Prohoster > Blog > quản lý > Không mở cổng ra thế giới - bạn sẽ bị hỏng (rủi ro)

Không mở cổng ra thế giới - bạn sẽ bị hỏng (rủi ro)

Không mở cổng ra thế giới - bạn sẽ bị hỏng (rủi ro)

Hết lần này đến lần khác, sau khi tiến hành kiểm tra, theo khuyến nghị của tôi về việc giấu các cổng sau danh sách trắng, tôi đã gặp phải một bức tường hiểu lầm. Ngay cả những quản trị viên/DevOps rất thú vị cũng hỏi: “Tại sao?!?”

Tôi đề xuất xem xét rủi ro theo thứ tự giảm dần về khả năng xảy ra và thiệt hại.

  1. Lỗi cấu hình
  2. DDoS qua IP
  3. lực lượng vũ phu
  4. Lỗ hổng dịch vụ
  5. Lỗ hổng ngăn xếp hạt nhân
  6. Các cuộc tấn công DDoS gia tăng

Lỗi cấu hình

Tình huống điển hình và nguy hiểm nhất. Làm thế nào nó xảy ra. Nhà phát triển cần nhanh chóng kiểm tra giả thuyết, anh ta thiết lập một máy chủ tạm thời với mysql/redis/mongodb/elastic. Tất nhiên, mật khẩu rất phức tạp, anh ấy sử dụng nó ở mọi nơi. Nó mở ra dịch vụ với thế giới - thật thuận tiện cho anh ấy kết nối từ PC của mình mà không cần các VPN này của bạn. Và tôi quá lười để nhớ cú pháp iptables; dù sao thì máy chủ cũng chỉ là tạm thời. Một vài ngày phát triển nữa - mọi chuyện diễn ra thật tuyệt vời, chúng tôi có thể cho khách hàng xem. Khách hàng thích, không có thời gian làm lại, chúng tôi cho vào SẢN XUẤT!

Một ví dụ cố tình phóng đại để đi qua tất cả các cào:

  1. Không có gì lâu dài hơn tạm thời - Tôi không thích cụm từ này, nhưng theo cảm nhận chủ quan, 20-40% máy chủ tạm thời như vậy vẫn tồn tại trong thời gian dài.
  2. Một mật khẩu chung phức tạp được sử dụng trong nhiều dịch vụ là điều không tốt. Bởi vì một trong những dịch vụ sử dụng mật khẩu này có thể đã bị hack. Bằng cách này hay cách khác, cơ sở dữ liệu của các dịch vụ bị tấn công tập trung lại thành một, được sử dụng cho [vũ phu]*.
    Điều đáng nói thêm là sau khi cài đặt, redis, mongodb và elastic thường có sẵn mà không cần xác thực và thường được bổ sung bộ sưu tập cơ sở dữ liệu mở.
  3. Có vẻ như sẽ không có ai quét cổng 3306 của bạn trong vài ngày tới. Đó là một ảo tưởng! Masscan là một máy quét tuyệt vời và có thể quét ở tốc độ 10M cổng mỗi giây. Và chỉ có 4 tỷ IPv4 trên Internet. Theo đó, tất cả 3306 cổng trên Internet đều được định vị trong 7 phút. Charles!!! Bảy phút!
    “Ai cần cái này?” - bạn phản đối. Vì vậy, tôi rất ngạc nhiên khi nhìn vào số liệu thống kê về các gói hàng bị rơi. 40 nghìn lượt quét từ 3 nghìn IP duy nhất đến từ đâu mỗi ngày? Bây giờ tất cả mọi người đều đang quét, từ hacker của mẹ cho đến chính phủ. Việc kiểm tra rất dễ dàng - nhận bất kỳ VPS nào với giá $3-5 từ bất kỳ hãng hàng không giá rẻ** nào, cho phép ghi lại các gói hàng bị rơi và xem nhật ký trong một ngày.

Kích hoạt ghi nhật ký

Trong /etc/iptables/rules.v4 thêm vào cuối:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4

Và trong /etc/rsyslog.d/10-iptables.conf
:msg,contains,"[FW - " /var/log/iptables.log
& dừng lại

DDoS qua IP

Nếu kẻ tấn công biết IP của bạn, hắn có thể chiếm quyền điều khiển máy chủ của bạn trong vài giờ hoặc vài ngày. Không phải tất cả các nhà cung cấp dịch vụ lưu trữ giá rẻ đều có tính năng bảo vệ DDoS và máy chủ của bạn sẽ bị ngắt kết nối khỏi mạng. Nếu bạn ẩn máy chủ của mình sau CDN, đừng quên thay đổi IP, nếu không hacker sẽ google nó và DDoS máy chủ của bạn bỏ qua CDN (một lỗi rất phổ biến).

