主持人 > 博客 > 管理 > 不要向世界开放港口 - 你会崩溃(风险)

不要向世界开放港口 - 你会崩溃(风险)

不要向世界开放港口 - 你会崩溃(风险)

在进行审计后,为了响应我将端口隐藏在白名单后面的建议,我一次又一次地遇到了误解之墙。 即使是非常酷的管理员/DevOps也会问:“为什么?!?”

我建议按照发生和损害的可能性降序考虑风险。

  1. 配置错误
  2. IP 上的 DDoS
  3. 蛮力
  4. 服务漏洞
  5. 内核堆栈漏洞
  6. DDoS 攻击增加

配置错误

最典型、最危险的情况。 这是怎么发生的。 开发人员需要快速测试假设;他使用 mysql/redis/mongodb/elastic 设置临时服务器。 密码当然很复杂,他到处都用它。 它向世界开放服务 - 他可以方便地从他的 PC 进行连接,而无需您的这些 VPN。 而且我懒得记住 iptables 语法;反正服务器是临时的。 又经过几天的开发 - 结果非常棒,我们可以向客户展示它。 客户喜欢它,没有时间重做,我们将其投入生产!

为了遍历所有的耙子,故意夸大了一个例子:

  1. 没有什么比临时性更永久的了——我不喜欢这个词,但根据主观感受,20-40%的此类临时服务器会长期保留。
  2. 许多服务中使用的复杂通用密码是邪恶的。 因为使用此密码的服务之一可能已被黑客入侵。 无论如何,被黑客攻击的服务的数据库都会涌入其中,用于[暴力]*。
    值得补充的是,安装后,redis、mongodb、elastic一般无需认证即可使用,并且经常补充 开放数据库集合.
  3. 似乎几天后就没有人会扫描您的 3306 端口了。 这是错觉! Masscan 是一款出色的扫描仪,每秒可以扫描 10M 个端口。 而互联网上的 IPv4 也只有 4 亿。 相应地,3306分钟内就定位了Internet上所有7端口。 查尔斯!!! 七分钟!
    “谁需要这个?” - 你反对。 因此,当我查看丢包的统计数据时,我感到很惊讶。 每天 40 个唯一 IP 的 3 次扫描尝试来自哪里? 现在,从妈妈的黑客到政府,每个人都在扫描。 检查非常简单 - 从任何**低成本航空公司购买任何 VPS 仅需 3-5 美元,启用丢弃包裹记录并查看一天的日志。

启用日志记录

在 /etc/iptables/rules.v4 末尾添加:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4

并在 /etc/rsyslog.d/10-iptables.conf 中
:msg,包含,"[FW - " /var/log/iptables.log
& 停止

IP 上的 DDoS

如果攻击者知道您的 IP,他可以劫持您的服务器数小时或数天。 并非所有低成本托管提供商都具有 DDoS 保护,您的服务器将简单地与网络断开连接。 如果您将服务器隐藏在 CDN 后面,请不要忘记更改 IP,否则黑客会通过 google 搜索它并绕过 CDN 对您的服务器进行 DDoS(这是一个非常常见的错误)。

服务漏洞

所有流行的软件迟早都会发现错误,即使是经过最严格测试和最关键的错误。 在IB专家中,有一个半笑话——基础设施的安全性可以通过最后一次更新的时间进行安全评估。 如果您的基础设施拥有丰富的连接到世界各地的端口,并且您已经一年没有更新它,那么任何安全专家都会在不看的情况下告诉您您存在漏洞,并且很可能已经被黑客攻击。
还值得一提的是,所有已知的漏洞都曾经是未知的。 想象一下,一个黑客发现了这样一个漏洞,并在 7 分钟内扫描了整个互联网以查找其存在......这是一种新的病毒流行)我们需要更新,但这可能会损害产品,你说。 如果这些软件包不是从官方操作系统存储库安装的,那么您是对的。 根据经验,官方存储库的更新很少会破坏产品。

蛮力

如上所述,有一个包含 XNUMX 亿个密码的数据库,可以方便地从键盘输入。 换句话说,如果您没有生成密码,而是在键盘上键入了相邻的符号,请放心*它们会让您感到困惑。

内核堆栈漏洞。

当内核网络堆栈本身容易受到攻击时,甚至哪个服务打开端口都无关紧要。 也就是说,两年前系统上的任何 tcp/udp 套接字绝对容易受到导致 DDoS 的漏洞的影响。

DDoS 攻击增加

它不会造成任何直接损害,但它会堵塞您的频道,增加系统负载,您的IP最终会被列入黑名单*****,并且您会受到托管服务商的滥用。

您真的需要承担所有这些风险吗? 将您的家庭和工作 IP 添加到白名单。 即使它是动态的,也可以通过托管商的管理面板、Web 控制台登录,然后添加另一个。

15 年来我一直致力于构建和保护 IT 基础设施。 我制定了一条强烈推荐给大家的规则—— 如果没有白名单,任何港口都不应融入世界.

例如,最安全的Web服务器***是只为CDN/WAF开放80和443的服务器。 服务端口(ssh、netdata、bacula、phpmyadmin)至少应该位于白名单后面,最好位于 VPN 后面。 否则,您将面临受到损害的风险。

这就是我想说的。 保持你的端口关闭!

  • (1) 更新1: 这是 您可以检查您的酷通用密码(如果没有在所有服务中将此密码替换为随机密码,请勿执行此操作),是否出现在合并数据库中。 在这里 您可以查看有多少服务被黑客攻击,您的电子邮件被包含在哪里,并相应地查明您的酷通用密码是否已被泄露。
  • (2) 值得亚马逊赞扬的是,LightSail 的扫描次数最少。 显然他们以某种方式过滤它。
  • (3) 更安全的 Web 服务器是位于专用防火墙(其自己的 WAF)后面的服务器,但我们谈论的是公共 VPS/专用。
  • (4) 分段标记。
  • (5)火霍尔。

只有注册用户才能参与调查。 登录拜托

你的端口突出吗?

  • 总是

  • 有时

  • 从来没有

  • 我不知道,他妈的

54 位用户投票。 6 名用户弃权。

来源: habr.com

添加评论