ProHoster > blogg > administration > Öppna inte portar till världen - du kommer att bli trasig (risker)

Öppna inte portar till världen - du kommer att bli trasig (risker)

Öppna inte portar till världen - du kommer att bli trasig (risker)

Gång på gång, efter att ha genomfört en revision, som svar på mina rekommendationer att dölja hamnarna bakom en vitlista, möts jag av en mur av missförstånd. Även väldigt coola administratörer/DevOps frågar: "Varför?!?"

Jag föreslår att man överväger risker i fallande ordning efter sannolikhet för inträffande och skada.

  1. Konfigurationsfel
  2. DDoS över IP
  3. råstyrka
  4. Tjänstens sårbarheter
  5. Sårbarheter i kärnstack
  6. Ökade DDoS-attacker

Konfigurationsfel

Den mest typiska och farligaste situationen. Hur det går till. Utvecklaren måste snabbt testa hypotesen, han sätter upp en tillfällig server med mysql/redis/mongodb/elastic. Lösenordet är naturligtvis komplext, han använder det överallt. Det öppnar tjänsten för världen - det är bekvämt för honom att ansluta från sin PC utan dessa VPN: er. Och jag är för lat för att komma ihåg iptables-syntaxen; servern är ändå tillfällig. Ett par dagar till av utveckling - det blev jättebra, vi kan visa det för kunden. Kunden gillar det, det finns ingen tid att göra om det, vi lanserar det i PROD!

Ett exempel som medvetet överdrivits för att gå igenom hela raken:

  1. Det finns inget mer permanent än tillfälligt - jag gillar inte den här frasen, men enligt subjektiva känslor finns 20-40% av sådana tillfälliga servrar kvar under lång tid.
  2. Ett komplext universellt lösenord som används i många tjänster är av ondo. Eftersom en av tjänsterna där detta lösenord användes kunde ha blivit hackad. På ett eller annat sätt flockas databaserna över hackade tjänster till en, som används för [brute force]*.
    Det är värt att tillägga att efter installationen är redis, mongodb och elastic generellt tillgängliga utan autentisering och fylls ofta på samling av öppna databaser.
  3. Det kan tyckas att ingen kommer att skanna din 3306-port på ett par dagar. Det är en vanföreställning! Masscan är en utmärkt skanner och kan skanna med 10 miljoner portar per sekund. Och det finns bara 4 miljarder IPv4 på Internet. Följaktligen finns alla 3306 portar på Internet på 7 minuter. Charles!!! Sju minuter!
    "Vem behöver detta?" - du protesterar. Så jag blir förvånad när jag tittar på statistiken över tappade paket. Var kommer 40 tusen skanningsförsök från 3 tusen unika IP-adresser ifrån per dag? Nu skannar alla, från mammas hackare till regeringar. Det är väldigt enkelt att kontrollera – ta valfri VPS för $3-5 från vilket lågprisflygbolag som helst**, aktivera loggning av tappade paket och titta på loggen på en dag.

Aktiverar loggning

I /etc/iptables/rules.v4 lägg till i slutet:
-A INPUT -j LOGG --log-prefix "[FW - ALLA] " --log-nivå 4

Och i /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - "/var/log/iptables.log
& sluta

DDoS över IP

Om en angripare känner till din IP kan han kapa din server i flera timmar eller dagar. Inte alla lågkostnadshotellleverantörer har DDoS-skydd och din server kommer helt enkelt att kopplas bort från nätverket. Om du gömde din server bakom ett CDN, glöm inte att ändra IP:n, annars kommer en hackare att googla på den och DDoS din server kringgå CDN (ett mycket populärt misstag).

Tjänstens sårbarheter

All populär programvara hittar förr eller senare fel, även de mest testade och kritiska. Bland IB-specialister finns det ett halvt skämt - säkerheten för infrastrukturen kan säkert bedömas vid tidpunkten för den senaste uppdateringen. Om din infrastruktur är rik på hamnar som sticker ut i världen och du inte har uppdaterat den på ett år, kommer vilken säkerhetsspecialist som helst att berätta för dig utan att se att du är läckande och troligen redan har blivit hackad.
Det är också värt att nämna att alla kända sårbarheter en gång var okända. Föreställ dig en hacker som hittade en sådan sårbarhet och skannade hela Internet på 7 minuter efter dess närvaro... Här är en ny virusepidemi) Vi måste uppdatera, men detta kan skada produkten, säger du. Och du kommer att ha rätt om paketen inte är installerade från de officiella OS-förråden. Av erfarenhet bryter uppdateringar från det officiella förrådet sällan produkten.

råstyrka

Som beskrivits ovan finns det en databas med en halv miljard lösenord som är bekväma att skriva från tangentbordet. Med andra ord, om du inte skapade ett lösenord, utan skrev intilliggande symboler på tangentbordet, kan du vara säker på* att de kommer att förvirra dig.

Sårbarheter i kärnstack.

Det händer också **** att det inte ens spelar någon roll vilken tjänst som öppnar porten, när själva kärnnätverksstacken är sårbar. Det vill säga, absolut alla tcp/udp-uttag på ett två år gammalt system är känsliga för en sårbarhet som leder till DDoS.

Ökade DDoS-attacker

Det kommer inte att orsaka någon direkt skada, men det kan täppa till din kanal, öka belastningen på systemet, din IP kommer att hamna på någon svartlista***** och du kommer att få missbruk från hostaren.

Behöver du verkligen alla dessa risker? Lägg till ditt hem- och arbets-IP till den vita listan. Även om det är dynamiskt, logga in via värdens adminpanel, via webbkonsolen och lägg bara till en till.

Jag har byggt och skyddat IT-infrastruktur i 15 år. Jag har utvecklat en regel som jag starkt rekommenderar till alla - ingen hamn bör sticka ut i världen utan en vitlista.

Till exempel är den säkraste webbservern*** den som endast öppnar 80 och 443 för CDN/WAF. Och tjänsteportar (ssh, netdata, bacula, phpmyadmin) borde vara åtminstone bakom vitlistan, och ännu bättre bakom VPN. Annars riskerar du att äventyras.

Det var allt jag ville säga. Håll dina hamnar stängda!

  • (1) UPD1: Här du kan kontrollera ditt coola universella lösenord (gör inte detta utan att ersätta detta lösenord med ett slumpmässigt i alla tjänster), om det förekom i den sammanslagna databasen. Och här du kan se hur många tjänster som hackades, var din e-post inkluderades, och följaktligen ta reda på om ditt coola universella lösenord har äventyrats.
  • (2) Till Amazons förtjänst har LightSail minimala skanningar. Tydligen filtrerar de det på något sätt.
  • (3) En ännu säkrare webbserver är den som ligger bakom en dedikerad brandvägg, sin egen WAF, men vi pratar om offentlig VPS/Dedicated.
  • (4) Segmentmak.
  • (5) Firehol.

Endast registrerade användare kan delta i undersökningen. Logga in, Snälla du.

Sticker dina portar ut?

  • alltid

  • Ibland

  • Aldrig

  • Jag vet inte, fan

54 användare röstade. 6 användare avstod från att rösta.

Källa: will.com

Lägg en kommentar