Repetidas vezes, após a auditoria, nas minhas recomendações para esconder os portos atrás da lista branca, encontro um muro de mal-entendidos. Mesmo administradores muito legais / DevOps perguntam: "Por quê?!?"
Proponho considerar os riscos em ordem decrescente de probabilidade de ocorrência e dano.
- Erro de configuração
- DDoS sobre IP
- Bruteforce
- Vulnerabilidades de serviço
- Vulnerabilidades na pilha do kernel
- Fortalecendo ataques DDoS
Erro de configuração
A situação mais típica e perigosa. Como isso acontece? O desenvolvedor precisa testar rapidamente a hipótese, ele cria um servidor temporário com mysql / redis / mongodb / elastic. A senha, é claro, é complicada, usa-a em qualquer lugar. Ele abre o serviço para o mundo - é conveniente que ele se conecte a partir do seu PC sem essas VPNs. E a sintaxe do iptables é muito preguiçosa para lembrar, de qualquer maneira o servidor é temporário. Apenas alguns dias de desenvolvimento - acabou tudo bem, você pode mostrá-lo ao cliente. O cliente gosta, não há tempo para refazê-lo, lançamos no PROD!
Exemplo deliberadamente exagerado, a fim de andar em todos os ancinhos:
- Nada é mais permanente do que temporário - não gosto dessa frase, mas subjetivamente, 20 a 40% desses servidores temporários permanecem por muito tempo.
- A senha universal complexa usada em muitos serviços é ruim. Porque, um dos serviços em que essa senha foi usada pode ser invadido. De uma forma ou de outra, os bancos de dados de serviços invadidos são agrupados em um usado para [força bruta] *.
Vale acrescentar que redis, mongodb e elastic após a instalação geralmente estão disponíveis sem autenticação e geralmente reabastecem a coleção de bancos de dados abertos . - Pode parecer que em alguns dias ninguém escaneará sua porta 3306. Isso é um erro! O Masscan é um excelente scanner e pode digitalizar em 10M de portas por segundo. E na Internet existem apenas 4 bilhões de IPv4. Assim, todas as 3306th portas na Internet estão em 7 minutos. Karl !!! Sete minutos!
"Quem se importa?" - você se opõe. Então, eu estou surpreso olhando as estatísticas de pacotes descartados. Onde um dia de 40 mil tenta digitalizar entre 3 mil IP exclusivos? Agora, todos serão examinados em busca de alguém, de hackers da mãe a governos. A verificação é muito simples - pegue qualquer VPS por US $ 3-5 a partir de qualquer ** baixo custo, habilite o log de pacotes descartados e verifique o log em um dia.
Habilitando o logEm /etc/iptables/rules.v4, adicione no final:
-A INPUT -j LOG - prefixo de log "[FW - ALL]" - nível de log 4
E em /etc/rsyslog.d/10-iptables.conf
: msg, contém, "[FW -" /var/log/iptables.log
e parar
DDoS sobre IP
Se um invasor conhece seu IP, ele pode estrangular seu servidor por várias horas ou dias. Nem todos os hostings de baixo custo têm proteção DDoS e seu servidor simplesmente será desconectado da rede. Se você ocultou o servidor atrás de uma CDN, não se esqueça de alterar o IP, caso contrário, o hacker fará uma pesquisa no Google e fará DDoS no seu servidor ignorando a CDN (um erro muito popular).
Vulnerabilidades de serviço
Mais cedo ou mais tarde, erros são encontrados em todos os softwares populares, mesmo nos mais testados e mais críticos. Entre os engenheiros de SI, existe uma meia-piada - a segurança da infraestrutura pode ser facilmente estimada no momento da última atualização. Se sua infra-estrutura é rica em portas espalhadas pelo mundo e você não a atualiza há um ano, qualquer segurança não lhe dirá que você está cheio de buracos e provavelmente já foi hackeado.
Também vale mencionar que todas as vulnerabilidades conhecidas eram desconhecidas. Imagine um hacker que encontrou essa vulnerabilidade e examinou a Internet inteira em 7 minutos em busca de sua presença ... Aqui está um novo surto de vírus) Ele precisa ser atualizado, mas pode prejudicar o produto, diz você. E você estará certo se os pacotes não estiverem instalados nos repositórios oficiais do SO. Por experiência, as atualizações do repositório oficial raramente interrompem o produto.
Bruteforce
Como descrito acima, existe um banco de dados com meio bilhão de senhas que é conveniente digitar no teclado. Em outras palavras, se você não gerou uma senha, mas digitou caracteres próximos no teclado, verifique se * - eles o removerão.
Vulnerabilidades da pilha do kernel.
Acontece **** que nem importa qual serviço abre a porta quando a própria pilha do kernel da rede está vulnerável. Ou seja, absolutamente qualquer soquete tcp / udp em um sistema há dois anos é vulnerável a uma vulnerabilidade de DDoS.
Fortalecendo ataques DDoS
Ele não trará danos diretos, mas pode entupir seu canal, aumentar a carga no sistema, seu IP irá para alguma lista negra ***** e você receberá um abuso do host.
Você realmente precisa de todos esses riscos? Adicione seu IP residencial e comercial à lista branca. Mesmo que seja dinâmico, efetue login no painel de administração do host, no console da web e adicione outro.
Estou construindo e protegendo a infraestrutura de TI há 15 anos. Eu desenvolvi uma regra que recomendo a todos - nenhuma porta deve aparecer no mundo sem uma lista branca .
Por exemplo, o servidor Web mais seguro *** é aquele com 80 e 443 aberto apenas para CDN / WAF. E as portas de serviço (ssh, netdata, bacula, phpmyadmin) devem estar pelo menos atrás da lista branca e ainda melhor para a VPN. Caso contrário, você corre o risco de ser comprometido.
Eu tenho tudo Mantenha suas portas fechadas!
- (1) UPD1 : Aqui você pode verificar sua senha universal legal ( não faça isso sem substituir essa senha por outras aleatórias em todos os serviços ), se ela aparecer no banco de dados mesclado. E aqui você pode ver quantos serviços foram hackeados, onde seu email foi apresentado e, consequentemente, descobrir se sua senha universal legal foi comprometida.
- (2) Para crédito da Amazon, há pelo menos varreduras no LightSail. Aparentemente, de alguma forma filtrada.
- (3) Um servidor da Web ainda mais seguro é aquele por trás do firewall dedicado, seu WAF, mas estamos falando de VPS / Dedicado público.
- (4) fabricação de segmentos.
- (5) Firehol.