何度も何度も、監査の後、ホワイトリストの後ろにポートを隠すという私の勧告に対する誤解の壁に出会います。 非常にクールな管理者/ DevOps'esでさえ、「なぜ?!?」
発生および損傷の可能性の高い順にリスクを考慮することを提案します。
構成エラー
最も典型的で危険な状況。 どうして起こるの。 開発者は仮説をすばやくテストする必要があり、mysql / redis / mongodb / elasticで一時サーバーを選択します。 もちろん、パスワードは複雑で、どこでも使用されます。 それは世界にサービスを開きます-彼がこれらのあなたのVPNなしで彼のPCから接続することは便利です。 そして、とにかくサーバーは一時的なものであるため、iptables構文は思い出すのが面倒です。 ほんの数日間の開発-それはうまくいったので、お客様に見せることができます。 顧客はそれを気に入っており、やり直す時間はありません。PRODで起動します。
すべての熊手を歩くために意図的に誇張された例:
- 一時的なものほど永続的なものはありません-私はこのフレーズが好きではありませんが、主観的には、そのような一時的なサーバーの20〜40%が長い間残っています。
- 多くのサービスで使用される複雑なユニバーサルパスワードは悪です。 なぜなら、このパスワードが使用されたサービスの1つがハッキングされる可能性があるためです。 何らかの方法で、ハッキングされたサービスのデータベースが1つに集まり、それが[ブルートフォース] *に使用されます。
インストール後のredis、mongodb、elasticは一般に認証なしで利用可能であり、多くの場合、開いているデータベースのコレクションを補充することを追加する価値があります 。 - 数日のうちに3306ポートをスキャンする人はいないようです。 これは間違いです! Masscanは優れたスキャナーであり、毎秒10Mポートでスキャンできます。 また、インターネット上には40億のIPv4しかありません。 したがって、インターネット上の3306番目のポートはすべて7分以内です。 カール!!! 7分!
「誰が気にしますか?」 -あなたは反対します。 だから私は、ドロップされたパッケージの統計を見て驚いた。 4万から1日が3,000の一意のIPからのスキャンを試行する場所 これで、母親のハッカーから政府まで、誰でもスキャンされます。 チェックは非常に簡単です。低コストの航空会社から3〜5ドルでVPSを受け取り、ドロップされたパッケージのログを有効にして、1日でログを確認します。
/etc/iptables/rules.v4で最後に追加します:
-A INPUT -j LOG --log-prefix "[FW-ALL]" --log-level 4
/etc/rsyslog.d/10-iptables.conf
:メッセージ、次を含む、「[FW-」/var/log/iptables.log
止まる
IPを介したDDoS
攻撃者があなたのIPを知っている場合、数時間または数日間サーバーを絞殺することができます。 すべての低コストホスティングがDDoS保護を備えているわけではなく、サーバーは単にネットワークから切断されます。 サーバーをCDNの背後に隠した場合は、IPを変更することを忘れないでください。そうしないと、ハッカーはそれをグーグルし、CDNをバイパスしてサーバーをDDoSします(非常によくあるエラー)。
サービスの脆弱性
遅かれ早かれ、最もテスト済みで最も重要なソフトウェアでさえ、すべての一般的なソフトウェアでエラーが見つかります。 ISエンジニアの中には、このような半ば冗談があります-インフラストラクチャのセキュリティは、最後の更新の時点までに安全に推定できます。 インフラストラクチャのポートが豊富で、世界中に突出していて、1年間更新していない場合、セキュリティガードは、あなたが穴だらけであり、すでにハッキングされている可能性が高いことを通知しません。
また、すべての既知の脆弱性がかつて未知だったことに言及する価値があります。 このような脆弱性を発見し、7分間でインターネット全体をスキャンしてその存在を確認したハッカーを想像してみてください...これは新しいウイルスの発生です)更新する必要がありますが、製品に損害を与える可能性があります。 そして、パッケージが公式のOSリポジトリからインストールされていない場合は正しいでしょう。 経験から、公式リポジトリからの更新が製品を壊すことはめったにありません。
ブルートフォース
上記のように、キーボードから入力するのに便利な5億個のパスワードを持つデータベースがあります。 つまり、パスワードを生成しなかったが、キーボードで近くの文字を入力した場合は、*を忘れないでください。
カーネルスタックの脆弱性。
ネットワークカーネルスタック自体が脆弱な場合、どのサービスがポートを開くかは関係ありません。 つまり、絶対に2年前のシステム上のtcp / udpソケットはDDoS脆弱性に対して脆弱です。
DDoS攻撃の強化
直接的なダメージはありませんが、チャネルを詰まらせたり、システムの負荷を増やしたり、IPがブラックリスト*****に移動したり、ホストから悪用される可能性があります。
これらすべてのリスクが本当に必要ですか? 自宅と職場のIPをホワイトリストに追加します。 動的な場合でも、ホスト管理パネル、Webコンソールからログインし、もう1つ追加するだけです。
私は15年間ITインフラストラクチャを構築および保護してきました。 私はすべての人に強くお勧めするルールを開発しました- ホワイトリストなしでポートを世界に突き出すべきではありません 。
たとえば、最も安全なWebサーバー***は、CDN / WAF専用に80と443が開いているWebサーバーです。 また、サービスポート(ssh、netdata、bacula、phpmyadmin)は少なくともホワイトリストの後ろにある必要があり、VPNの場合はさらに優れている必要があります。 そうしないと、侵害される危険があります。
私にはすべてがあります。 ポートを閉じたままにしてください!
- (1) UPD1 :マージされたデータベースに表示されている場合、 ここでクールなユニバーサルパスワードを確認できます( すべてのサービスでこのパスワードをランダムなパスワードに置き換えないでこれを実行しないでください )。 そして、ここでは、ハッキングされたサービスの数、メールが掲載された場所、そしてそれに応じて、クールなユニバーサルパスワードが侵害されたかどうかを確認できます。
- (2)Amazonの名誉のために、LightSailには少なくともスキャンがあります。 どうやら、どういうわけかフィルタリング。
- (3)さらに安全なWebサーバーは、専用のファイアウォールであるWAFの背後にありますが、パブリックVPS / Dedicatedについて話します。
- (4)Segmentsmak。
- (5)ファイアホル。