ProHoster > Blog > Идораи > Бандарҳоро ба ҷаҳон накушоед - шумо шикаста хоҳед шуд (хатар)

Бандарҳоро ба ҷаҳон накушоед - шумо шикаста хоҳед шуд (хатар)

Бандарҳоро ба ҷаҳон накушоед - шумо шикаста хоҳед шуд (хатар)

Борҳо, пас аз гузаронидани аудит, дар посух ба тавсияҳои ман дар бораи пинҳон кардани бандарҳо дар паси рӯйхати сафед, ман бо девори нофаҳмӣ дучор мешавам. Ҳатто маъмурони хеле олӣ/DevOps мепурсанд: "Чаро?!?"

Ман пешниҳод мекунам, ки хатарҳо бо тартиби камшавии эҳтимолияти пайдоиш ва зарар баррасӣ карда шаванд.

  1. Хатогии конфигуратсия
  2. DDoS тавассути IP
  3. Қувваи бераҳм
  4. Камбудиҳои хидматрасонӣ
  5. Осебпазирии стеки ядро ​​​​
  6. Афзоиши ҳамлаҳои DDoS

Хатогии конфигуратсия

Ҳолати маъмултарин ва хатарнок. Чӣ тавр рӯй медиҳад. Таҳиягар бояд гипотезаро зуд санҷад; вай сервери муваққатиро бо mysql/redis/mongodb/elastic таъсис медиҳад. Парол, албатта, мураккаб аст, вай онро дар ҳама ҷо истифода мебарад. Он хидматро ба ҷаҳон мекушояд - барои ӯ аз компютери худ бидуни ин VPN-ҳои шумо пайваст шудан қулай аст. Ва ман барои ба ёд овардани синтаксиси iptables хеле танбалам; сервер ба ҳар ҳол муваққатӣ аст. Якчанд рӯзи дигар рушд - хеле хуб шуд, мо метавонем онро ба фармоишгар нишон диҳем. Ба муштарӣ писанд омад, барои аз нав кор кардан вақт нест, мо онро ба PROD оғоз мекунем!

Намунае, ки дидаву дониста муболиға карда шудааст, то аз тамоми раке гузаштан:

  1. Ҳеҷ чизи доимӣ аз муваққатӣ вуҷуд надорад - ба ман ин ибора маъқул нест, аммо тибқи эҳсосоти субъективӣ, 20-40% чунин серверҳои муваққатӣ барои муддати тӯлонӣ боқӣ мемонанд.
  2. Пароли мураккаби универсалӣ, ки дар бисёр хидматҳо истифода мешавад, бад аст. Зеро яке аз хадамот, ки дар он ин парол истифода шудааст, метавонист рахна карда шавад. Ба ин ё он роҳ, пойгоҳи додаҳои хидматҳои ҳакерӣ ба яке, ки барои [қуввати бераҳмона]* истифода мешавад, ҷамъ мешаванд.
    Қобили зикр аст, ки пас аз насб, redis, mongodb ва elastic умуман бе аутентификатсия дастрасанд ва аксар вақт пур карда мешаванд. ҷамъоварии маълумотҳои кушода.
  3. Чунин ба назар мерасад, ки ҳеҷ кас дар тӯли якчанд рӯз бандари 3306-и шуморо скан намекунад. Ин фиреб аст! Masscan сканери аъло аст ва метавонад дар 10 миллион бандар дар як сония скан кунад. Ва дар Интернет ҳамагӣ 4 миллиард IPv4 мавҷуд аст. Мутаносибан, ҳама 3306 бандарҳои Интернет дар 7 дақиқа ҷойгиранд. Чарлз!!! Ҳафт дақиқа!
    "Ин ба кӣ лозим?" — эътироз мекунед. Ҳамин тавр, вақте ки ман ба омори бастаҳои партофташуда нигоҳ мекунам, ҳайронам. Дар як рӯз 40 ҳазор кӯшиши скан аз 3 ҳазор IP-и беназир аз куҷо пайдо мешавад? Ҳоло ҳама аз ҳакерҳои модар то ҳукуматҳо скан мекунанд. Санҷиши он хеле осон аст - ҳама гуна VPS-ро бо нархи 3-5 доллар аз ҳама** ширкати ҳавопаймоии арзон гиред, сабти бастаҳои партофташударо фаъол созед ва дар як рӯз ба гузориш нигаред.

Фаъолсозии сабти

Дар /etc/iptables/rules.v4 дар охир илова кунед:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4

Ва дар /etc/rsyslog.d/10-iptables.conf
:msg, дорои,"[FW - "/var/log/iptables.log
& Ист

DDoS тавассути IP

Агар ҳамлакунанда IP-и шуморо донад, вай метавонад сервери шуморо дар тӯли якчанд соат ё рӯз ғорат кунад. На ҳама провайдерҳои хостинги арзон муҳофизати DDoS доранд ва сервери шумо танҳо аз шабака ҷудо карда мешавад. Агар шумо сервери худро дар паси CDN пинҳон карда бошед, иваз кардани IP-ро фаромӯш накунед, вагарна ҳакер онро гугл мекунад ва сервери шуморо DDoS карда, аз CDN мегузарад (хатои хеле маъмул).

