ProHoster > Blog > Ma'muriyat > Dunyoga portlarni ochmang - siz buzilib qolasiz (xavf)

Dunyoga portlarni ochmang - siz buzilib qolasiz (xavf)

Dunyoga portlarni ochmang - siz buzilib qolasiz (xavf)

Vaqti-vaqti bilan, audit o'tkazgandan so'ng, portlarni oq ro'yxat orqasida yashirish bo'yicha tavsiyalarimga javoban, men tushunmovchilik devoriga duch keldim. Hatto juda zo'r administratorlar/DevOps ham: "Nega?!?"

Men xavflarni yuzaga kelishi va zarar etkazish ehtimoli kamayishiga qarab ko'rib chiqishni taklif qilaman.

  1. Konfiguratsiya xatosi
  2. IP orqali DDoS
  3. Qo'pol kuch
  4. Xizmatning zaif tomonlari
  5. Yadro stekidagi zaifliklar
  6. DDoS hujumlarining ko'payishi

Konfiguratsiya xatosi

Eng tipik va xavfli holat. Bu qanday sodir bo'ladi. Ishlab chiquvchi gipotezani tezda sinab ko'rishi kerak; u mysql/redis/mongodb/elastic bilan vaqtinchalik server o'rnatadi. Parol, albatta, murakkab, u hamma joyda foydalanadi. Bu xizmatni dunyoga ochadi - u sizning ushbu VPN-laringizsiz shaxsiy kompyuteridan ulanishi qulay. Men iptables sintaksisini eslashga dangasaman; baribir server vaqtinchalik. Yana bir necha kunlik rivojlanish - bu ajoyib bo'ldi, biz buni mijozga ko'rsatishimiz mumkin. Bu mijozga yoqadi, uni qayta tiklashga vaqt yo'q, biz uni PRODga ishga tushiramiz!

Barcha rakelardan o'tish uchun ataylab bo'rttirilgan misol:

  1. Vaqtinchalikdan ko'ra doimiyroq narsa yo'q - menga bu ibora yoqmaydi, lekin sub'ektiv his-tuyg'ularga ko'ra, bunday vaqtinchalik serverlarning 20-40 foizi uzoq vaqt qoladi.
  2. Ko'pgina xizmatlarda ishlatiladigan murakkab universal parol yomondir. Chunki bu parol ishlatilgan xizmatlardan biri buzib kirishi mumkin edi. Qanday bo'lmasin, buzilgan xizmatlarning ma'lumotlar bazalari [qo'pol kuch]* uchun ishlatiladigan biriga to'planadi.
    Shuni qo'shimcha qilish kerakki, o'rnatishdan so'ng, redis, mongodb va elastik odatda autentifikatsiyasiz mavjud va ko'pincha to'ldiriladi. ochiq ma'lumotlar bazalari to'plami.
  3. Bir necha kun ichida hech kim sizning 3306 portingizni skanerlashi mumkin emasdek tuyulishi mumkin. Bu aldanish! Masscan ajoyib skaner bo'lib, soniyada 10M portda skanerlashi mumkin. Internetda esa atigi 4 milliard IPv4 mavjud. Shunga ko'ra, Internetdagi barcha 3306 port 7 daqiqada joylashgan. Charlz!!! Etti daqiqa!
    "Bu kimga kerak?" - e'tiroz bildirasiz. Shunday qilib, men tashlab ketilgan paketlar statistikasini ko'rib hayronman. Kuniga 40 ming noyob IP-dan 3 ming skanerlash urinishlari qayerdan keladi? Hozir hamma skaner qilmoqda, onaning xakerlaridan tortib hukumatlargacha. Tekshirish juda oson - istalgan** arzon aviakompaniyadan 3-5 dollarga istalgan VPS-ni oling, tushgan paketlarni jurnalga yozishni yoqing va bir kunda jurnalga qarang.

Jurnalga kirishni yoqish

/etc/iptables/rules.v4 da oxiriga qo'shing:
-A INPUT -j LOG --log-prefiks "[FW - ALL] " --log-daraja 4

Va /etc/rsyslog.d/10-iptables.conf da
:msg,o'z ichiga oladi,"[FW - " /var/log/iptables.log
& STOP

IP orqali DDoS

Agar tajovuzkor IP-ni bilsa, u bir necha soat yoki kun davomida serveringizni o'g'irlashi mumkin. Hamma arzon hosting provayderlarida DDoS himoyasi mavjud emas va serveringiz shunchaki tarmoqdan uzilib qoladi. Agar siz serveringizni CDN orqasiga yashirgan bo'lsangiz, IP-ni o'zgartirishni unutmang, aks holda xaker uni Google orqali yuboradi va CDN-ni chetlab o'tib serveringizni DDoS qiladi (juda mashhur xato).

