Geekly articles weekly

不要打开通往世界的港口-它们会破坏您(有风险)

图片


在审核之后,我一次又一次地建议我将端口隐藏在白名单的后面,这使我感到困惑。 甚至非常酷的管理员/ DevOps也会问:“为什么?!?”


我建议按发生和损坏的可能性从高到低的顺序考虑风险。


  1. 配置错误
  2. IP上的DDoS
  3. 蛮力
  4. 服务漏洞
  5. 内核堆栈漏洞
  6. 加强DDoS攻击

配置错误


最典型,最危险的情况。 它是如何发生的。 开发人员需要快速测试该假设,他使用mysql / redis / mongodb / elastic提出了一个临时服务器。 当然,密码很复杂,它无处不在。 它向世界开放了服务-在没有您的VPN的情况下,他可以方便地从您的PC连接。 而且iptables语法太懒惰而无法回忆,无论如何服务器都是临时的。 只需几天的开发-事实证明很好,您可以将其展示给客户。 客户喜欢它,没有时间可以重做,我们在PROD中启动它!


为了充分利用所有耙子,示例被故意夸大了:


  1. 没有什么比临时的更永久的了-我不喜欢这个短语,但是主观上,这种临时服务器中有20-40%可以保留很长时间。
  2. 许多服务中使用的复杂的通用密码是邪恶的。 因为,使用该密码的服务之一可能会被黑客入侵。 一种或另一种方式是,被黑服务的数据库涌向用于[暴力破解] *的数据库。
    值得补充的是,安装后的redis,mongodb和elastic通常无需身份验证即可使用,并且通常会补充开放数据库集合
  3. 似乎在几天之内,没人会扫描您的3306端口。 这是一个错误! Masscan是出色的扫描仪,每秒可以扫描10M端口。 在互联网上,只有40亿个IPv4。 因此,Internet上的所有第3306个端口都在7分钟之内。 卡尔! 七分钟!
    “谁在乎?” -你反对。 因此,我很惊讶地查看掉包的统计信息。 每天有4万次尝试从3 000个唯一IP进行扫描的地方在哪里? 现在,从母亲的黑客到政府,每个人都将被扫描。 检查非常简单-从任何低成本的公司以3-5美元的价格购买任何VPS,启用已删除软件包的日志记录并每天查看日志。

启用日志记录

在/etc/iptables/rules.v4末尾添加:
-A INPUT -j LOG --log前缀“ [FW-ALL]” --log级别4


并在/etc/rsyslog.d/10-iptables.conf中
:味精,包含“ [FW-” /var/log/iptables.log
并停止


IP上的DDoS


如果攻击者知道您的IP,他可以将您的服务器勒死几个小时或几天。 并非所有的低成本主机都具有DDoS保护,您的服务器将仅与网络断开连接。 如果将服务器隐藏在CDN后面,请不要忘记更改IP,否则黑客会用它搜索并绕过CDN的DDoS服务器(这是一个非常普遍的错误)。


服务漏洞


迟早会在所有流行的软件中发现错误,即使在经过最严格测试和最关键的软件中也是如此。 在IS工程师中,有一个半开玩笑-可以在最近一次更新时轻松估算基础结构的安全性。 如果您的基础结构中有大量的端口伸向世界,并且您一年都没有对其进行更新,那么任何安全防护人员都不会告诉您您充满了漏洞,并且很可能已经被黑客入侵。
还值得一提的是,所有已知漏洞都曾经是未知的。 想象一下,一个黑客发现了这样的漏洞,并在7分钟内扫描了整个Internet是否存在……这是一次新的病毒爆发。您需要说,它需要更新,但可能会损害产品。 如果未从官方操作系统存储库中安装软件包,那么您将是对的。 根据经验,官方存储库中的更新很少破坏产品。


蛮力


如上所述,存在一个数据库,该数据库具有五亿个密码,可从键盘方便地键入密码。 换句话说,如果您没有生成密码,但是在键盘上键入了附近的字符,请确保*-它们将删除您。


内核堆栈的漏洞。


碰巧,当网络内核堆栈本身容易受到攻击时,哪个服务打开端口都没有关系。 也就是说,两年前系统上的任何tcp / udp套接字绝对容易受到DDoS漏洞的攻击。


加强DDoS攻击


它不会带来直接损害,但会阻塞您的频道,增加系统负载,您的IP将进入黑名单*****,并且您会受到主机的滥用。


您真的需要所有这些风险吗? 将您的家庭和工作IP添加到白名单。 即使它是动态的,也可以通过主机管理面板,Web控制台登录,然后添加另一个。


我已经建立和保护IT基础架构已有15年了。 我制定了一条规则,强烈建议所有人- 没有白名单的任何端口都不应进入世界


例如,最安全的Web服务器***仅对CDN / WAF开放80和443。 服务端口(ssh,netdata,bacula,phpmyadmin)应至少位于白名单之后,对于VPN甚至更好。 否则,您可能会受到威胁。


我有一切 保持端口关闭!



  • (1) UPD1 :如果已在合并数据库中出现,您可以在此处检查您的通用密码( 不要在所有服务中都用随机密码替换此密码 )。 在这里,您可以查看被黑客入侵的服务数量,电子邮件的功能以及相应的信息,从而确定您的通用密码是否已被泄露。
  • (2)值得称赞的是,至少在LightSail上进行了扫描。 显然,以某种方式过滤掉了。
  • (3)专用防火墙WAF背后是一台更加安全的Web服务器,但是我们正在谈论公共VPS /专用服务器。
  • (4)Segmentsmak。
  • (5)Firehol。

Source: https://habr.com/ru/post/zh-CN446772/

More articles:


All Articles