ప్రోహోస్టర్ > బ్లాగ్ > పరిపాలన > ప్రపంచానికి పోర్టులను తెరవవద్దు - మీరు విరిగిపోతారు (ప్రమాదాలు)

ప్రపంచానికి పోర్టులను తెరవవద్దు - మీరు విరిగిపోతారు (ప్రమాదాలు)

ప్రపంచానికి పోర్టులను తెరవవద్దు - మీరు విరిగిపోతారు (ప్రమాదాలు)

మళ్లీ మళ్లీ, ఆడిట్ నిర్వహించిన తర్వాత, వైట్-లిస్ట్ వెనుక పోర్ట్‌లను దాచడానికి నా సిఫార్సులకు ప్రతిస్పందనగా, నేను అపార్థం యొక్క గోడను ఎదుర్కొన్నాను. చాలా కూల్ అడ్మిన్‌లు/DevOps కూడా ఇలా అడుగుతారు: “ఎందుకు?!?”

నేను సంభవించే మరియు నష్టం యొక్క సంభావ్యత యొక్క అవరోహణ క్రమంలో నష్టాలను పరిగణించాలని ప్రతిపాదిస్తున్నాను.

  1. కాన్ఫిగరేషన్ లోపం
  2. IP ద్వారా DDoS
  3. బ్రూట్ ఫోర్స్
  4. సేవా దుర్బలత్వాలు
  5. కెర్నల్ స్టాక్ దుర్బలత్వాలు
  6. పెరిగిన DDoS దాడులు

కాన్ఫిగరేషన్ లోపం

అత్యంత సాధారణ మరియు ప్రమాదకరమైన పరిస్థితి. ఇది ఎలా జరుగుతుంది. డెవలపర్ పరికల్పనను త్వరగా పరీక్షించాలి; అతను mysql/redis/mongodb/elasticతో తాత్కాలిక సర్వర్‌ని సెటప్ చేస్తాడు. పాస్వర్డ్, కోర్సు యొక్క, సంక్లిష్టమైనది, అతను ప్రతిచోటా ఉపయోగిస్తాడు. ఇది ప్రపంచానికి సేవను తెరుస్తుంది - మీ ఈ VPNలు లేకుండా తన PC నుండి కనెక్ట్ చేయడం అతనికి సౌకర్యంగా ఉంటుంది. మరియు నేను iptables సింటాక్స్‌ని గుర్తుంచుకోవడానికి చాలా సోమరిగా ఉన్నాను; ఏమైనప్పటికీ సర్వర్ తాత్కాలికమే. మరికొన్ని రోజుల అభివృద్ధి - ఇది చాలా బాగుంది, మేము దానిని కస్టమర్‌కు చూపవచ్చు. కస్టమర్ దీన్ని ఇష్టపడుతున్నారు, దీన్ని మళ్లీ చేయడానికి సమయం లేదు, మేము దానిని PRODలోకి ప్రారంభిస్తాము!

అన్ని రేక్ ద్వారా వెళ్ళడానికి ఉద్దేశపూర్వకంగా అతిశయోక్తి చేసిన ఉదాహరణ:

  1. తాత్కాలికం కంటే శాశ్వతమైనది ఏదీ లేదు - నాకు ఈ పదబంధం ఇష్టం లేదు, కానీ ఆత్మాశ్రయ భావాల ప్రకారం, అటువంటి తాత్కాలిక సర్వర్‌లలో 20-40% చాలా కాలం పాటు ఉంటాయి.
  2. అనేక సేవల్లో ఉపయోగించే సంక్లిష్టమైన యూనివర్సల్ పాస్‌వర్డ్ చెడు. ఎందుకంటే ఈ పాస్‌వర్డ్ ఉపయోగించిన సర్వీస్‌లలో ఒకటి హ్యాక్ చేయబడి ఉండవచ్చు. ఒక మార్గం లేదా మరొక విధంగా, హ్యాక్ చేయబడిన సేవల యొక్క డేటాబేస్‌లు ఒకదానిలోకి వస్తాయి, ఇది [బ్రూట్ ఫోర్స్]* కోసం ఉపయోగించబడుతుంది.
    ఇన్‌స్టాలేషన్ తర్వాత, redis, mongodb మరియు సాగేవి సాధారణంగా ప్రామాణీకరణ లేకుండా అందుబాటులో ఉంటాయి మరియు తరచుగా భర్తీ చేయబడతాయి. ఓపెన్ డేటాబేస్ల సేకరణ.
  3. మీ 3306 పోర్ట్‌ను రెండు రోజుల్లో ఎవరూ స్కాన్ చేయనట్లు అనిపించవచ్చు. ఇది భ్రమ! Masscan ఒక అద్భుతమైన స్కానర్ మరియు సెకనుకు 10M పోర్ట్‌ల వద్ద స్కాన్ చేయగలదు. మరియు ఇంటర్నెట్‌లో కేవలం 4 బిలియన్ IPv4 మాత్రమే ఉన్నాయి. దీని ప్రకారం, ఇంటర్నెట్‌లోని మొత్తం 3306 పోర్ట్‌లు 7 నిమిషాల్లో ఉన్నాయి. చార్లెస్!!! ఏడు నిమిషాలు!
    "ఇది ఎవరికి కావాలి?" - మీరు అభ్యంతరం. కాబట్టి నేను పడిపోయిన ప్యాకేజీల గణాంకాలను చూసినప్పుడు నేను ఆశ్చర్యపోయాను. రోజుకు 40 వేల ప్రత్యేకమైన IPల నుండి 3 వేల స్కాన్ ప్రయత్నాలు ఎక్కడ నుండి వస్తాయి? ఇప్పుడు అమ్మ హ్యాకర్ల నుండి ప్రభుత్వాల వరకు అందరూ స్కాన్ చేస్తున్నారు. తనిఖీ చేయడం చాలా సులభం - ఏదైనా ** తక్కువ ధర కలిగిన ఎయిర్‌లైన్ నుండి ఏదైనా VPSని $3-5కి తీసుకోండి, పడిపోయిన ప్యాకేజీల లాగింగ్‌ను ప్రారంభించండి మరియు ఒక రోజులో లాగ్‌ని చూడండి.

