بار بار، ایک آڈٹ کرنے کے بعد، بندرگاہوں کو سفید فہرست کے پیچھے چھپانے کی میری سفارشات کے جواب میں، مجھے غلط فہمی کی دیوار کا سامنا کرنا پڑا۔ یہاں تک کہ بہت اچھے منتظمین/DevOps پوچھتے ہیں: "کیوں؟!؟"
میں وقوع پذیر ہونے اور نقصان کے امکانات کے نزولی ترتیب میں خطرات پر غور کرنے کی تجویز کرتا ہوں۔
- کنفیگریشن کی خرابی۔
- IP پر DDoS
- جسمانی طاقت
- سروس کی کمزوریاں
- کرنل اسٹیک کی کمزوریاں
- DDoS حملوں میں اضافہ
کنفیگریشن کی خرابی۔
سب سے عام اور خطرناک صورتحال۔ یہ کیسے ہوتا ہے۔ ڈویلپر کو فوری طور پر مفروضے کی جانچ کرنے کی ضرورت ہے؛ وہ mysql/redis/mongodb/elastic کے ساتھ ایک عارضی سرور ترتیب دیتا ہے۔ پاس ورڈ، یقینا، پیچیدہ ہے، وہ اسے ہر جگہ استعمال کرتا ہے. یہ دنیا کے لیے سروس کھولتا ہے - اس کے لیے آپ کے ان VPNs کے بغیر اپنے PC سے رابطہ قائم کرنا آسان ہے۔ اور میں iptables نحو کو یاد رکھنے میں بہت سست ہوں؛ سرور بہرحال عارضی ہے۔ ترقی کے کچھ دن اور - یہ بہت اچھا نکلا، ہم اسے کسٹمر کو دکھا سکتے ہیں۔ کسٹمر اسے پسند کرتا ہے، اسے دوبارہ کرنے کا کوئی وقت نہیں ہے، ہم اسے PROD میں لانچ کرتے ہیں!
تمام ریک سے گزرنے کے لئے جان بوجھ کر مبالغہ آرائی کی ایک مثال:
- عارضی سے زیادہ مستقل کوئی چیز نہیں ہے - مجھے یہ جملہ پسند نہیں ہے، لیکن موضوعی احساسات کے مطابق، ایسے عارضی سرورز میں سے 20-40% طویل عرصے تک رہتے ہیں۔
- ایک پیچیدہ یونیورسل پاس ورڈ جو بہت سی خدمات میں استعمال ہوتا ہے برائی ہے۔ کیونکہ جن سروسز میں یہ پاس ورڈ استعمال کیا گیا تھا ان میں سے ایک کو ہیک کیا جا سکتا تھا۔ کسی نہ کسی طریقے سے، ہیک کی گئی سروسز کے ڈیٹا بیس ایک دوسرے میں جمع ہو جاتے ہیں، جو [بروٹ فورس]* کے لیے استعمال ہوتے ہیں۔
یہ شامل کرنے کے قابل ہے کہ تنصیب کے بعد، redis، mongodb اور لچکدار عام طور پر بغیر تصدیق کے دستیاب ہوتے ہیں، اور اکثر دوبارہ بھر جاتے ہیں۔ . - ایسا لگتا ہے کہ کوئی بھی آپ کے 3306 پورٹ کو چند دنوں میں اسکین نہیں کرے گا۔ یہ ایک فریب ہے! Masscan ایک بہترین سکینر ہے اور فی سیکنڈ 10M بندرگاہوں پر سکین کر سکتا ہے۔ اور انٹرنیٹ پر صرف 4 بلین IPv4 ہیں۔ اس کے مطابق، انٹرنیٹ پر تمام 3306 بندرگاہیں 7 منٹ میں واقع ہوتی ہیں۔ چارلس!!! سات منٹ!
