புரோஹோஸ்டர் > Блог > நிர்வாகம் > உலகிற்கு துறைமுகங்களைத் திறக்காதீர்கள் - நீங்கள் உடைக்கப்படுவீர்கள் (அபாயங்கள்)

உலகிற்கு துறைமுகங்களைத் திறக்காதீர்கள் - நீங்கள் உடைக்கப்படுவீர்கள் (அபாயங்கள்)

உலகிற்கு துறைமுகங்களைத் திறக்காதீர்கள் - நீங்கள் உடைக்கப்படுவீர்கள் (அபாயங்கள்)

மீண்டும் மீண்டும், தணிக்கையை நடத்திய பிறகு, வெள்ளைப் பட்டியலுக்குப் பின்னால் துறைமுகங்களை மறைப்பதற்கான எனது பரிந்துரைகளுக்கு பதிலளிக்கும் விதமாக, நான் தவறான புரிதலின் சுவரைச் சந்திக்கிறேன். மிகவும் அருமையான நிர்வாகிகள்/DevOps கூட கேட்கிறார்கள்: "ஏன்?!?"

நிகழ்வு மற்றும் சேதத்தின் சாத்தியக்கூறுகளின் இறங்கு வரிசையில் அபாயங்களைக் கருத்தில் கொள்ள நான் முன்மொழிகிறேன்.

  1. கட்டமைப்பு பிழை
  2. IP மூலம் DDoS
  3. மிருகத்தனமான சக்தி
  4. சேவை பாதிப்புகள்
  5. கர்னல் ஸ்டேக் பாதிப்புகள்
  6. அதிகரித்த DDoS தாக்குதல்கள்

கட்டமைப்பு பிழை

மிகவும் பொதுவான மற்றும் ஆபத்தான சூழ்நிலை. அது எப்படி நடக்கிறது. டெவலப்பர் கருதுகோளை விரைவாகச் சோதிக்க வேண்டும்; அவர் mysql/redis/mongodb/elastic உடன் ஒரு தற்காலிக சேவையகத்தை அமைக்கிறார். கடவுச்சொல், நிச்சயமாக, சிக்கலானது, அவர் அதை எல்லா இடங்களிலும் பயன்படுத்துகிறார். இது உலகிற்கு சேவையைத் திறக்கிறது - உங்களுடைய இந்த VPNகள் இல்லாமல் அவரது கணினியிலிருந்து இணைப்பது அவருக்கு வசதியானது. iptables தொடரியல் நினைவில் கொள்ள நான் மிகவும் சோம்பேறியாக இருக்கிறேன்; எப்படியும் சர்வர் தற்காலிகமானது. இன்னும் இரண்டு நாட்கள் வளர்ச்சி - இது நன்றாக மாறியது, அதை வாடிக்கையாளருக்குக் காட்டலாம். வாடிக்கையாளர் அதை விரும்புகிறார், அதை மீண்டும் செய்ய நேரமில்லை, நாங்கள் அதை PROD இல் தொடங்குகிறோம்!

அனைத்து ரேக் வழியாகவும் செல்ல வேண்டுமென்றே மிகைப்படுத்தப்பட்ட ஒரு எடுத்துக்காட்டு:

  1. தற்காலிகத்தை விட நிரந்தரமானது எதுவுமில்லை - இந்த சொற்றொடர் எனக்குப் பிடிக்கவில்லை, ஆனால் அகநிலை உணர்வுகளின்படி, அத்தகைய தற்காலிக சேவையகங்களில் 20-40% நீண்ட காலமாக இருக்கும்.
  2. பல சேவைகளில் பயன்படுத்தப்படும் ஒரு சிக்கலான உலகளாவிய கடவுச்சொல் தீயது. ஏனெனில் இந்த கடவுச்சொல் பயன்படுத்தப்பட்ட சேவைகளில் ஒன்று ஹேக் செய்யப்பட்டிருக்கலாம். ஒரு வழி அல்லது வேறு, ஹேக் செய்யப்பட்ட சேவைகளின் தரவுத்தளங்கள் ஒன்று சேரும், இது [ப்ரூட் ஃபோர்ஸ்]*க்கு பயன்படுத்தப்படுகிறது.
    நிறுவிய பின், redis, mongodb மற்றும் elastic பொதுவாக அங்கீகாரம் இல்லாமல் கிடைக்கின்றன, மேலும் அவை அடிக்கடி நிரப்பப்படுகின்றன. திறந்த தரவுத்தளங்களின் சேகரிப்பு.
  3. ஓரிரு நாட்களில் உங்கள் 3306 போர்ட்டை யாரும் ஸ்கேன் செய்ய மாட்டார்கள் என்று தோன்றலாம். இது ஒரு மாயை! Masscan ஒரு சிறந்த ஸ்கேனர் மற்றும் ஒரு நொடிக்கு 10M போர்ட்களில் ஸ்கேன் செய்ய முடியும். மேலும் இணையத்தில் 4 பில்லியன் IPv4 மட்டுமே உள்ளன. அதன்படி, இணையத்தில் உள்ள அனைத்து 3306 போர்ட்களும் 7 நிமிடங்களில் அமைந்துள்ளன. சார்லஸ்!!! ஏழு நிமிடங்கள்!
    "இது யாருக்கு தேவை?" - நீங்கள் எதிர்க்கிறீர்கள். எனவே கைவிடப்பட்ட தொகுப்புகளின் புள்ளிவிவரங்களைப் பார்க்கும்போது நான் ஆச்சரியப்படுகிறேன். ஒரு நாளைக்கு 40 ஆயிரம் தனித்துவமான ஐபிகளில் இருந்து 3 ஆயிரம் ஸ்கேன் முயற்சிகள் எங்கிருந்து வருகின்றன? இப்போது அம்மாவின் ஹேக்கர்கள் முதல் அரசாங்கங்கள் வரை அனைவரும் ஸ்கேன் செய்கிறார்கள். சரிபார்ப்பது மிகவும் எளிதானது - எந்த ஒரு ** குறைந்த கட்டண விமான நிறுவனத்திடமிருந்தும் $3-5க்கு எந்த VPSஐயும் எடுத்துக் கொள்ளுங்கள், கைவிடப்பட்ட பேக்கேஜ்களை பதிவு செய்வதை இயக்கி, ஒரு நாளில் பதிவைப் பார்க்கவும்.

பதிவு செய்வதை இயக்குகிறது

/etc/iptables/rules.v4 இல் இறுதியில் சேர்க்கவும்:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4

மேலும் /etc/rsyslog.d/10-iptables.conf இல்
:msg, கொண்டுள்ளது,"[FW - " /var/log/iptables.log
& நிறுத்து

IP மூலம் DDoS

தாக்குபவர் உங்கள் ஐபியை அறிந்திருந்தால், அவர் உங்கள் சேவையகத்தை பல மணிநேரம் அல்லது நாட்களுக்கு கடத்தலாம். அனைத்து குறைந்த விலை ஹோஸ்டிங் வழங்குநர்களுக்கும் DDoS பாதுகாப்பு இல்லை, மேலும் உங்கள் சர்வர் நெட்வொர்க்கிலிருந்து துண்டிக்கப்படும். உங்கள் சர்வரை CDNக்குப் பின்னால் மறைத்துவிட்டால், ஐபியை மாற்ற மறக்காதீர்கள், இல்லையெனில் ஒரு ஹேக்கர் அதை கூகுள் செய்து உங்கள் சர்வரை CDN ஐத் தவிர்த்து DDoS செய்வார் (மிகவும் பிரபலமான தவறு).