లాగింగ్‌ని ప్రారంభిస్తోంది

/etc/iptables/rules.v4లో చివర జోడించండి:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4

మరియు /etc/rsyslog.d/10-iptables.confలో
:msg, కలిగి,"[FW - "/var/log/iptables.log
& ఆపండి

IP ద్వారా DDoS

దాడి చేసే వ్యక్తికి మీ IP గురించి తెలిస్తే, అతను మీ సర్వర్‌ని చాలా గంటలు లేదా రోజుల పాటు హైజాక్ చేయవచ్చు. అన్ని తక్కువ-ధర హోస్టింగ్ ప్రొవైడర్లు DDoS రక్షణను కలిగి ఉండరు మరియు మీ సర్వర్ కేవలం నెట్‌వర్క్ నుండి డిస్‌కనెక్ట్ చేయబడుతుంది. మీరు మీ సర్వర్‌ను CDN వెనుక దాచి ఉంచినట్లయితే, IPని మార్చడం మర్చిపోవద్దు, లేకుంటే హ్యాకర్ దాన్ని గూగుల్ చేసి, CDNని దాటవేస్తూ మీ సర్వర్‌ని DDoS చేస్తాడు (చాలా జనాదరణ పొందిన తప్పు).

సేవా దుర్బలత్వాలు

అన్ని జనాదరణ పొందిన సాఫ్ట్‌వేర్ త్వరగా లేదా తరువాత లోపాలను కనుగొంటుంది, అత్యంత పరీక్షించబడిన మరియు క్లిష్టమైన వాటిని కూడా. IB నిపుణులలో, సగం జోక్ ఉంది - చివరి నవీకరణ సమయానికి మౌలిక సదుపాయాల భద్రతను సురక్షితంగా అంచనా వేయవచ్చు. మీ ఇన్‌ఫ్రాస్ట్రక్చర్‌లో పోర్ట్‌లు సమృద్ధిగా ఉంటే మరియు మీరు దానిని ఒక సంవత్సరం పాటు అప్‌డేట్ చేయకపోతే, మీరు లీక్ అయ్యారని మరియు చాలావరకు హ్యాక్ చేయబడి ఉంటారని చూడకుండా ఏ సెక్యూరిటీ స్పెషలిస్ట్ అయినా మీకు చెబుతారు.
తెలిసిన దుర్బలత్వాలన్నీ ఒకప్పుడు తెలియనివని కూడా పేర్కొనాలి. అటువంటి దుర్బలత్వాన్ని కనుగొని, దాని ఉనికి కోసం మొత్తం ఇంటర్నెట్‌ను 7 నిమిషాల్లో స్కాన్ చేసిన హ్యాకర్‌ని ఊహించుకోండి... ఇక్కడ కొత్త వైరస్ మహమ్మారి ఉంది) మేము నవీకరించాలి, కానీ ఇది ఉత్పత్తికి హాని కలిగించవచ్చు, మీరు అంటున్నారు. అధికారిక OS రిపోజిటరీల నుండి ప్యాకేజీలు ఇన్‌స్టాల్ చేయబడకపోతే మీరు సరిగ్గానే ఉంటారు. అనుభవం నుండి, అధికారిక రిపోజిటరీ నుండి నవీకరణలు అరుదుగా ఉత్పత్తిని విచ్ఛిన్నం చేస్తాయి.

బ్రూట్ ఫోర్స్

పైన వివరించిన విధంగా, కీబోర్డ్ నుండి టైప్ చేయడానికి అనుకూలమైన అర బిలియన్ పాస్‌వర్డ్‌లతో డేటాబేస్ ఉంది. మరో మాటలో చెప్పాలంటే, మీరు పాస్‌వర్డ్‌ను రూపొందించకుండా, కీబోర్డ్‌పై ప్రక్కనే ఉన్న చిహ్నాలను టైప్ చేసినట్లయితే, మీరు దోచుకోబడతారని హామీ ఇవ్వండి*.

