โปรโฮสต์ > บล็อก > การบริหาร > อย่าเปิดพอร์ตสู่โลก - คุณจะพัง (ความเสี่ยง)

อย่าเปิดพอร์ตสู่โลก - คุณจะพัง (ความเสี่ยง)

อย่าเปิดพอร์ตสู่โลก - คุณจะพัง (ความเสี่ยง)

ครั้งแล้วครั้งเล่าหลังจากดำเนินการตรวจสอบ เพื่อตอบสนองต่อคำแนะนำของฉันในการซ่อนพอร์ตไว้เบื้องหลังบัญชีขาว ฉันได้พบกับกำแพงแห่งความเข้าใจผิด แม้แต่ผู้ดูแลระบบ/DevOps ที่เจ๋งมากก็ยังถามว่า “ทำไมล่ะ?!?”

ฉันเสนอให้พิจารณาความเสี่ยงตามลำดับโอกาสที่จะเกิดขึ้นและความเสียหายจากมากไปน้อย

  1. ข้อผิดพลาดในการกำหนดค่า
  2. DDoS บน IP
  3. กำลังดุร้าย
  4. ช่องโหว่ของบริการ
  5. ช่องโหว่เคอร์เนลสแต็ก
  6. เพิ่มการโจมตี DDoS

ข้อผิดพลาดในการกำหนดค่า

สถานการณ์ทั่วไปและอันตรายที่สุด มันเกิดขึ้นได้อย่างไร. นักพัฒนาจำเป็นต้องทดสอบสมมติฐานอย่างรวดเร็ว เขาตั้งค่าเซิร์ฟเวอร์ชั่วคราวด้วย mysql/redis/mongodb/elastic แน่นอนว่ารหัสผ่านนั้นซับซ้อน เขาใช้มันทุกที่ เป็นการเปิดบริการสู่โลกกว้าง - สะดวกสำหรับเขาในการเชื่อมต่อจากพีซีโดยไม่ต้องใช้ VPN เหล่านี้ และฉันขี้เกียจเกินไปที่จะจำไวยากรณ์ iptables เซิร์ฟเวอร์นั้นเป็นแบบชั่วคราวอยู่แล้ว อีกสองสามวันของการพัฒนา ผลลัพธ์ออกมาดีมาก เราสามารถแสดงให้ลูกค้าเห็นได้ ลูกค้าชอบ ไม่มีเวลาทำใหม่ เราเปิดตัวเป็น PROD!

ตัวอย่างที่จงใจพูดเกินจริงเพื่อที่จะผ่านคราดทั้งหมด:

  1. ไม่มีอะไรถาวรไปกว่าชั่วคราว - ฉันไม่ชอบวลีนี้ แต่ตามความรู้สึกส่วนตัว 20-40% ของเซิร์ฟเวอร์ชั่วคราวดังกล่าวยังคงอยู่เป็นเวลานาน
  2. รหัสผ่านสากลที่ซับซ้อนที่ใช้ในบริการหลายอย่างถือเป็นสิ่งชั่วร้าย เนื่องจากหนึ่งในบริการที่ใช้รหัสผ่านนี้อาจถูกแฮ็กได้ ไม่ทางใดก็ทางหนึ่ง ฐานข้อมูลของบริการที่ถูกแฮ็กรวมตัวกันเป็นฐานข้อมูลเดียว ซึ่งใช้สำหรับ [กำลังดุร้าย]*
    ควรเพิ่มว่าหลังการติดตั้ง โดยทั่วไป redis, mongodb และ elastic จะพร้อมใช้งานโดยไม่มีการรับรองความถูกต้อง และมักจะถูกเติมเต็ม การรวบรวมฐานข้อมูลแบบเปิด.
  3. อาจดูเหมือนว่าไม่มีใครสแกนพอร์ต 3306 ของคุณภายในสองสามวัน มันเป็นภาพลวงตา! Masscan เป็นสแกนเนอร์ที่ยอดเยี่ยมและสามารถสแกนที่พอร์ต 10M ต่อวินาที และมี IPv4 เพียง 4 พันล้านบนอินเทอร์เน็ต ดังนั้นพอร์ต 3306 ทั้งหมดบนอินเทอร์เน็ตจึงอยู่ใน 7 นาที ชาร์ลส์!!! เจ็ดนาที!
    “ใครต้องการสิ่งนี้” - คุณคัดค้าน ฉันรู้สึกประหลาดใจเมื่อดูสถิติของแพ็คเกจที่ดรอป ความพยายามสแกน 40 ครั้งจาก IP ที่ไม่ซ้ำกัน 3 รายการมาจากไหนต่อวัน ตอนนี้ทุกคนกำลังสแกน ตั้งแต่แฮกเกอร์ของคุณแม่ไปจนถึงรัฐบาล ตรวจสอบได้ง่ายมาก - รับ VPS ในราคา $3-5 จากสายการบินราคาประหยัดใดๆ** เปิดใช้งานการบันทึกแพ็คเกจที่ตกหล่น และดูบันทึกในหนึ่งวัน