சேவை பாதிப்புகள்

அனைத்து பிரபலமான மென்பொருட்களும் விரைவில் அல்லது பின்னர் பிழைகளைக் கண்டறியும், மிகவும் சோதிக்கப்பட்ட மற்றும் முக்கியமானவை கூட. IB நிபுணர்களிடையே, ஒரு அரை நகைச்சுவை உள்ளது - உள்கட்டமைப்பின் பாதுகாப்பை கடைசி புதுப்பித்தலின் போது பாதுகாப்பாக மதிப்பிட முடியும். உங்கள் உள்கட்டமைப்பு உலகில் ஒட்டிக்கொண்டிருக்கும் துறைமுகங்கள் நிறைந்ததாக இருந்தால், நீங்கள் அதை ஒரு வருடமாக புதுப்பிக்கவில்லை என்றால், எந்த பாதுகாப்பு நிபுணரும் நீங்கள் கசிந்துவிட்டதாகவும், பெரும்பாலும் ஏற்கனவே ஹேக் செய்யப்பட்டிருக்கலாம் என்றும் பார்க்காமல் உங்களுக்குச் சொல்வார்கள்.
அறியப்பட்ட அனைத்து பாதிப்புகளும் ஒரு காலத்தில் அறியப்படாதவை என்பதும் குறிப்பிடத் தக்கது. ஒரு ஹேக்கரை கற்பனை செய்து பாருங்கள், அத்தகைய பாதிப்பைக் கண்டறிந்து, முழு இணையத்தையும் 7 நிமிடங்களில் அதன் இருப்பை ஸ்கேன் செய்து பாருங்கள்... இதோ ஒரு புதிய வைரஸ் தொற்றுநோய்) நாங்கள் புதுப்பிக்க வேண்டும், ஆனால் இது தயாரிப்புக்கு தீங்கு விளைவிக்கும் என்று நீங்கள் கூறுகிறீர்கள். அதிகாரப்பூர்வ OS களஞ்சியங்களிலிருந்து தொகுப்புகள் நிறுவப்படவில்லை என்றால் நீங்கள் சரியாக இருப்பீர்கள். அனுபவத்திலிருந்து, அதிகாரப்பூர்வ களஞ்சியத்திலிருந்து வரும் புதுப்பிப்புகள் தயாரிப்பை அரிதாகவே உடைக்கின்றன.

மிருகத்தனமான சக்தி

மேலே விவரிக்கப்பட்டுள்ளபடி, விசைப்பலகையிலிருந்து தட்டச்சு செய்ய வசதியாக அரை பில்லியன் கடவுச்சொற்களைக் கொண்ட தரவுத்தளம் உள்ளது. வேறு வார்த்தைகளில் கூறுவதானால், நீங்கள் கடவுச்சொல்லை உருவாக்கவில்லை, ஆனால் விசைப்பலகையில் அடுத்தடுத்த சின்னங்களை தட்டச்சு செய்தால், அவை உங்களை குழப்பிவிடும் என்பதில் உறுதியாக இருங்கள்*.

கர்னல் ஸ்டேக் பாதிப்புகள்.

கர்னல் நெட்வொர்க் ஸ்டேக் பாதிக்கப்படும் போது, ​​​​எந்த சேவை துறைமுகத்தைத் திறக்கிறது என்பது முக்கியமல்ல. அதாவது, இரண்டு வருடங்கள் பழமையான கணினியில் உள்ள எந்த tcp/udp சாக்கெட்டும் DDoS க்கு வழிவகுக்கும் பாதிப்புக்கு உள்ளாகும்.

அதிகரித்த DDoS தாக்குதல்கள்

இது எந்த நேரடி சேதத்தையும் ஏற்படுத்தாது, ஆனால் இது உங்கள் சேனலை அடைத்துவிடும், கணினியில் சுமைகளை அதிகரிக்கலாம், உங்கள் ஐபி சில பிளாக் லிஸ்ட்டில்***** வந்துவிடும், மேலும் நீங்கள் ஹோஸ்டரிடமிருந்து முறைகேட்டைப் பெறுவீர்கள்.

