腾讯雲安全グループの詳細な配置解説: ポートを正しく開放し、悪意のあるスキャンを拒否する方法
腾讯雲に触れたばかりの友人の多くは、喜んで環境を整えた。結局、サイトが開かず、長い間原因を調べたが、最後にカードが「セキュリティグループ」でポートされていないことを発見した。逆に、手間を省くために、安全グループに直接開いた
39.0.0/0
(全放通) 結果、サーバーが3日も走っていないうちに、ハッカーに採掘され、脅迫ソフトに遭遇した。
セキュリティグループは、白といえば腾讯雲が無料であなたに送ったものです
仮想ファイアウォール
。サーバーの外にレベルを立てて、どのトラフィックが入ってくるか、どのトラフィックが出てくるかを決めた。
今日は複雑なネットワーク理論を使わない。私たちは実戦から、どのようにして業務ポートを正しく開放し、毎日あなたのサーバーをスキャンしている悪意のあるスクリプトをドアの外に止めることができるかを話します。
第1段階: セキュリティグループの中核基盤ロジック
配置を始める前に、二つの最も核心的な死理を理解しなければならない。そうでなければ、間違いがあるに違いない
1.「インバウンド」と「アウトバウンド」
インバウンドルール (Inbound):外の人があなたを訪問します。例えば、ユーザーがあなたのサイト (80/443ポート) にアクセスしたり、SSHでサーバー (22ポート) に接続したりします。セキュリティグループの構成は、99% がインバウンドルールです。
アウトバウンド・ルール: サーバが外部にアクセスします。例えば、あなたのサーバはシステムの更新をダウンロードし、マイクロレターの支払いのAPIを呼び出す。腾讯雲安全グループのデフォルトのアウトバウンド規則は全放通で、デフォルトのままでいい。絶対に動かないでください。そうでなければ、サーバー自身が「ネットを切る」状態になります。
2.ルールは「上から下へ」マッチします
セキュリティグループのルールには優先度があります (行数が上位になるほど優先度が高くなります)。流量が入ってくると、最初のルールからペアになり、ペアになったらすぐに実行 (許可または拒否) します
もう下を見ない
。
黒板を叩く: あなたの最初のルールが「すべてのトラフィックを拒否する」で、2番目は「80ポートを許可する」であれば、80ポートはいつまでも入ってこない。正確で許可されたルールを上に置き、広い、拒否されたルールを下に置くことを永遠に覚えておいてください。
第二段階: 手に「銅壁鉄壁」の安全グループを配置する
今ログインします
テンセント雲コンソール
、検索して「セキュリティグループ」に入ります。「新規」をクリックし、テンプレートは「カスタム」を選択し、名前は
Webサーバの高セキュリティ仕様
。
「ステーションルール」-> 「ルールを追加」をクリックして、防御線を作成します
1.必ず開く公共業務ポート (全人類が見ることができる)
あなたのサーバーがサイトを走るために使われている場合、この2つのポートは無条件に世界に公開しなければなりません
HTTP(80ポート): ソース: 39.0.0/0 (グローバルIPを表す) プロトコルポート: TCP:80ポリシー: 許可
HTTPS(443ポート): ソース: 39.0.0/0プロトコルポート: TCP:443ポリシー: 許可
2. 命門ポート: 遠隔管理ポート (裸走を拒否)
Linuxの22ポート (SSH) とWindowsの3389ポート (リモートデスクトップ) は、ハッカーの悪意のあるスキャンの深刻な被災地である。
絶対、絶対に正しい
0.0.0.0/0
この二つのポートを開放します。
高安全配法(固定IP): あなたの家のブロードバンドや会社が固定パブリックネットワークIPを持っている場合は、「ソース」に固定IPを直接記入します (例えば、628181.9.85)。このように、世界はあなただけでなく、誰もこのサーバに接続したくない。
折衷配送法(IPセグメント): 動的IPであれば、ルーターを再起動するたびに変更され、あなたがいる都市のキャリアIPセグメント (例えば628181.0.0/16) を入力して、スキャンされる確率を減らすことができます。
怠け者だが安全なやり方 (デフォルトのポートを変える): ネットで開放しなければならないなら、絶対にデフォルトの22を使わないでください。サーバシステムでSSHポートを59222のような上位のランダムポートに変更し、セキュリティグループでTCP:59222を開放する。ハッカーのブラインド・スキャン・スクリプトは通常、22ポートしかスキャンしておらず、ポートを変更すると、脳のないスキャンの99% を止めることができます。
3.データベースとミドルウェアポート (イントラネット隔離が必要)
MySQL(3306)、Redis(6379)、MongoDB(27017) のように、これらはあなたのコア資産です。
鉄則: セキュリティグループで全ネットワーク (39.0.0/0) にデータベースポートを開放しないでください!