కెర్నల్ స్టాక్ దుర్బలత్వాలు.

కెర్నల్ నెట్‌వర్క్ స్టాక్ కూడా హాని కలిగించే అవకాశం ఉన్నప్పుడు, ఏ సేవ పోర్ట్‌ను తెరుస్తుందనేది కూడా పట్టింపు లేదు **** కూడా జరుగుతుంది. అంటే, రెండేళ్ల-పాత సిస్టమ్‌లోని ఏదైనా tcp/udp సాకెట్ ఖచ్చితంగా DDoSకి దారితీసే దుర్బలత్వానికి లోనవుతుంది.

పెరిగిన DDoS దాడులు

ఇది ఎటువంటి ప్రత్యక్ష నష్టాన్ని కలిగించదు, కానీ ఇది మీ ఛానెల్‌ను అడ్డుకుంటుంది, సిస్టమ్‌పై లోడ్‌ను పెంచుతుంది, మీ IP కొన్ని బ్లాక్-లిస్ట్‌లో ముగుస్తుంది***** మరియు మీరు హోస్టర్ నుండి దుర్వినియోగాన్ని స్వీకరిస్తారు.

మీకు ఈ ప్రమాదాలన్నీ నిజంగా అవసరమా? వైట్-లిస్ట్‌కి మీ ఇల్లు మరియు కార్యాలయ IPని జోడించండి. ఇది డైనమిక్ అయినప్పటికీ, హోస్ట్ యొక్క నిర్వాహక పానెల్ ద్వారా, వెబ్ కన్సోల్ ద్వారా లాగిన్ అవ్వండి మరియు మరొకదాన్ని జోడించండి.

నేను 15 సంవత్సరాలుగా IT మౌలిక సదుపాయాలను నిర్మిస్తున్నాను మరియు పరిరక్షిస్తున్నాను. నేను అందరికీ గట్టిగా సిఫార్సు చేసే నియమాన్ని అభివృద్ధి చేసాను - వైట్-లిస్ట్ లేకుండా ఏ ఓడరేవు ప్రపంచంలోకి ప్రవేశించకూడదు.

ఉదాహరణకు, అత్యంత సురక్షితమైన వెబ్ సర్వర్*** 80 మరియు 443ని CDN/WAF కోసం మాత్రమే తెరుస్తుంది. మరియు సర్వీస్ పోర్ట్‌లు (ssh, netdata, bacula, phpmyadmin) కనీసం వైట్-లిస్ట్ వెనుక ఉండాలి మరియు VPN వెనుక కూడా మెరుగ్గా ఉండాలి. లేకపోతే, మీరు రాజీపడే ప్రమాదం ఉంది.

నేను చెప్పాలనుకున్నది ఒక్కటే. మీ పోర్ట్‌లను మూసి ఉంచండి!

  • (1) యుపిడి 1: ఇది మీరు మీ చల్లని యూనివర్సల్ పాస్‌వర్డ్‌ని తనిఖీ చేయవచ్చు (అన్ని సేవల్లో ఈ పాస్‌వర్డ్‌ని యాదృచ్ఛికంగా మార్చకుండా దీన్ని చేయవద్దు), అది విలీనమైన డేటాబేస్‌లో కనిపించిందా. మరియు ఇక్కడ ఎన్ని సేవలు హ్యాక్ చేయబడ్డాయి, మీ ఇమెయిల్ ఎక్కడ చేర్చబడిందో మీరు చూడవచ్చు మరియు తదనుగుణంగా, మీ కూల్ యూనివర్సల్ పాస్‌వర్డ్ రాజీ పడిందో లేదో తెలుసుకోవచ్చు.
  • (2) Amazon క్రెడిట్‌కి, LightSail కనీస స్కాన్‌లను కలిగి ఉంది. స్పష్టంగా వారు దానిని ఏదో ఒకవిధంగా ఫిల్టర్ చేస్తారు.
  • (3) మరింత సురక్షితమైన వెబ్ సర్వర్ అంకితమైన ఫైర్‌వాల్ వెనుక ఉన్నది, దాని స్వంత WAF, కానీ మేము పబ్లిక్ VPS/అంకితమైన గురించి మాట్లాడుతున్నాము.
  • (4) సెగ్మెంట్స్మాక్.
  • (5) ఫైర్‌హోల్.

నమోదు చేసుకున్న వినియోగదారులు మాత్రమే సర్వేలో పాల్గొనగలరు. సైన్ ఇన్ చేయండిదయచేసి.

మీ పోర్ట్‌లు అతుక్కుపోయాయా?

  • ఎల్లప్పుడూ

  • కొన్నిసార్లు

  • ఎప్పుడూ

  • నాకు తెలియదు, ఫక్

54 మంది వినియోగదారులు ఓటు వేశారు. 6 మంది వినియోగదారులు దూరంగా ఉన్నారు.

మూలం: www.habr.com

ఒక వ్యాఖ్యను జోడించండి