Камбудиҳои хидматрасонӣ

Ҳама нармафзори маъмул дер ё зуд хатогиҳоро, ҳатто аз ҳама санҷидашуда ва муҳимтаринро пайдо мекунанд. Дар байни мутахассисони IB, нимшӯхӣ вуҷуд дорад - амнияти инфрасохторро то замони навсозии охирин бехатар арзёбӣ кардан мумкин аст. Агар инфрасохтори шумо аз бандарҳои ба ҷаҳон часпида бой бошад ва шумо онро дар тӯли як сол нав накарда бошед, он гоҳ ягон мутахассиси амният ба шумо бидуни назар кардани он, ки шумо ихроҷ ҳастед ва эҳтимол дорад, ки аллакай ҳакер шудаед, мегӯяд.
Инчунин бояд қайд кард, ки ҳама осебпазириҳои маълум замоне номаълум буданд. Тасаввур кунед, ки хакере, ки чунин осебпазириро пайдо кард ва дар давоми 7 дақиқа тамоми интернетро барои мавҷудияти он скан кард... Ана эпидемияи нави вирус) Мо бояд навсозӣ кунем, аммо ин метавонад ба маҳсулот зарар расонад, шумо мегӯед. Ва шумо дуруст мегӯед, агар бастаҳо аз анбори расмии OS насб карда нашаванд. Аз таҷриба, навсозиҳо аз анбори расмӣ кам маҳсулотро вайрон мекунанд.

Қувваи бераҳм

Тавре ки дар боло тавсиф шудааст, пойгоҳи додаҳо бо ним миллиард парол мавҷуд аст, ки барои чоп кардан аз клавиатура қулай мебошанд. Ба ибораи дигар, агар шумо парол тавлид накарда бошед, вале дар клавиатура аломатҳои ҳамсояро чоп карда бошед, мутмаин бошед*, ки онҳо шуморо ба иштибоҳ меандозанд.

Осебпазирии стеки ядро ​​​​.

Ин инчунин рӯй медиҳад****, ки ҳатто муҳим нест, ки кадом хидмат портро мекушояд, вақте ки худи стеки шабакаи ядро ​​​​ осебпазир аст. Яъне, комилан ҳама гуна васлаки tcp/udp дар системаи дусола ба осебпазирӣ, ки ба DDoS оварда мерасонад, осебпазир аст.

Афзоиши ҳамлаҳои DDoS

Он ба ягон зарари мустақим намерасонад, аммо он метавонад канали шуморо маҳкам кунад, сарбории системаро зиёд кунад, IP-и шумо дар рӯйхати сиёҳ***** хотима меёбад ва шумо аз hoster таҳқир хоҳед гирифт.

Оё шумо воқеан ба ҳамаи ин хатарҳо ниёз доред? IP-и хона ва кори худро ба рӯйхати сафед илова кунед. Ҳатто агар он динамикӣ бошад ҳам, тавассути панели администратори мизбон, тавассути веб консол ворид шавед ва танҳо дигареро илова кунед.

Ман дар тӯли 15 сол инфрасохтори IT-ро бунёд ва муҳофизат мекунам. Ман як қоидаеро таҳия кардам, ки ман ба ҳама тавсия медиҳам - ҳеҷ як бандар набояд дар ҷаҳон бидуни рӯйхати сафед боқӣ монад.

Масалан, веб-сервери бехатартарин*** онест, ки 80 ва 443-ро танҳо барои CDN/WAF мекушояд. Ва портҳои хидматрасонӣ (ssh, netdata, bacula, phpmyadmin) бояд ҳадди аққал дар паси рӯйхати сафед бошанд ва ҳатто дар паси VPN беҳтар бошанд. Дар акси ҳол, шумо хавфи зери хатар монданро доред.

Ин ҳама чизест, ки ман гуфтан мехостам. Портҳои худро баста нигоҳ доред!

  • (1) UPD1: Ин аст, шумо метавонед пароли универсалии худро тафтиш кунед (ин корро бе иваз кардани ин парол бо як тасодуфӣ дар ҳама хидматҳо иҷро накунед), оё он дар базаи муттаҳидшуда пайдо шудааст. Ва дар ин ҷо шумо метавонед бубинед, ки чӣ қадар хидматҳо ҳакер шудаанд, почтаи электронии шумо дар куҷо ҷойгир карда шудааст ва мувофиқан фаҳмед, ки оё пароли универсалии шумо осеб дидааст.
  • (2) Ба кредити Amazon, LightSail сканҳои ҳадди ақал дорад. Эҳтимол, онҳо онро бо ягон роҳ филтр мекунанд.
  • (3) Веб-сервери боз ҳам бехатартар онест, ки паси девори бахшидашуда, WAF-и худ аст, аммо мо дар бораи VPS/Dedicated оммавӣ гап мезанем.
  • (4) Сегментҳо.
  • (5) Фирехол.

Танҳо корбарони сабтиномшуда метавонанд дар пурсиш иштирок кунанд. даромад, Лутфан.

Оё портҳои шумо берун мемонанд?

  • Ҳамеша

  • Баъзан

  • Ҳеҷ гоҳ

  • Ман намедонам, лаънат

54 корбар овоз доданд. 6 корбар худдорӣ карданд.

Манбаъ: will.com

Илова Эзоҳ