Lỗ hổng dịch vụ

Tất cả các phần mềm phổ biến sớm hay muộn đều tìm thấy lỗi, ngay cả những phần mềm được kiểm tra và quan trọng nhất. Trong số các chuyên gia IB, có một điều nửa đùa nửa thật - tính bảo mật của cơ sở hạ tầng có thể được đánh giá một cách an toàn vào thời điểm cập nhật lần cuối. Nếu cơ sở hạ tầng của bạn có nhiều cổng xuất hiện trên thế giới và bạn đã không cập nhật nó trong một năm, thì bất kỳ chuyên gia bảo mật nào cũng sẽ nói với bạn mà không cần để ý rằng bạn đã bị rò rỉ và rất có thể đã bị hack.
Điều đáng nói là tất cả các lỗ hổng đã biết trước đây đều chưa được biết đến. Hãy tưởng tượng một hacker đã tìm thấy một lỗ hổng như vậy và quét toàn bộ Internet trong 7 phút để tìm sự hiện diện của nó... Đây là một đợt dịch virus mới) Chúng tôi cần cập nhật, nhưng điều này có thể gây hại cho sản phẩm, bạn nói. Và bạn sẽ đúng nếu các gói không được cài đặt từ kho hệ điều hành chính thức. Theo kinh nghiệm, các bản cập nhật từ kho chính thức hiếm khi làm hỏng sản phẩm.

lực lượng vũ phu

Như đã mô tả ở trên, có một cơ sở dữ liệu với nửa tỷ mật khẩu rất thuận tiện để gõ từ bàn phím. Nói cách khác, nếu bạn không tạo mật khẩu mà gõ các ký hiệu liền kề trên bàn phím, hãy yên tâm* rằng chúng sẽ khiến bạn nhầm lẫn.

Lỗ hổng ngăn xếp hạt nhân.

Điều đó cũng xảy ra **** rằng việc dịch vụ nào mở cổng thậm chí không quan trọng, khi bản thân ngăn xếp mạng hạt nhân dễ bị tấn công. Nghĩa là, hoàn toàn bất kỳ ổ cắm tcp/udp nào trên hệ thống hai năm tuổi đều dễ bị tổn thương dẫn đến DDoS.

Các cuộc tấn công DDoS gia tăng

Nó sẽ không gây ra bất kỳ thiệt hại trực tiếp nào, nhưng nó có thể làm tắc nghẽn kênh của bạn, tăng tải cho hệ thống, IP của bạn sẽ nằm trong danh sách đen***** nào đó và bạn sẽ bị lạm dụng từ nhà cung cấp dịch vụ lưu trữ.

Bạn có thực sự cần tất cả những rủi ro này? Thêm IP nhà riêng và cơ quan của bạn vào danh sách trắng. Ngay cả khi nó là động, hãy đăng nhập thông qua bảng quản trị của nhà cung cấp dịch vụ lưu trữ, thông qua bảng điều khiển web và chỉ cần thêm một bảng khác.

Tôi đã xây dựng và bảo vệ cơ sở hạ tầng CNTT được 15 năm. Tôi đã phát triển một quy tắc mà tôi đặc biệt khuyến khích mọi người - không có cảng nào có thể vươn ra thế giới mà không có danh sách trắng.

Ví dụ: máy chủ web an toàn nhất*** là máy chủ chỉ mở 80 và 443 cho CDN/WAF. Và các cổng dịch vụ (ssh, netdata, bacula, phpmyadmin) ít nhất phải nằm sau danh sách trắng và thậm chí tốt hơn sau VPN. Nếu không, bạn có nguy cơ bị xâm phạm.

Đó là tất cả những gì tôi muốn nói. Giữ cổng của bạn đóng lại!

  • (1) CẬP NHẬT1: Здесь bạn có thể kiểm tra mật khẩu phổ quát thú vị của mình (không làm điều này mà không thay thế mật khẩu này bằng một mật khẩu ngẫu nhiên trong tất cả các dịch vụ), cho dù nó có xuất hiện trong cơ sở dữ liệu đã hợp nhất hay không. Và đây bạn có thể xem có bao nhiêu dịch vụ đã bị tấn công, email của bạn được bao gồm ở đâu và theo đó, tìm hiểu xem liệu mật khẩu phổ biến thú vị của bạn có bị xâm phạm hay không.
  • (2) Theo ghi nhận của Amazon, LightSail có số lần quét tối thiểu. Rõ ràng họ lọc nó bằng cách nào đó.
  • (3) Một máy chủ web thậm chí còn an toàn hơn là máy chủ có tường lửa chuyên dụng, WAF riêng, nhưng chúng ta đang nói về VPS/Chuyên dụng công cộng.
  • (4) Phân đoạn.
  • (5) Hỏa lực.

Chỉ những người dùng đã đăng ký mới có thể tham gia khảo sát. Đăng nhập, xin vui lòng.

Các cổng của bạn có bị lộ ra ngoài không?

  • Luôn luôn

  • Đôi khi

  • Không bao giờ

  • Tôi không biết, chết tiệt

54 người dùng bình chọn. 6 người dùng bỏ phiếu trắng.

Nguồn: www.habr.com

Thêm một lời nhận xét