ProHoster > Blog > Administrasi > Ulah muka palabuhan ka dunya - anjeun bakal pegat (resiko)

Ulah muka palabuhan ka dunya - anjeun bakal pegat (resiko)

Ulah muka palabuhan ka dunya - anjeun bakal pegat (resiko)

Waktos sareng waktos deui, saatos ngalaksanakeun pamariksaan, pikeun ngaréspon saran kuring pikeun nyumputkeun palabuhan di tukangeun daptar bodas, kuring kapendak sareng témbok salah paham. Malahan admin / DevOps anu asik naros: "Naha?!?"

Kuring ngajukeun mertimbangkeun resiko dina urutan nurun tina likelihood kajadian jeung karuksakan.

  1. Kasalahan konfigurasi
  2. DDoS leuwih IP
  3. Gaya kasar
  4. Kerentanan jasa
  5. Kernel tumpukan kerentanan
  6. Ngaronjat serangan DDoS

Kasalahan konfigurasi

Kaayaan anu paling umum sareng bahaya. Kumaha kajadianana. Pamekar kedah gancang nguji hipotésis; anjeunna nyetél server samentawis nganggo mysql/redis/mongodb/elastis. Sandi, tangtosna, rumit, anjeunna nganggo di mana waé. Éta ngabuka jasa ka dunya - éta gampang pikeun anjeunna nyambung tina PC na tanpa VPN anjeun ieu. Sareng kuring teuing teu émut kana sintaksis iptables; pangladén samentawis waé. Sababaraha dinten deui pangwangunan - tétéla saé, urang tiasa nunjukkeun ka palanggan. Palanggan diaku, teu aya waktos pikeun ngulang deui, urang luncurkeun kana PROD!

Hiji conto ngahaja exaggerated dina urutan ngaliwatan sagala rake:

  1. Henteu aya anu langkung permanén tibatan samentawis - Abdi henteu resep frasa ieu, tapi dumasar kana parasaan subjektif, 20-40% tina server samentawis sapertos kitu tetep lami.
  2. Sandi universal anu kompleks anu dianggo dina seueur jasa jahat. Kusabab salah sahiji layanan dimana sandi ieu dipaké bisa geus hacked. Hiji cara atanapi anu sanés, pangkalan data jasa anu diretas janten hiji, anu dianggo pikeun [brute force]*.
    Perlu ditambah yén saatos instalasi, redis, mongodb sareng elastis umumna sayogi tanpa auténtikasi, sareng sering dieusi deui. kumpulan database kabuka.
  3. Sigana mah teu aya anu bakal nyeken port 3306 anjeun dina sababaraha dinten. Ieu delusion a! Masscan mangrupikeun alat panyeken anu saé sareng tiasa nyeken dina port 10M per detik. Sareng aya ngan 4 milyar IPv4 dina Internét. Sasuai, sadaya 3306 palabuhan dina Internét aya dina 7 menit. Charles!!! Tujuh menit!
    “Saha nu peryogi ieu?” - anjeun ngabantah. Janten kuring reuwas nalika ningali statistik bungkusan anu turun. Dimana 40 rébu usaha scan tina 3 rébu IP unik asalna per poé? Ayeuna sadayana nyeken, ti peretas ibu ka pamaréntah. Gampang pisan pikeun pariksa - nyandak VPS naon waé pikeun $ 3-5 ti mana-mana ** maskapai béaya rendah, aktipkeun logging bungkusan anu turun sareng tingali log dina sadinten.

Aktipkeun logging

Dina /etc/iptables/rules.v4 tambahkeun ka tungtung:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4

Jeung di /etc/rsyslog.d/10-iptables.conf
: msg, ngandung,"[FW - "/var/log/iptables.log
& Eureun

DDoS leuwih IP

Upami panyerang terang IP anjeun, anjeunna tiasa ngabajak server anjeun sababaraha jam atanapi dinten. Henteu sadayana panyadia hosting béaya rendah gaduh panyalindungan DDoS sareng server anjeun ngan saukur bakal dipegatkeun tina jaringan. Upami anjeun nyumputkeun server anjeun di tukangeun CDN, tong hilap ngarobih IP, upami henteu hacker bakal google sareng DDoS server anjeun ngalangkungan CDN (kasalahan anu populer pisan).

