ProHoster > blog > Utawala > Usifungue bandari kwa ulimwengu - utavunjwa (hatari)

Usifungue bandari kwa ulimwengu - utavunjwa (hatari)

Usifungue bandari kwa ulimwengu - utavunjwa (hatari)

Mara kwa mara, baada ya kufanya ukaguzi, kwa kujibu mapendekezo yangu ya kuficha bandari nyuma ya orodha nyeupe, ninakutana na ukuta wa kutokuelewana. Hata wasimamizi wazuri sana/DevOps huuliza: "Kwa nini?!?"

Ninapendekeza kuzingatia hatari katika mpangilio wa kushuka wa uwezekano wa kutokea na uharibifu.

  1. Hitilafu ya usanidi
  2. DDoS juu ya IP
  3. Nguvu kali
  4. Udhaifu wa huduma
  5. Athari za mrundikano wa Kernel
  6. Kuongezeka kwa mashambulizi ya DDoS

Hitilafu ya usanidi

Hali ya kawaida na hatari zaidi. Jinsi inavyotokea. Msanidi programu anahitaji kujaribu nadharia haraka; anasanidi seva ya muda na mysql/redis/mongodb/elastic. Nenosiri, bila shaka, ni ngumu, anaitumia kila mahali. Hufungua huduma kwa ulimwengu - ni rahisi kwake kuunganisha kutoka kwa Kompyuta yake bila VPN zako hizi. Na mimi ni mvivu sana kukumbuka syntax ya iptables; seva ni ya muda hata hivyo. Siku chache zaidi za maendeleo - iligeuka kuwa nzuri, tunaweza kuionyesha kwa mteja. Mteja anaipenda, hakuna wakati wa kuifanya upya, tunaizindua kwenye PROD!

Mfano uliotiwa chumvi kwa makusudi ili kupitia reki yote:

  1. Hakuna kitu cha kudumu zaidi kuliko cha muda - sipendi kifungu hiki, lakini kulingana na hisia za kibinafsi, 20-40% ya seva za muda hubaki kwa muda mrefu.
  2. Nenosiri changamano la ulimwengu wote ambalo hutumika katika huduma nyingi ni ovu. Kwa sababu moja ya huduma ambapo nenosiri hili lilitumiwa inaweza kuwa imedukuliwa. Kwa njia moja au nyingine, hifadhidata za huduma zilizodukuliwa huingia katika moja, ambayo hutumiwa kwa [nguvu ya kinyama]*.
    Inafaa kuongeza kuwa baada ya usakinishaji, redis, mongodb na elastic kwa ujumla zinapatikana bila uthibitishaji, na mara nyingi hujazwa tena. ukusanyaji wa hifadhidata wazi.
  3. Inaweza kuonekana kuwa hakuna mtu atakayechanganua bandari yako ya 3306 katika siku chache. Ni udanganyifu! Masscan ni skana bora na inaweza kuchanganua kwenye bandari za 10M kwa sekunde. Na kuna IPv4 bilioni 4 pekee kwenye Mtandao. Ipasavyo, bandari zote 3306 kwenye mtandao ziko katika dakika 7. Charles!!! Dakika saba!
    "Nani anahitaji hii?" - unapinga. Kwa hivyo ninashangaa ninapoangalia takwimu za vifurushi vilivyoshuka. Majaribio elfu 40 kutoka kwa IP elfu 3 za kipekee hutoka wapi kwa siku? Sasa kila mtu anachanganua, kutoka kwa wadukuzi wa mama hadi serikali. Ni rahisi sana kuangalia - chukua VPS yoyote kwa $3-5 kutoka kwa shirika lolote la ndege** la gharama nafuu, washa uwekaji kumbukumbu wa vifurushi vilivyodondoshwa na uangalie kumbukumbu kwa siku moja.

Inawezesha ukataji miti

Katika /etc/iptables/rules.v4 ongeza hadi mwisho:
-A INPUT -j LOG --logi-kiambishi awali "[FW - ALL] " --logi-level 4

Na katika /etc/rsyslog.d/10-iptables.conf
:msg,ina,"[FW - "/var/log/iptables.log
& kuacha

DDoS juu ya IP

Ikiwa mshambuliaji anajua IP yako, anaweza kuteka nyara seva yako kwa saa au siku kadhaa. Sio watoa huduma wote wa upangishaji wa gharama nafuu walio na ulinzi wa DDoS na seva yako itatenganishwa tu na mtandao. Ikiwa umeficha seva yako nyuma ya CDN, usisahau kubadilisha IP, vinginevyo hacker ataitumia google na DDoS seva yako ikipita CDN (kosa maarufu sana).

