主持人 > 博客 > 管理 > 不要向世界開放港口 - 你會崩潰(風險)

不要向世界開放港口 - 你會崩潰(風險)

不要向世界開放港口 - 你會崩潰(風險)

在進行審計後,為了回應我將連接埠隱藏在白名單後面的建議,我一次又一次地遇到了誤解之牆。 即使是非常酷的管理員/DevOps也會問:“為什麼?!?”

我建議按照發生和損害的可能性降序考慮風險。

  1. 配置錯誤
  2. IP 上的 DDoS
  3. 暴力破解
  4. 服務漏洞
  5. 核心堆疊漏洞
  6. DDoS 攻擊增加

配置錯誤

最典型、最危險的情況。 這是怎麼發生的。 開發人員需要快速測試假設;他使用 mysql/redis/mongodb/elastic 設定臨時伺服器。 密碼當然很複雜,他到處都用它。 它向世界開放服務 - 他可以輕鬆地從他的 PC 進行連接,而無需您的這些 VPN。 而且我懶得記住 iptables 語法;反正伺服器是暫時的。 又經過幾天的開發 - 結果非常棒,我們可以向客戶展示它。 客戶喜歡它,沒有時間重做,我們將其投入生產!

為了遍歷所有的耙子,故意誇大了一個例子:

  1. 沒有什麼比臨時性更永久的了——我不喜歡這個詞,但根據主觀感受,20-40%的這類臨時伺服器會長期保留。
  2. 許多服務中使用的複雜通用密碼是邪惡的。 因為使用此密碼的服務之一可能已被駭客入侵。 無論如何,被駭客攻擊的服務的資料庫都會湧入其中,用於[暴力]*。
    值得補充的是,安裝後,redis、mongodb、elastic一般無需認證即可使用,並且經常補充 開放資料庫集合.
  3. 似乎幾天後就沒有人會掃描您的 3306 埠了。 這是錯覺! Masscan 是一款出色的掃描儀,每秒可掃描 10M 個連接埠。 而網路上的 IPv4 也只有 4 億。 相應地,3306分鐘內就定位了Internet上所有7埠。 查爾斯!!! 七分鐘!
    “誰需要這個?” - 你反對。 因此,當我查看丟失包裹的統計數據時,我感到很驚訝。 每天 40 個唯一 IP 的 3 次掃描嘗試來自哪裡? 現在,從媽媽的駭客到政府,每個人都在掃描。 檢查非常簡單 - 從任何**低成本航空公司購買任何 VPS 僅需 3-5 美元,啟用丟棄包裹記錄並查看一天的日誌。

啟用日誌記錄

在 /etc/iptables/rules.v4 末尾新增:
-A INPUT -j LOG --log-prefix "[FW - ALL] " --log-level 4

並在 /etc/rsyslog.d/10-iptables.conf 中
:msg,包含,"[FW - " /var/log/iptables.log
& 停止

IP 上的 DDoS

如果攻擊者知道您的 IP,他可以劫持您的伺服器數小時或數天。 並非所有低成本託管提供者都具有 DDoS 保護,您的伺服器將簡單地與網路斷開連接。 如果您將伺服器隱藏在 CDN 後面,請不要忘記更改 IP,否則駭客會透過 google 搜尋它並繞過 CDN 對您的伺服器進行 DDoS(這是一個非常常見的錯誤)。

服務漏洞

所有流行的軟體遲早都會發現錯誤,即使是經過最嚴格測試和最關鍵的錯誤。 在IB專家中,有一個半笑話——基礎設施的安全性可以透過最後一次更新的時間進行安全評估。 如果您的基礎設施擁有豐富的連接到世界各地的端口,並且您已經一年沒有更新它,那麼任何安全專家都會在不看的情況下告訴您您存在漏洞,並且很可能已經被黑客攻擊。
另外值得一提的是,所有已知的漏洞都曾經是未知的。 想像一下,一個駭客發現了這樣一個漏洞,並在7 分鐘內掃描了整個互聯網以查找其存在......這是一種新的病毒流行)我們需要更新,但這可能會損害產品,你說。 如果這些軟體包不是從官方作業系統儲存庫安裝的,那麼您是對的。 根據經驗,官方儲存庫的更新很少會破壞產品。

暴力破解

如上所述,有一個包含 XNUMX 億個密碼的資料庫,可以方便地從鍵盤輸入。 換句話說,如果您沒有產生密碼,而是在鍵盤上鍵入了相鄰的符號,請放心*它們會讓您感到困惑。

核心堆疊漏洞。

當內核網路堆疊本身容易受到攻擊時,甚至哪個服務打開連接埠都無關緊要。 也就是說,兩年前系統上的任何 tcp/udp 套接字絕對容易受到導致 DDoS 的漏洞的影響。

DDoS 攻擊增加

它不會造成任何直接損害,但它會堵塞您的頻道,增加系統負載,您的IP最終會被列入黑名單*****,並且您會受到託管服務商的濫用。

您真的需要承擔所有這些風險嗎? 將您的家庭和工作 IP 新增至白名單。 即使它是動態的,也可以透過託管商的管理面板、Web 控制台登錄,然後再新增另一個。

15 年來我一直致力於建置和保護 IT 基礎架構。 我制定了一條強烈推薦給大家的規則—— 如果沒有白名單,任何港口都不應融入世界.

例如,最安全的Web伺服器***是只為CDN/WAF開放80和443的伺服器。 服務連接埠(ssh、netdata、bacula、phpmyadmin)至少應該位於白名單後面,最好位於 VPN 後面。 否則,您將面臨受到損害的風險。

這就是我想說的話。 保持你的連接埠關閉!

  • (1) 更新1: 這裡 您可以檢查您的酷通用密碼(如果沒有在所有服務中將此密碼替換為隨機密碼,請勿執行此操作),是否出現在合併資料庫中。 和這裡 您可以查看有多少服務被駭客攻擊,您的電子郵件被包含在哪裡,並相應地查明您的酷通用密碼是否已洩露。
  • (2) 值得亞馬遜讚揚的是,LightSail 的掃描次數最少。 顯然他們以某種方式過濾它。
  • (3) 更安全的 Web 伺服器是位於專用防火牆(自己的 WAF)後面的伺服器,但我們談論的是公共 VPS/專用。
  • (4) 分段標記。
  • (5)火霍爾。

只有註冊用戶才能參與調查。 登入, 請。

你的連接埠突出嗎?

  • 總是

  • 有時

  • 從來沒有

  • 我不知道,他媽的

54 位用戶投票。 6 名用戶棄權。

來源: www.habr.com

添加評論