இந்த அபாயங்கள் அனைத்தும் உங்களுக்கு உண்மையிலேயே தேவையா? வெள்ளைப் பட்டியலில் உங்கள் வீடு மற்றும் பணியிட ஐபியைச் சேர்க்கவும். இது டைனமிக் என்றாலும், ஹோஸ்டரின் நிர்வாக குழு வழியாக, வலை கன்சோல் வழியாக உள்நுழைந்து, இன்னொன்றைச் சேர்க்கவும்.

நான் 15 ஆண்டுகளாக ஐடி உள்கட்டமைப்பை உருவாக்கி பாதுகாத்து வருகிறேன். அனைவருக்கும் நான் கடுமையாக பரிந்துரைக்கும் ஒரு விதியை உருவாக்கியுள்ளேன் - வெள்ளைப்பட்டியல் இல்லாமல் எந்த துறைமுகமும் உலகிற்கு வெளியே நிற்கக்கூடாது.

எடுத்துக்காட்டாக, CDN/WAFக்கு மட்டும் 80 மற்றும் 443ஐத் திறக்கும் மிகவும் பாதுகாப்பான இணைய சேவையகம்***. சேவை போர்ட்கள் (ssh, netdata, bacula, phpmyadmin) குறைந்தபட்சம் வெள்ளைப் பட்டியலுக்குப் பின்னால் இருக்க வேண்டும், மேலும் VPNக்குப் பின்னால் இன்னும் சிறப்பாக இருக்க வேண்டும். இல்லையெனில், நீங்கள் சமரசம் செய்யப்படும் அபாயம் உள்ளது.

அவ்வளவுதான் நான் சொல்ல விரும்பினேன். உங்கள் துறைமுகங்களை மூடி வைக்கவும்!

  • (1) UPD1: இது உங்கள் உலகளாவிய கடவுச்சொல்லை நீங்கள் சரிபார்க்கலாம் (இந்த கடவுச்சொல்லை அனைத்து சேவைகளிலும் சீரற்ற ஒன்றை மாற்றாமல் இதைச் செய்ய வேண்டாம்), இது இணைக்கப்பட்ட தரவுத்தளத்தில் தோன்றியதா. மற்றும் இங்கே எத்தனை சேவைகள் ஹேக் செய்யப்பட்டன, உங்கள் மின்னஞ்சல் எங்கு சேர்க்கப்பட்டுள்ளது என்பதை நீங்கள் பார்க்கலாம், அதன்படி, உங்கள் உலகளாவிய கடவுச்சொல் சமரசம் செய்யப்பட்டுள்ளதா என்பதைக் கண்டறியலாம்.
  • (2) அமேசானின் வரவுக்கு, LightSail குறைந்தபட்ச ஸ்கேன்களைக் கொண்டுள்ளது. வெளிப்படையாக அவர்கள் அதை எப்படியாவது வடிகட்டுகிறார்கள்.
  • (3) இன்னும் கூடுதலான பாதுகாப்பான வெப் சர்வர் என்பது ஒரு பிரத்யேக ஃபயர்வாலுக்குப் பின்னால், அதன் சொந்த WAF ஆகும், ஆனால் நாங்கள் பொது VPS/அர்ப்பணிப்பு பற்றி பேசுகிறோம்.
  • (4) பிரிவுகள்.
  • (5) ஃபயர்ஹோல்.

பதிவு செய்த பயனர்கள் மட்டுமே கணக்கெடுப்பில் பங்கேற்க முடியும். உள்நுழையவும், தயவு செய்து.

உங்கள் துறைமுகங்கள் வெளியே நிற்கின்றனவா?

  • எப்போதும்

  • சில நேரங்களில்

  • ஒருபோதும்

  • எனக்கு தெரியாது, ஃபக்

54 பயனர்கள் வாக்களித்தனர். 6 பயனர்கள் வாக்களிக்கவில்லை.

ஆதாரம்: www.habr.com

கருத்தைச் சேர்