Xizmatning zaif tomonlari

Barcha mashhur dasturiy ta'minot ertami-kechmi xatolarni, hatto eng sinovdan o'tgan va muhim bo'lganlarni ham topadi. IB mutaxassislari orasida yarim hazil bor - infratuzilma xavfsizligini so'nggi yangilanish vaqti bilan xavfsiz baholash mumkin. Agar sizning infratuzilmangiz portlarga boy bo'lsa va siz uni bir yil davomida yangilamagan bo'lsangiz, har qanday xavfsizlik bo'yicha mutaxassis sizni oqishingiz va katta ehtimol bilan buzib kirilganligingizni ko'rmasdan aytadi.
Shuni ham ta'kidlash kerakki, barcha ma'lum zaifliklar bir vaqtlar noma'lum edi. Tasavvur qiling-a, shunday zaiflikni topib, butun internetni 7 daqiqada uning mavjudligini tekshirib ko'rgan xaker... Mana, yangi virus epidemiyasi) Biz yangilashimiz kerak, lekin bu mahsulotga zarar etkazishi mumkin, deysiz. Va agar paketlar rasmiy OS omborlaridan o'rnatilmagan bo'lsa, siz haqsiz. Tajribaga ko'ra, rasmiy ombordan yangilanishlar kamdan-kam hollarda mahsulotni buzadi.

Qo'pol kuch

Yuqorida aytib o'tilganidek, klaviaturadan yozish uchun qulay bo'lgan yarim milliard parolga ega ma'lumotlar bazasi mavjud. Boshqacha qilib aytganda, agar siz parol yaratmagan bo'lsangiz, lekin klaviaturada qo'shni belgilarni yozgan bo'lsangiz, ular sizni chalg'itishiga ishonch hosil qiling*.

Yadro stekidagi zaifliklar.

Bundan tashqari, yadro tarmog'i stekining o'zi zaif bo'lsa, portni qaysi xizmat ochishi ham muhim emas. Ya'ni, ikki yoshli tizimdagi mutlaqo har qanday tcp/udp rozetkasi DDoS ga olib keladigan zaiflikka sezgir.

DDoS hujumlarining ko'payishi

Bu to'g'ridan-to'g'ri zarar etkazmaydi, lekin u kanalingizni yopishi, tizimdagi yukni oshirishi mumkin, sizning IP-manzilingiz qora ro'yxatda qoladi***** va siz hosterdan haqorat olasiz.

Sizga haqiqatan ham bu xavflarning barchasi kerakmi? Oq ro'yxatga uy va ish IP-ni qo'shing. Agar u dinamik bo'lsa ham, hosterning administrator paneli, veb-konsol orqali tizimga kiring va shunchaki boshqasini qo'shing.

Men 15 yildan beri IT infratuzilmasini qurib, himoya qilaman. Men hammaga qat'iy tavsiya qiladigan qoida ishlab chiqdim - Hech bir port oq ro'yxatsiz dunyoga chiqmasligi kerak.

Masalan, eng xavfsiz veb-server*** faqat CDN/WAF uchun 80 va 443-ni ochadigan serverdir. Va xizmat ko'rsatish portlari (ssh, netdata, bacula, phpmyadmin) hech bo'lmaganda oq ro'yxatning orqasida va hatto VPN ortida bo'lishi kerak. Aks holda, siz xavf ostida qolasiz.

Aytmoqchi boβ€˜lganim shu edi. Portlaringizni yopiq holda saqlang!

  • (1) UPD1: u ajoyib universal parolingizni tekshirishingiz mumkin (barcha xizmatlarda ushbu parolni tasodifiy parol bilan almashtirmasdan buni qilmang), u birlashtirilgan ma'lumotlar bazasida paydo bo'ladimi. Va bu erda qancha xizmatlar buzilganligini, elektron pochtangiz qayerga kiritilganligini ko'rishingiz va shunga mos ravishda ajoyib universal parolingiz buzilganligini bilib olishingiz mumkin.
  • (2) Amazon kreditiga, LightSail minimal skanerlarga ega. Ko'rinishidan, ular qandaydir tarzda filtrlaydilar.
  • (3) Bundan ham xavfsizroq veb-server - bu maxsus xavfsizlik devori, o'zining WAF ortidagi, ammo biz ommaviy VPS/Dedicated haqida gapiramiz.
  • (4) Segmentlar.
  • (5) Firehol.

So'rovda faqat ro'yxatdan o'tgan foydalanuvchilar ishtirok etishlari mumkin. tizimga kirishiltimos.

Sizning portlaringiz tashqariga chiqadimi?

  • Har doim

  • ba'zan

  • Hech qachon

  • Bilmayman, jinni

54 foydalanuvchi ovoz berdi. 6 nafar foydalanuvchi betaraf qoldi.

Manba: www.habr.com

a Izoh qo'shish