لا تفتح الموانئ على العالم - فسوف يتم كسرها (المخاطر)

مرارًا وتكرارًا ، بعد التدقيق ، التقيت بسوء تفاهم بشأن توصياتي لإخفاء المنافذ خلف قائمة بيضاء. حتى المدراء الرائعين / DevOps'es يسألون: "لماذا؟!؟"

أقترح النظر في المخاطر في تناقص ترتيب احتمالية حدوث الضرر.

1. خطأ في التكوين
2. DDoS على IP
3. القوة الغاشمة
4. نقاط الضعف في الخدمة
5. نواة مكدس الثغرات
6. تعزيز هجمات DDoS

خطأ في التكوين

الوضع الأكثر شيوعا والخطرة. كيف يحدث ذلك. يحتاج المطور إلى اختبار الفرضية بسرعة ، فهو يرفع خادمًا مؤقتًا به mysql / redis / mongodb / elastic. كلمة المرور ، بالطبع ، معقدة ، وتستخدمها في كل مكان. إنه يفتح الخدمة للعالم - إنه مناسب له للاتصال من جهاز الكمبيوتر الخاص به دون شبكات VPN. بناء جملة iptables كسول جدًا ولا يمكن تذكره ، على أي حال ، يكون الخادم مؤقتًا. فقط بضعة أيام من التطوير - اتضح أنه جيد ، يمكنك إظهاره على العميل. يعجب العميل ، لا يوجد وقت لإعادة استخدامه ، نحن نطلقه في PROD!

مثال مبالغ فيه عمدا من أجل المشي على جميع الخليعون:

1. لا شيء دائم أكثر من مؤقت - أنا لا أحب هذه العبارة ، ولكن ذاتي ، لا يزال 20-40 ٪ من هذه الخوادم المؤقتة لفترة طويلة.
2. كلمة المرور العالمية المعقدة المستخدمة في العديد من الخدمات هي الشر. لأنه قد يتم اختراق إحدى الخدمات التي تم استخدام كلمة المرور هذه فيها. بطريقة أو بأخرى ، تتدفق قواعد البيانات الخاصة بالخدمات المخترقة إلى واحدة تُستخدم لـ [القوة الغاشمة] *.
   تجدر الإشارة إلى أن redis ، mongodb ومرنة بعد التثبيت متوفرة بشكل عام دون مصادقة ، وغالبًا ما يتم تجديد مجموعة قواعد البيانات المفتوحة .
3. قد يبدو أنه في غضون يومين لن يقوم أحد بفحص منفذ 3306 الخاص بك. هذا خطأ! ماسكان ماسح ضوئي ممتاز ، ويمكنه المسح في 10M منافذ في الثانية. وعلى شبكة الإنترنت لا يوجد سوى 4 مليارات IPv4. تبعا لذلك ، جميع المنافذ 3306 على شبكة الإنترنت هي في 7 دقائق. كارل !!! سبع دقائق!
   "من يهتم؟" - أنت تعترض. لذلك أنا مندهش بالنظر إلى إحصاءات الحزم انخفض. أين يوم واحد من 40 ألف محاولات المسح الضوئي من 3 آلاف IP فريدة من نوعها؟ سيتم الآن فحص الجميع بحثًا عن أي شخص ، بدءًا من المتسللين الأم إلى الحكومات. التحقق بسيط للغاية - خذ أي VPS مقابل 3-5 دولارات من أي ** منخفض التكلفة ، وتمكين تسجيل الحزم المسقطة وإلقاء نظرة على السجل في يوم واحد.

DDoS على IP

إذا كان المهاجم يعرف عنوان IP الخاص بك ، فيمكنه خنق الخادم الخاص بك لعدة ساعات أو أيام. لا تتمتع جميع الاستضافات منخفضة التكلفة بحماية DDoS وسيتم قطع اتصال الخادم الخاص بك ببساطة من الشبكة. إذا قمت بإخفاء الخادم الموجود خلف شبكة CDN ، فلا تنسَ تغيير عنوان IP ، وإلا فإن المتسلل سيذهب إلى Google و DDoS خادمك بتجاوز CDN (خطأ شائع جدًا).