กำลังเปิดใช้งานการบันทึก

ใน /etc/iptables/rules.v4 เพิ่มต่อท้าย:
-A INPUT -j LOG --log-คำนำหน้า "[FW - ทั้งหมด] " --log ระดับ 4

และใน /etc/rsyslog.d/10-iptables.conf
:msg ประกอบด้วย "[FW - " /var/log/iptables.log
& หยุด

DDoS บน IP

หากผู้โจมตีทราบ IP ของคุณ เขาสามารถจี้เซิร์ฟเวอร์ของคุณได้เป็นเวลาหลายชั่วโมงหรือหลายวัน ผู้ให้บริการโฮสติ้งราคาประหยัดบางรายไม่มีการป้องกัน DDoS และเซิร์ฟเวอร์ของคุณจะถูกตัดการเชื่อมต่อจากเครือข่าย หากคุณซ่อนเซิร์ฟเวอร์ของคุณไว้ด้านหลัง CDN อย่าลืมเปลี่ยน IP มิฉะนั้นแฮ็กเกอร์จะค้นหาจาก Google และ DDoS เซิร์ฟเวอร์ของคุณโดยไม่ผ่าน CDN (ข้อผิดพลาดที่ได้รับความนิยมมาก)

ช่องโหว่ของบริการ

ไม่ช้าก็เร็วซอฟต์แวร์ยอดนิยมทั้งหมดจะพบข้อผิดพลาด แม้แต่ซอฟต์แวร์ที่ผ่านการทดสอบและสำคัญที่สุดก็ตาม ในบรรดาผู้เชี่ยวชาญ IB มีเรื่องตลกอยู่บ้าง - ความปลอดภัยของโครงสร้างพื้นฐานสามารถประเมินได้อย่างปลอดภัยเมื่อถึงเวลาอัปเดตครั้งล่าสุด หากโครงสร้างพื้นฐานของคุณเต็มไปด้วยพอร์ตต่างๆ มากมายทั่วโลก และคุณไม่ได้อัปเดตมันเป็นเวลาหนึ่งปี ผู้เชี่ยวชาญด้านความปลอดภัยจะบอกคุณโดยไม่ได้มองว่าคุณรั่ว และมีแนวโน้มว่าจะถูกแฮ็กไปแล้ว
นอกจากนี้ยังควรกล่าวถึงด้วยว่าช่องโหว่ที่รู้จักทั้งหมดนั้นไม่เคยมีใครรู้จักมาก่อน ลองนึกภาพแฮ็กเกอร์ที่พบช่องโหว่ดังกล่าวและสแกนอินเทอร์เน็ตทั้งหมดภายใน 7 นาทีเพื่อดูว่ามีอยู่... นี่คือการแพร่ระบาดของไวรัสครั้งใหม่) เราจำเป็นต้องอัปเดต แต่สิ่งนี้อาจเป็นอันตรายต่อผลิตภัณฑ์ได้ และคุณจะถูกต้องหากไม่ได้ติดตั้งแพ็คเกจจากที่เก็บระบบปฏิบัติการอย่างเป็นทางการ จากประสบการณ์ การอัปเดตจากพื้นที่เก็บข้อมูลอย่างเป็นทางการแทบจะไม่ทำให้ผลิตภัณฑ์เสียหาย

กำลังดุร้าย

ตามที่อธิบายไว้ข้างต้น มีฐานข้อมูลที่มีรหัสผ่านครึ่งพันล้านรหัสซึ่งสะดวกในการพิมพ์จากแป้นพิมพ์ กล่าวอีกนัยหนึ่ง หากคุณไม่ได้สร้างรหัสผ่าน แต่พิมพ์สัญลักษณ์ที่อยู่ติดกันบนแป้นพิมพ์ มั่นใจได้ว่า* มันจะทำให้คุณสับสน

