 40 mijë përpjekje skanimi nga 3 mijë IP unike në ditë? Tani të gjithë po skanojnë, nga hakerat e mamasë te qeveritë. Është shumë e lehtë për t'u kontrolluar - merrni çdo VPS për 3-5 dollarë nga çdo linjë ajrore** me kosto të ulët, aktivizoni regjistrimin e paketave të hedhura dhe shikoni regjistrin brenda një dite.

Aktivizimi i regjistrimit

Në /etc/iptables/rules.v4 shtoni në fund:
-A INPUT -j LOG --log-prefiksi "[FW - ALL] " --log-niveli 4

Dhe në /etc/rsyslog.d/10-iptables.conf
:msg,përmban,"[FW - "/var/log/iptables.log
& ndalo

DDoS mbi IP

Nëse një sulmues e njeh IP-në tuaj, ai mund të rrëmbejë serverin tuaj për disa orë ose ditë. Jo të gjithë ofruesit e pritjes me kosto të ulët kanë mbrojtje DDoS dhe serveri juaj thjesht do të shkëputet nga rrjeti. Nëse e keni fshehur serverin tuaj pas një CDN, mos harroni të ndryshoni IP-në, përndryshe një haker do ta google-së dhe do të DDoS serverin tuaj duke anashkaluar CDN-në (një gabim shumë popullor).

Dobësitë e shërbimit

I gjithë softueri popullor herët a vonë gjen gabime, madje edhe ato më të testuara dhe kritike. Midis specialistëve të IB, ekziston një gjysmë shaka - siguria e infrastrukturës mund të vlerësohet me siguri deri në kohën e përditësimit të fundit. Nëse infrastruktura juaj është e pasur me porte që ngjiten në botë dhe nuk e keni përditësuar për një vit, atëherë çdo specialist i sigurisë do t'ju tregojë pa parë se jeni të rrjedhur dhe me shumë mundësi tashmë jeni hakuar.
Vlen gjithashtu të përmendet se të gjitha dobësitë e njohura dikur ishin të panjohura. Imagjinoni një haker që gjeti një dobësi të tillë dhe skanoi të gjithë internetin në 7 minuta për praninë e tij... Këtu është një epidemi e re virusi) Ne duhet të përditësojmë, por kjo mund të dëmtojë produktin, thoni ju. Dhe do të keni të drejtë nëse paketat nuk janë instaluar nga depot zyrtare të OS. Nga përvoja, përditësimet nga depoja zyrtare rrallë e thyejnë produktin.

Forcë e madhe

Siç u përshkrua më lart, ekziston një bazë të dhënash me gjysmë miliardë fjalëkalime që janë të përshtatshme për t'u shtypur nga tastiera. Me fjalë të tjera, nëse nuk keni krijuar një fjalëkalim, por keni shkruar simbole ngjitur në tastierë, jini të sigurt* se ato do t'ju ngatërrojnë.

Dobësitë e pirgut të kernelit.

Ndodh gjithashtu që **** nuk ka rëndësi se cili shërbim hap portin, kur vetë grupi i rrjetit të kernelit është i cenueshëm. Kjo do të thotë, absolutisht çdo prizë tcp/udp në një sistem dyvjeçar është i ndjeshëm ndaj një cenueshmërie që çon në DDoS.

Rritja e sulmeve DDoS

Nuk do të shkaktojë ndonjë dëm të drejtpërdrejtë, por mund të bllokojë kanalin tuaj, të rrisë ngarkesën në sistem, IP-ja juaj do të përfundojë në një listë të zezë***** dhe do të merrni abuzim nga hosti.

A ju duhen vërtet të gjitha këto rreziqe? Shtoni IP-në tuaj të shtëpisë dhe të punës në listën e bardhë. Edhe nëse është dinamik, hyni përmes panelit të administratorit të hosterit, përmes konsolës së uebit dhe thjesht shtoni një tjetër.

Kam 15 vjet që ndërtoj dhe mbroj infrastrukturën e IT-së. Unë kam zhvilluar një rregull që ua rekomandoj fuqimisht të gjithëve - asnjë port nuk duhet të dalë në botë pa një listë të bardhë.

Për shembull, web serveri më i sigurt*** është ai që hap 80 dhe 443 vetëm për CDN/WAF. Dhe portat e shërbimit (ssh, netdata, bacula, phpmyadmin) duhet të jenë të paktën prapa listës së bardhë, dhe akoma më mirë pas VPN. Përndryshe, rrezikoni të rrezikoheni.

Kjo është gjithçka që doja të thoja. Mbajini portet tuaja të mbyllura!

  • (1) UPD1: Këtu mund të kontrolloni fjalëkalimin tuaj universal (mos e bëni këtë pa e zëvendësuar këtë fjalëkalim me një të rastësishëm në të gjitha shërbimet), nëse është shfaqur në bazën e të dhënave të bashkuar. Dhe këtu ju mund të shihni se sa shërbime janë hakuar, ku është përfshirë emaili juaj dhe, në përputhje me rrethanat, të zbuloni nëse fjalëkalimi juaj i lezetshëm universal është komprometuar.
  • (2) Për kredinë e Amazon, LightSail ka skanime minimale. Me sa duket e filtrojnë disi.
  • (3) Një ueb server edhe më i sigurt është ai që qëndron pas një muri zjarri të dedikuar, WAF-in e tij, por ne po flasim për VPS publike/Dedikuar.
  • (4) Segmentsmak.
  • (5) Firehol.

Vetëm përdoruesit e regjistruar mund të marrin pjesë në anketë. Hyni, te lutem

A dalin jashtë portet tuaja?

  • gjithmonë

  • nganjëherë

  • Kurrë

  • Nuk e di, dreq

54 përdorues kanë votuar. 6 përdorues abstenuan.

Burimi: www.habr.com

Shto një koment