Kerentanan jasa

Sadaya parangkat lunak populér gancang-gancang mendakan kasalahan, bahkan anu paling diuji sareng kritis. Di antara spesialis IB, aya satengah guyonan - kaamanan infrastruktur tiasa ditaksir sacara aman ku waktos pembaruan terakhir. Upami prasarana anjeun beunghar ku palabuhan anu nempel di dunya, sareng anjeun henteu acan ngapdet salami sataun, maka spesialis kaamanan bakal nyarioskeun ka anjeun tanpa ningali yén anjeun bocor, sareng kamungkinan anu parantos di hack.
Éta ogé kedah disebatkeun yén sadaya kerentanan anu dipikanyaho kantos teu dipikanyaho. Bayangkeun hacker anu mendakan kerentanan sapertos kitu sareng nyeken sadayana Internét dina 7 menit pikeun ayana ... Ieu mangrupikeun wabah virus énggal) Urang kedah ngapdet, tapi ieu tiasa ngarugikeun produk, saur anjeun. Sareng anjeun leres upami bungkusan henteu dipasang tina repositori OS resmi. Tina pangalaman, apdet ti gudang resmi jarang megatkeun produk.

Gaya kasar

Sakumaha ditétélakeun di luhur, aya database kalawan satengah miliar kecap akses nu merenah pikeun ngetik tina keyboard. Kalayan kecap séjén,, lamun teu ngahasilkeun sandi a, tapi diketik lambang padeukeut dina kibor, sésana assured * yén maranéhna bakal ngalieurkeun anjeun.

Kernel tumpukan kerentanan.

Éta ogé kajadian **** yén éta henteu masalah jasa mana anu muka palabuhan, nalika tumpukan jaringan kernel sorangan rentan. Nyaéta, leres pisan sagala stop kontak tcp / udp dina sistem umur dua taun rentan ka kerentanan ngarah kana DDoS.

Ngaronjat serangan DDoS

Eta moal ngabalukarkeun karuksakan langsung, tapi bisa bakiak saluran Anjeun, ningkatkeun beban dina sistem, IP anjeun bakal mungkas nepi ka sababaraha hideung-list *****, tur anjeun bakal nampa nyiksa ti hoster nu.

Naha anjeun peryogi sadayana résiko ieu? Tambihkeun IP bumi sareng padamelan anjeun kana daptar bodas. Sanaos éta dinamis, log in liwat panel admin hoster, ngalangkungan konsol wéb, teras tambahkeun anu sanés.

Kuring parantos ngawangun sareng ngajagi infrastruktur IT salami 15 taun. Kuring parantos ngembangkeun aturan anu kuring nyarankeun pisan ka sadayana - euweuh port kedah lengket kaluar kana dunya tanpa daptar bodas.

Contona, pangladén wéb anu paling aman*** nyaéta anu muka 80 sareng 443 ngan pikeun CDN/WAF. Sareng palabuhan jasa (ssh, netdata, bacula, phpmyadmin) sahenteuna kedah aya di tukangeun daptar bodas, sareng langkung saé di tukangeun VPN. Upami teu kitu, anjeun risiko keur compromised.

Sakitu waé anu kuring hoyong nyarios. Tetep palabuhan anjeun ditutup!

  • (1) UPD1: Ieu téh Anjeun tiasa pariksa sandi universal keren anjeun (ulah ngalakukeun ieu tanpa ngaganti sandi ieu kalawan acak dina sakabéh jasa), naha éta muncul dina database gabungan. Jeung di dieu anjeun tiasa ningali sabaraha jasa anu diretas, dimana email anjeun kalebet, sareng, sasuai, milari naha sandi universal anu keren anjeun parantos dikompromi.
  • (2) Pikeun kiridit Amazon, LightSail gaduh scan minimal. Tétéla aranjeunna tapis eta kumaha bae.
  • (3) Pangladén wéb anu langkung aman nyaéta anu aya di tukangeun firewall khusus, WAF sorangan, tapi urang ngobrol ngeunaan VPS umum / Dedicated.
  • (4) Segmentsmak.
  • (5) Firehol.

Ngan pamaké nu kadaptar bisa ilubiung dina survey. Daptar, Punten.

Naha palabuhan anjeun kaluar?

  • Salawasna

  • Sakapeung

  • Kungsi

  • Abdi henteu terang, bangsat

54 pamaké milih. 6 pamaké abstained.

sumber: www.habr.com

Tambahkeun komentar