ช่องโหว่เคอร์เนลสแต็ก

นอกจากนี้ยังเกิดขึ้น **** ไม่สำคัญว่าบริการใดจะเปิดพอร์ตเมื่อสแต็กเครือข่ายเคอร์เนลเองมีช่องโหว่ กล่าวคือ ซ็อกเก็ต tcp/udp ใดๆ บนระบบที่มีอายุสองปีจะเสี่ยงต่อช่องโหว่ที่นำไปสู่ ​​DDoS

เพิ่มการโจมตี DDoS

มันจะไม่ก่อให้เกิดความเสียหายโดยตรงใดๆ แต่สามารถอุดตันช่องของคุณ เพิ่มภาระให้กับระบบ IP ของคุณจะถูกลงบัญชีดำ***** และคุณจะได้รับการละเมิดจากโฮสต์เตอร์

คุณต้องการความเสี่ยงทั้งหมดนี้จริงหรือ? เพิ่ม IP ของบ้านและที่ทำงานของคุณลงในไวท์ลิสต์ แม้ว่าจะเป็นแบบไดนามิกก็ตาม ให้เข้าสู่ระบบผ่านแผงผู้ดูแลระบบของโฮสต์ ผ่านเว็บคอนโซล และเพิ่มอีกอันหนึ่ง

ฉันสร้างและปกป้องโครงสร้างพื้นฐานด้านไอทีมาเป็นเวลา 15 ปี ฉันได้พัฒนากฎที่ฉันขอแนะนำอย่างยิ่งให้กับทุกคน - ไม่มีพอร์ตใดที่จะโดดเด่นไปในโลกนี้หากไม่มีบัญชีขาว.

ตัวอย่างเช่น เว็บเซิร์ฟเวอร์ที่ปลอดภัยที่สุด*** คือเว็บเซิร์ฟเวอร์ที่เปิด 80 และ 443 สำหรับ CDN/WAF เท่านั้น และพอร์ตบริการ (ssh, netdata, bacula, phpmyadmin) อย่างน้อยควรอยู่หลัง white-list และดีกว่าหลัง VPN มิฉะนั้นคุณอาจเสี่ยงต่อการถูกบุกรุก

นั่นคือทั้งหมดที่ฉันอยากจะพูด ปิดพอร์ตของคุณไว้!

  • (1) ยูพีดี1: ที่นี่ คุณสามารถตรวจสอบรหัสผ่านสากลที่ยอดเยี่ยมของคุณได้ (อย่าทำเช่นนี้โดยไม่ต้องเปลี่ยนรหัสผ่านนี้ด้วยรหัสผ่านแบบสุ่มในทุกบริการ) ไม่ว่าจะปรากฏในฐานข้อมูลที่รวมเข้าด้วยกันหรือไม่ และที่นี่ คุณสามารถดูจำนวนบริการที่ถูกแฮ็ก อีเมลของคุณถูกรวมไว้ที่ไหน และด้วยเหตุนี้ จึงสามารถดูว่ารหัสผ่านสากลสุดเจ๋งของคุณถูกบุกรุกหรือไม่
  • (2) สำหรับเครดิตของ Amazon นั้น LightSail มีการสแกนเพียงเล็กน้อย เห็นได้ชัดว่าพวกเขากรองมันอย่างใด
  • (3) เว็บเซิร์ฟเวอร์ที่ปลอดภัยยิ่งกว่านั้นคือเว็บที่อยู่เบื้องหลังไฟร์วอลล์เฉพาะ ซึ่งเป็น WAF ของตัวเอง แต่เรากำลังพูดถึง VPS/เฉพาะสาธารณะ
  • (4) การแบ่งกลุ่ม
  • (5) ไฟร์ฮอล

เฉพาะผู้ใช้ที่ลงทะเบียนเท่านั้นที่สามารถเข้าร่วมในการสำรวจได้ เข้าสู่ระบบ, โปรด.

พอร์ตของคุณยื่นออกมาหรือไม่?

  • เสมอ

  • บางครั้ง

  • ไม่เคย

  • ฉันไม่รู้ ให้ตายเถอะ

ผู้ใช้ 54 คนโหวต ผู้ใช้ 6 รายงดออกเสียง

ที่มา: will.com

เพิ่มความคิดเห็น