نقاط الضعف في الخدمة

عاجلاً أم آجلاً ، توجد أخطاء في جميع البرامج الشائعة ، حتى في البرامج الأكثر اختبارًا والأكثر أهمية. بين مهندسي IS ، هناك مثل هذه النكتة - يمكن تقييم أمان البنية التحتية بسهولة بحلول وقت التحديث الأخير. إذا كانت البنية الأساسية الخاصة بك غنية بالموانئ المنتشرة في العالم ، ولم تقم بتحديثها لمدة عام ، فلن يخبرك أي حارس أمن بأنك مليء بالثغرات ، وعلى الأرجح تم اختراقها بالفعل.
تجدر الإشارة أيضًا إلى أن جميع نقاط الضعف المعروفة لم تكن معروفة من قبل. فقط تخيل وجود متسلل وجد مثل هذه الثغرة الأمنية ، وقام بمسح الإنترنت بالكامل في 7 دقائق بحثًا عن وجوده ... وإليك اندلاع فيروس جديد) يجب تحديثه ، لكنه قد يضر بالمنتج ، كما تقول. وسوف تكون على حق إذا لم يتم تثبيت الحزم من مستودعات OS الرسمية. من التجربة ، نادراً ما تحطم التحديثات من المستودع الرسمي المنتج.

القوة الغاشمة

كما هو موضح أعلاه ، هناك قاعدة بيانات تحتوي على نصف مليار كلمة مرور ملائمة للكتابة من لوحة المفاتيح. بمعنى آخر ، إذا لم تقم بإنشاء كلمة مرور ، لكنك كتبت الأحرف المجاورة على لوحة المفاتيح ، فتأكد من * - سوف يقومون بإزالتك.

نقاط الضعف في مكدس kernel.

يحدث **** أنه لا يهم حتى الخدمة التي تفتح المنفذ عندما يكون مكدس نواة الشبكة ضعيفًا. وهذا يعني أن أي مقبس tcp / udp على نظام ما قبل عامين يكون عرضة لضعف DDoS.

تعزيز هجمات DDoS

لن يؤدي ذلك إلى إحداث ضرر مباشر ، ولكنه قد يؤدي إلى انسداد قناتك ، ويزيد الحمل على النظام ، وسيذهب عنوان IP الخاص بك إلى قائمة سوداء ، وسوف تحصل على إساءة من المضيف.

هل حقا بحاجة الى كل هذه المخاطر؟ أضف منزلك وعمل IP إلى القائمة البيضاء. حتى لو كانت ديناميكية ، فقم بتسجيل الدخول من خلال لوحة إدارة المضيف ، من خلال وحدة التحكم على الويب ، ثم قم بإضافة لوحة أخرى.

لقد كنت أقوم ببناء وحماية البنية التحتية لتكنولوجيا المعلومات لمدة 15 عامًا. لقد طورت قاعدة أوصي بها بشدة للجميع - لا ينبغي لأي منفذ الدخول إلى العالم دون قائمة بيضاء .

على سبيل المثال ، خادم الويب الأكثر أمانًا *** هو الخادم الذي يعمل على فتح 80 و 443 لـ CDN / WAF فقط. ويجب أن تكون منافذ الخدمة (ssh و netdata و bacula و phpmyadmin) وراء القائمة البيضاء على الأقل ، بل وأفضل لشبكات VPN. خلاف ذلك ، أنت خطر التعرض للخطر.

لدي كل شيء. حافظ على منافذك مغلقة!

• (1) UPD1 : هنا يمكنك التحقق من كلمة مرورك العالمية الرائعة ( لا تفعل ذلك دون استبدال كلمة المرور هذه بكلمات عشوائية في جميع الخدمات ) ، إذا ظهرت في قاعدة البيانات المدمجة. ويمكنك هنا معرفة عدد الخدمات التي تم اختراقها ، ومكان ظهور بريدك الإلكتروني ، وبالتالي ، معرفة ما إذا كانت كلمة المرور العامة الرائعة قد تم اختراقها أم لا.
• (2) وفقًا لأمازون ، هناك على الأقل عمليات مسح على LightSail. على ما يبدو ، تصفيتها بطريقة أو بأخرى.
• (3) يعد خادم الويب الأكثر أمانًا هو الخادم الذي يقف وراء جدار الحماية المخصص ، وهو WAF الخاص به ، لكننا نتحدث عن VPS / Dedicated العامة.
• (4) Segmentsmak.
• (5) Firehol.