Udhaifu wa huduma

Programu zote maarufu mapema au baadaye hupata makosa, hata yale yaliyojaribiwa zaidi na muhimu. Miongoni mwa wataalamu wa IB, kuna utani wa nusu - usalama wa miundombinu unaweza kutathminiwa kwa usalama na wakati wa sasisho la mwisho. Ikiwa miundombinu yako ni tajiri katika bandari zinazoingia ulimwenguni, na hujaisasisha kwa mwaka mmoja, basi mtaalamu yeyote wa usalama atakuambia bila kuangalia kuwa umevuja, na kuna uwezekano mkubwa kuwa tayari umedukuliwa.
Inafaa pia kutaja kwamba udhaifu wote unaojulikana ulikuwa haujulikani. Hebu fikiria mdukuzi aliyepata udhaifu huo na akachanganua mtandao mzima kwa muda wa dakika 7 kwa uwepo wake... Hapa kuna janga jipya la virusi) Tunahitaji kusasisha, lakini hii inaweza kudhuru bidhaa, unasema. Na utakuwa sahihi ikiwa vifurushi hazijasakinishwa kutoka kwa hazina rasmi za OS. Kutokana na uzoefu, masasisho kutoka kwa hazina rasmi mara chache huvunja bidhaa.

Nguvu kali

Kama ilivyoelezwa hapo juu, kuna hifadhidata iliyo na nywila nusu bilioni ambayo ni rahisi kuandika kutoka kwa kibodi. Kwa maneno mengine, ikiwa hukutoa nenosiri, lakini uliandika alama za karibu kwenye kibodi, uwe na uhakika* kwamba utaibiwa.

Athari za mrundikano wa Kernel.

Pia hutokea **** kwamba haijalishi ni huduma gani inayofungua bandari, wakati stack ya mtandao wa kernel yenyewe ni hatari. Hiyo ni, soketi yoyote ya tcp/udp kwenye mfumo wa miaka miwili inaweza kuathiriwa na DDoS.

Kuongezeka kwa mashambulizi ya DDoS

Haitasababisha uharibifu wowote wa moja kwa moja, lakini inaweza kuziba chaneli yako, kuongeza mzigo kwenye mfumo, IP yako itaishia kwenye orodha nyeusi*****, na utapokea matumizi mabaya kutoka kwa mwenyeji.

Je! unahitaji hatari hizi zote? Ongeza IP yako ya nyumbani na kazini kwenye orodha nyeupe. Hata ikiwa ni ya nguvu, ingia kupitia paneli ya msimamizi wa mwenyeji, kupitia kiweko cha wavuti, na uongeze tu nyingine.

Nimekuwa nikijenga na kulinda miundombinu ya IT kwa miaka 15. Nimeunda sheria ambayo ninapendekeza kwa kila mtu - hakuna bandari inapaswa kushikamana na ulimwengu bila orodha nyeupe.

Kwa mfano, seva ya wavuti iliyo salama zaidi*** ni ile inayofungua 80 na 443 kwa CDN/WAF pekee. Na bandari za huduma (ssh, netdata, bacula, phpmyadmin) zinapaswa kuwa nyuma ya orodha nyeupe, na bora zaidi nyuma ya VPN. Vinginevyo, una hatari ya kuathirika.

Hiyo ndiyo yote nilitaka kusema. Funga bandari zako!

  • (1) UPD1: Hapa unaweza kuangalia nywila yako nzuri ya ulimwengu (usifanye hivi bila kubadilisha nenosiri hili na la nasibu katika huduma zote), iwe ilionekana kwenye hifadhidata iliyounganishwa. Na hapa unaweza kuona ni huduma ngapi zilidukuliwa, ambapo barua pepe yako ilijumuishwa, na, ipasavyo, ujue ikiwa nenosiri lako zuri la jumla limeingiliwa.
  • (2) Kwa mkopo wa Amazon, LightSail ina skanisho ndogo. Inaonekana wanaichuja kwa namna fulani.
  • (3) Seva ya wavuti iliyo salama zaidi ndiyo iliyo nyuma ya ngome iliyojitolea, WAF yake mwenyewe, lakini tunazungumza juu ya VPS ya umma/Inayojitolea.
  • (4) Segmentsmak.
  • (5) Firehol.

Watumiaji waliojiandikisha pekee ndio wanaweza kushiriki katika utafiti. Weka sahihitafadhali.

Je, bandari zako zimetoka nje?

  • Daima

  • Wakati mwingine

  • Kamwe

  • Sijui, jamani

Watumiaji 54 walipiga kura. Watumiaji 6 walijizuia.

Chanzo: mapenzi.com

Kuongeza maoni