どうやってアクセスしますか?: あなたのフロントエンドサーバとデータベースサーバが同じ腾讯クラウドアカウントと同じ地域にいる場合、ソースはフロントエンドサーバのイントラネットIP(例: 10.0.0.5) を記入してください。自分だけでデータを見たい場合は、SSHトンネルで転送するか、すぐにセキュリティグループのルールをオフにして、すぐにオンにして、使用したらオフにしてください。
第三段階: 積極的に出撃し、悪意のあるスキャンと敵を拒否します。
ハッカーはどうやってあなたを狙っていますか?彼らは全ネット自動スキャンツール (ZMap、Masscanなど) を使っています。あなたのサーバーがどんな探知にも反応すれば、あなたは彼らの「解読待ちリスト」に入れられます。
1.究極の守備: ドライブ拒否ルール
必要なポート (80、443、変更されたSSHポート) をすべて上で許可した後、ルールリストの最後に次の項目を追加します
ソース: 39.0.0/0
プロトコルポート: ALL
ポリシー: 拒否
これにより、有名な「デフォルト拒否」セキュリティポリシーが形成されます
私のホワイトリストに載っていない人は、すべてめちゃくちゃに殺した。
2.ICMPを無効にする (Ping禁止)
多くのハッカーがターゲットを見つける最初のステップは
Ping
あなたのIPは、機械が開いているかどうか見てみましょう。
ルールを追加できます。プロトコルはICMP、ソースは39.0.0/0、ポリシーは拒否を選択します。
このように他の人はまたpを使います。
Ingあなたのサーバはタイムアウトを表示し、サーバが存在しないふりをして、一部の初級スキャナを直接説得します。
第4段階: 構成後の検証と関連付け
セキュリティグループのルールが整ったので、最も重要なステップを忘れないでください
結合インスタンス
。
セキュリティグループの詳細ページで、「関連インスタンス」タブページに切り替え、「関連」をクリックして、クラウドサーバをチェックします。関係がなければ、あなたが割り当てたルールは空文です。
どうやって自分が正しいことを検証しますか?
テスト業務: 携帯電話4G/5Gネットワーク (アナログ外部環境) であなたのサイトにアクセスして、説明80/443を開くことができます。
テストブロック: データベースポートを解放していない場合は、ローカルのデータベースツール (Navicatなど) を使って、サーバーのパブリックネットワークIPの3306ポートに直接接続してみてください。接続のタイムアウトが表示された場合 (接続を拒否するのではなく) 、セキュリティグループは要求を黙々と破棄することに成功し、盗難防止スキャン効果が期待される。
まとめ
セキュリティグループの本質は「断捨離」である。
開けられないポートは絶対に開けられません。IPアクセスを限定できるのは絶対に全部ネットで開けられません。最後に全部拒否ルールを使います。
この原則を守れば、公網をさまよっている悪意のあるスキャンスクリプトや自動トロイの木馬は、あなたのサーバーを取る方法がない。
