Geekly articles weekly

No abra puertos al mundo: lo romperán (riesgos)

imagen


Una y otra vez, después de la auditoría, en mis recomendaciones para ocultar los puertos detrás de la lista blanca me encuentro con un muro de malentendidos. Incluso los administradores / DevOps muy geniales preguntan: "¿Por qué?"


Propongo considerar los riesgos en orden decreciente de probabilidad de ocurrencia y daño.


  1. Error de configuración
  2. DDoS sobre IP
  3. Fuerza bruta
  4. Vulnerabilidades de servicio
  5. Vulnerabilidades de pila de kernel
  6. Fortalecimiento de los ataques DDoS

Error de configuración


La situación más típica y peligrosa. Como sucede El desarrollador necesita probar rápidamente la hipótesis, plantea un servidor temporal con mysql / redis / mongodb / elastic. La contraseña, por supuesto, es complicada, la usa en todas partes. Abre el servicio al mundo: es conveniente para él conectarse desde su PC sin estas de sus VPN. Y la sintaxis de iptables es demasiado vaga para recordar, de todos modos el servidor es temporal. Solo un par de días de desarrollo: resultó bien, puede mostrárselo al cliente. Al cliente le gusta, no hay tiempo para rehacerlo, ¡lo lanzamos en el PROD!


Ejemplo exagerado deliberadamente para caminar sobre todos los rastrillos:


  1. Nada es más permanente que temporal: no me gusta esta frase, pero subjetivamente, el 20-40% de estos servidores temporales permanecen durante mucho tiempo.
  2. La contraseña universal compleja que se usa en muchos servicios es mala. Porque, uno de los servicios donde se usó esta contraseña podría ser pirateado. De una forma u otra, las bases de datos de servicios pirateados se agrupan en una que se usa para [fuerza bruta] *.
    Vale la pena agregar que redis, mongodb y elastic después de la instalación generalmente están disponibles sin autenticación y, a menudo, reponen la colección de bases de datos abiertas .
  3. Puede parecer que en un par de días nadie escaneará su puerto 3306. Esto es un error! Masscan es un excelente escáner y puede escanear a 10 M de puertos por segundo. Y en Internet solo hay 4 mil millones de IPv4. En consecuencia, todos los puertos 3306 en Internet están en 7 minutos. Karl !!! Siete minutos!
    "¿A quién le importa?" - te opones. Así que me sorprende ver las estadísticas de los paquetes descartados. ¿De dónde viene un día de 40 mil intentos de escaneo de 3 mil IP únicas? Ahora todos serán escaneados en busca de alguien, desde los hackers de la madre hasta los gobiernos. La verificación es muy simple: tome cualquier VPS por $ 3-5 de cualquier aerolínea de bajo costo **, habilite el registro de paquetes descartados y mire el registro en un día.

Habilitar el registro

En /etc/iptables/rules.v4 agregue al final:
-A ENTRADA -j LOG --log-prefix "[FW - ALL]" --log-level 4


Y en /etc/rsyslog.d/10-iptables.conf
: msg, contiene, "[FW -" /var/log/iptables.log
y parar


DDoS sobre IP


Si un atacante conoce su IP, puede estrangular su servidor durante varias horas o días. No todos los alojamientos de bajo costo tienen protección DDoS y su servidor simplemente se desconectará de la red. Si ocultó el servidor detrás de una CDN, no olvide cambiar la IP, de lo contrario, el hacker lo buscará en Google y DDoS su servidor omitiendo la CDN (un error muy popular).


Vulnerabilidades de servicio


Tarde o temprano, los errores se encuentran en todos los programas populares, incluso en los más probados y críticos. Entre los ingenieros de IS, hay una broma: la seguridad de la infraestructura se puede evaluar fácilmente en el momento de la última actualización. Si su infraestructura es rica en puertos que sobresalen en el mundo y no la ha actualizado durante un año, cualquier guardia de seguridad no le dirá que está lleno de agujeros y que probablemente ya haya sido pirateado.
También vale la pena mencionar que todas las vulnerabilidades conocidas alguna vez fueron desconocidas. Imagínense a un pirata informático que encontró tal vulnerabilidad y escaneó toda Internet en 7 minutos en busca de su presencia ... Aquí hay un nuevo brote de virus) Debe actualizarse, pero puede dañar el producto, usted dice. Y tendrá razón si los paquetes no se instalan desde los repositorios oficiales del sistema operativo. Por experiencia, las actualizaciones del repositorio oficial rara vez rompen la producción.


Fuerza bruta


Como se describió anteriormente, hay una base de datos con medio billón de contraseñas que es conveniente escribir desde el teclado. En otras palabras, si no generó una contraseña, pero escribió caracteres cercanos en el teclado, asegúrese de *: lo eliminarán.


Vulnerabilidades de la pila del kernel.


Sucede que ni siquiera importa qué servicio abre el puerto cuando la pila del núcleo de la red en sí es vulnerable. Es decir, absolutamente cualquier socket tcp / udp en un sistema hace dos años es vulnerable a una vulnerabilidad DDoS.


Fortalecimiento de los ataques DDoS


No causará daños directamente, pero puede obstruir su canal, aumentar la carga en el sistema, su IP irá a una lista negra ***** y recibirá un abuso del host.


¿Realmente necesitas todos estos riesgos? Agregue la IP de su hogar y trabajo a la lista blanca. Incluso si es dinámico, inicie sesión a través del panel de administración del host, a través de la consola web, y simplemente agregue otro.


He estado construyendo y protegiendo infraestructura de TI durante 15 años. He desarrollado una regla que recomiendo encarecidamente a todos: ningún puerto debería sobresalir en el mundo sin una lista blanca .


Por ejemplo, el servidor web más seguro *** es el que tiene 80 y 443 abiertos solo para CDN / WAF. Y los puertos de servicio (ssh, netdata, bacula, phpmyadmin) deberían estar al menos detrás de la lista blanca, e incluso mejor para VPN. De lo contrario, corre el riesgo de verse comprometido.


Lo tengo todo ¡Mantenga sus puertos cerrados!



  • (1) UPD1 : Aquí puede verificar su contraseña universal genial ( no haga esto sin reemplazar esta contraseña por una aleatoria en todos los servicios ), si ha aparecido en la base de datos combinada. Y aquí puede ver cuántos servicios fueron pirateados, dónde se presentó su correo electrónico y, en consecuencia, averiguar si su contraseña universal genial se ha visto comprometida.
  • (2) Para crédito de Amazon, hay al menos escaneos en LightSail. Al parecer, de alguna manera filtrado.
  • (3) Un servidor web aún más seguro es el que está detrás del firewall dedicado, su WAF, pero estamos hablando de VPS público / dedicado.
  • (4) Segmentsmak.
  • (5) Firehol.

Source: https://habr.com/ru/post/446772/

More articles:


All Articles