Не отварајте портове свету - бићете сломљени (ризици)

Изнова и изнова, након спровођења ревизије, као одговор на моје препоруке да сакријем луке иза беле листе, наилазим на зид неспоразума. Чак и веома кул администратори/ДевОпс питају: "Зашто?!?"

Предлажем да се ризици размотре у опадајућем редоследу вероватноће настанка и штете.

1. Грешка у конфигурацији
2. ДДоС преко ИП-а
3. Насилно
4. Сервисне рањивости
5. Рањивост стека кернела
6. Повећани ДДоС напади

Грешка у конфигурацији

Најтипичнија и најопаснија ситуација. Како се то дешава. Програмер треба брзо да тестира хипотезу; он поставља привремени сервер са мискл/редис/монгодб/еластиц. Лозинка је, наравно, сложена, користи је свуда. То отвара услугу свету - згодно му је да се повеже са свог рачунара без ових ваших ВПН-ова. И превише сам лењ да се сетим синтаксе иптаблеса; сервер је ионако привремен. Још пар дана развоја - испало је одлично, можемо то показати купцу. Купцу се свиђа, нема времена да се то понови, лансирамо га у ПРОД!

Пример намерно преувеличан да би се прошла кроз све грабете:

1. Не постоји ништа трајније од привременог - не свиђа ми се ова фраза, али према субјективним осећањима, 20-40% таквих привремених сервера остаје дуго времена.
2. Сложена универзална лозинка која се користи у многим услугама је зла. Зато што је један од сервиса где је коришћена ова лозинка могао бити хакован. На овај или онај начин, базе података хакованих услуга скупљају се у једну, која се користи за [бруте форце]*.
   Вреди додати да су након инсталације, редис, монгодб и еластиц углавном доступни без аутентификације и често се допуњују збирка отворених база података.
3. Можда се чини да нико неће скенирати ваш 3306 порт за неколико дана. То је заблуда! Массцан је одличан скенер и може да скенира при 10М портова у секунди. А на Интернету има само 4 милијарде ИПв4. Сходно томе, свих 3306 портова на Интернету се налазе за 7 минута. Цхарлес!!! Седам минута!
   "Коме ово треба?" - приговарате. Тако да сам изненађен када погледам статистику испуштених пакета. Одакле долази 40 хиљада покушаја скенирања са 3 хиљаде јединствених ИП адреса дневно? Сада сви скенирају, од маминих хакера до влада. Веома је лако проверити - узмите било који ВПС за 3-5 долара од било које** нискотарифне авио-компаније, омогућите евидентирање испуштених пакета и погледајте дневник за један дан.

Омогућавање евидентирања

У /етц/иптаблес/рулес.в4 додајте на крају:
-А ИНПУТ -ј ЛОГ --лог-префикс "[ФВ - СВЕ] " --лог-ниво 4

И у /етц/рсислог.д/10-иптаблес.цонф
:мсг,садржи,"[ФВ - "/вар/лог/иптаблес.лог
& зауставити

ДДоС преко ИП-а

Ако нападач зна вашу ИП адресу, може да вам отме сервер неколико сати или дана. Немају сви јефтини провајдери хостинга ДДоС заштиту и ваш сервер ће једноставно бити искључен са мреже. Ако сте сакрили свој сервер иза ЦДН-а, не заборавите да промените ИП, иначе ће га хакер прогуглати и ДДоС ваш сервер заобићи ЦДН (веома популарна грешка).

Сервисне рањивости

Сви популарни софтвери пре или касније пронађу грешке, чак и оне најиспитаније и најкритичније. Међу ИБ стручњацима постоји полушала - сигурност инфраструктуре може се безбедно проценити до тренутка последњег ажурирања. Ако је ваша инфраструктура богата портовима који вире у свет, а нисте је ажурирали годину дана, онда ће вам било који стручњак за безбедност рећи без гледања да пропуштате и да сте највероватније већ хаковани.
Такође је вредно напоменути да су све познате рањивости некада биле непознате. Замислите хакера који је пронашао такву рањивост и скенирао цео Интернет за 7 минута у потрази за њеним присуством... Ево нове епидемије вируса) Морамо да ажурирамо, али ово може да нашкоди производу, кажете. И бићете у праву ако пакети нису инсталирани из званичних ОС репозиторија. Из искуства, ажурирања из званичног спремишта ретко покваре производ.

Насилно

Као што је горе описано, постоји база података са пола милијарде лозинки које је згодно куцати са тастатуре. Другим речима, ако нисте генерисали лозинку, већ сте укуцали суседне симболе на тастатури, будите сигурни* да ће вас збунити.

Рањивост стека кернела.

Такође се дешава **** да није ни важно која услуга отвара порт, када је сам стог мреже кернела рањив. То јест, апсолутно сваки тцп/удп соцкет на систему старом две године подложан је рањивости која води до ДДоС-а.

Повећани ДДоС напади

Неће проузроковати никакву директну штету, али може зачепити ваш канал, повећати оптерећење система, ваш ИП ће завршити на некој црној листи*****, а ви ћете бити злостављани од хостера.

Да ли су вам заиста потребни сви ови ризици? Додајте свој кућни и пословни ИП на белу листу. Чак и ако је динамичан, пријавите се преко административног панела хостера, преко веб конзоле и само додајте још једну.

Градим и штитим ИТ инфраструктуру 15 година. Развио сам правило које топло препоручујем свима - ниједна лука не би требало да излази у свет без беле листе.

На пример, најбезбеднији веб сервер*** је онај који отвара 80 и 443 само за ЦДН/ВАФ. А сервисни портови (ссх, нетдата, бацула, пхпмиадмин) би требало да буду барем иза беле листе, а још боље иза ВПН-а. У супротном, ризикујете да будете компромитовани.

То је све што сам хтео да кажем. Држите своје портове затворене!

• (1) УПД1: Овде можете проверити своју кул универзалну лозинку (немојте ово радити без замене ове лозинке случајном у свим услугама), да ли се појавио у спојеној бази података. И овде можете видети колико је услуга хаковано, где је ваша е-пошта укључена и, сходно томе, сазнате да ли је ваша кул универзална лозинка компромитована.
• (2) Заслуга Амазона, ЛигхтСаил има минимално скенирање. Очигледно то некако филтрирају.
• (3) Још безбеднији веб сервер је онај иза наменског заштитног зида, сопственог ВАФ-а, али говоримо о јавном ВПС/Дедицатед.
• (4) Сегментсмак.
• (5) Фирехол.

Само регистровани корисници могу учествовати у анкети. Пријавите се, Добродошао си.

Да ли вам портови вире?

• Увек

• Понекад

• Никад

• Не знам, јеботе

54 корисника је гласало. 6 корисника је било уздржано.

Извор: ввв.хабр.цом