"یہ کس کی ضرورت ہے؟" - آپ کو اعتراض ہے؟ لہذا جب میں گرائے گئے پیکجوں کے اعدادوشمار کو دیکھتا ہوں تو میں حیران ہوتا ہوں۔ روزانہ 40 ہزار منفرد IPs سے 3 ہزار اسکین کوششیں کہاں سے آتی ہیں؟ اب ماں کے ہیکرز سے لے کر حکومتوں تک ہر کوئی اسکین کر رہا ہے۔ یہ چیک کرنا بہت آسان ہے - کسی بھی** کم قیمت والی ایئر لائن سے $3-5 میں کوئی بھی VPS لیں، گرائے گئے پیکجوں کی لاگنگ کو فعال کریں اور ایک دن میں لاگ ان کو دیکھیں۔
لاگنگ کو فعال کرنا
/etc/iptables/rules.v4 میں آخر میں شامل کریں:
-A INPUT -j LOG --log-prefix "[FW - ALL]" --log-level 4
اور /etc/rsyslog.d/10-iptables.conf میں
:msg، پر مشتمل ہے،"[FW - " /var/log/iptables.log
اور روکو
IP پر DDoS
اگر کوئی حملہ آور آپ کا IP جانتا ہے، تو وہ آپ کے سرور کو کئی گھنٹوں یا دنوں تک ہائی جیک کر سکتا ہے۔ تمام کم لاگت والے ہوسٹنگ فراہم کنندگان کے پاس DDoS تحفظ نہیں ہے اور آپ کا سرور آسانی سے نیٹ ورک سے منقطع ہو جائے گا۔ اگر آپ نے اپنے سرور کو CDN کے پیچھے چھپا دیا ہے تو IP کو تبدیل کرنا نہ بھولیں، ورنہ ایک ہیکر اسے گوگل کر دے گا اور CDN کو نظرانداز کرتے ہوئے آپ کے سرور کو DDoS کرے گا (ایک بہت مشہور غلطی)۔
سروس کی کمزوریاں
تمام مقبول سافٹ ویئر جلد یا بدیر غلطیاں تلاش کرتے ہیں، یہاں تک کہ سب سے زیادہ آزمائشی اور تنقیدی بھی۔ آئی بی کے ماہرین کے درمیان، ایک آدھا مذاق ہے - بنیادی ڈھانچے کی حفاظت کو آخری اپ ڈیٹ کے وقت سے محفوظ طریقے سے اندازہ لگایا جا سکتا ہے. اگر آپ کا انفراسٹرکچر دنیا میں چپکی ہوئی بندرگاہوں سے مالا مال ہے، اور آپ نے اسے ایک سال سے اپ ڈیٹ نہیں کیا ہے، تو کوئی بھی سیکیورٹی ماہر آپ کو یہ دیکھے بغیر بتائے گا کہ آپ رساو ہیں، اور غالباً پہلے ہی ہیک ہو چکے ہیں۔
یہ بات بھی قابل ذکر ہے کہ تمام معلوم خطرات کبھی نامعلوم تھے۔ ایک ہیکر کا تصور کریں جس نے ایسی کمزوری پائی اور اس کی موجودگی کے لیے 7 منٹ میں پورا انٹرنیٹ اسکین کر لیا... اور آپ درست ہوں گے اگر پیکجز سرکاری OS ذخیروں سے انسٹال نہیں کیے گئے ہیں۔ تجربے سے، آفیشل ریپوزٹری سے اپ ڈیٹس شاذ و نادر ہی پروڈکٹ کو توڑ دیتے ہیں۔
جسمانی طاقت
جیسا کہ اوپر بیان کیا گیا ہے، ڈیڑھ ارب پاس ورڈز پر مشتمل ایک ڈیٹا بیس ہے جو کی بورڈ سے ٹائپ کرنے کے لیے آسان ہے۔ دوسرے لفظوں میں، اگر آپ نے پاس ورڈ نہیں بنایا، لیکن کی بورڈ پر ملحقہ علامتیں ٹائپ کی ہیں، تو یقین رکھیں* کہ وہ آپ کو الجھائیں گے۔
کرنل اسٹیک کی کمزوریاں۔
یہ بھی **** ہوتا ہے کہ اس سے کوئی فرق نہیں پڑتا کہ کون سی سروس پورٹ کو کھولتی ہے، جب کرنل نیٹ ورک اسٹیک خود ہی کمزور ہوتا ہے۔ یعنی، دو سال پرانے سسٹم پر بالکل کوئی بھی tcp/udp ساکٹ DDoS کی طرف جانے والے خطرے کے لیے حساس ہے۔
DDoS حملوں میں اضافہ
اس سے کوئی براہ راست نقصان نہیں ہوگا، لیکن یہ آپ کے چینل کو روک سکتا ہے، سسٹم پر بوجھ بڑھا سکتا ہے، آپ کا IP کچھ بلیک لسٹ میں آ جائے گا*****، اور آپ کو میزبان سے بدسلوکی ملے گی۔
کیا آپ کو واقعی ان تمام خطرات کی ضرورت ہے؟ اپنے گھر اور دفتر کا IP وائٹ لسٹ میں شامل کریں۔ یہاں تک کہ اگر یہ متحرک ہے، ہوسٹر کے ایڈمن پینل کے ذریعے، ویب کنسول کے ذریعے لاگ ان کریں، اور صرف ایک اور شامل کریں۔
میں 15 سالوں سے آئی ٹی انفراسٹرکچر کی تعمیر اور حفاظت کر رہا ہوں۔ میں نے ایک اصول تیار کیا ہے جس کی میں سختی سے ہر ایک کو تجویز کرتا ہوں - کسی بھی بندرگاہ کو وائٹ لسٹ کے بغیر دنیا میں نہیں رہنا چاہئے۔.
مثال کے طور پر، سب سے محفوظ ویب سرور*** وہ ہے جو صرف CDN/WAF کے لیے 80 اور 443 کھولتا ہے۔ اور سروس پورٹس (ssh, netdata, bacula, phpmyadmin) کم از کم وائٹ لسٹ کے پیچھے، اور VPN کے پیچھے بھی بہتر ہونا چاہیے۔ بصورت دیگر، آپ سے سمجھوتہ ہونے کا خطرہ ہے۔
میں بس یہی کہنا چاہتا تھا۔ اپنی بندرگاہیں بند رکھیں!
- (1) UPD1: آپ اپنا ٹھنڈا یونیورسل پاس ورڈ چیک کر سکتے ہیں (تمام سروسز میں اس پاس ورڈ کو بے ترتیب سے بدلے بغیر ایسا نہ کریں۔)، چاہے یہ ضم شدہ ڈیٹا بیس میں ظاہر ہوا ہو۔ آپ دیکھ سکتے ہیں کہ کتنی سروسز کو ہیک کیا گیا تھا، آپ کا ای میل کہاں شامل کیا گیا تھا، اور اس کے مطابق، معلوم کریں کہ آیا آپ کے بہترین یونیورسل پاس ورڈ سے سمجھوتہ کیا گیا ہے۔
- (2) ایمیزون کے کریڈٹ پر، لائٹ سیل میں کم سے کم اسکینز ہیں۔ بظاہر وہ اسے کسی نہ کسی طرح فلٹر کرتے ہیں۔
- (3) اس سے بھی زیادہ محفوظ ویب سرور ایک وقف فائر وال کے پیچھے ہے، اس کا اپنا WAF، لیکن ہم عوامی VPS/Dedicated کے بارے میں بات کر رہے ہیں۔
- (4) Segmentsmak.
- (5) فائر ہول۔
سروے میں صرف رجسٹرڈ صارفین ہی حصہ لے سکتے ہیں۔ ، برائے مہربانی.
کیا آپ کی بندرگاہیں چپک جاتی ہیں؟
-
ہمیشہ
-
کبھی کبھی
-
کبھی نہیں
-
میں نہیں جانتا، بھاڑ میں جاؤ
54 صارفین نے ووٹ دیا۔ 6 صارفین غیر حاضر رہے۔
ماخذ: www.habr.com