คำอธิบายการกำหนดค่าโดยละเอียดของ Tencent Cloud Security Group: วิธีเปิดพอร์ตอย่างถูกต้องและปฏิเสธการสแกนที่เป็นอันตราย
เพื่อนหลายคนที่เพิ่งติดต่อกับ Tencent Cloud ได้ติดตั้งสภาพแวดล้อมอย่างมีความสุขด้วยเหตุนี้จึงไม่สามารถเปิดเว็บไซต์ได้หลังจากตรวจสอบสาเหตุเป็นเวลานานในที่สุดพวกเขาก็พบว่าพวกเขาติดอยู่ใน "กลุ่มความปลอดภัย" และไม่ได้เปิดพอร์ตหรือในทางกลับกันเพื่อประหยัดปัญหาให้เปิดโดยตรงในกลุ่มความปลอดภัย
0.0.0.0/0
(เต็มรูปแบบ) ด้วยเหตุนี้ภายในสามวันหลังจากเซิร์ฟเวอร์ทำงานแฮกเกอร์จึงถูกมองว่าเป็นไก่เนื้อขุดและยังพบ ransomware
ทีมรักษาความปลอดภัยพูดตรงไปตรงมาคือสิ่งที่ Tencent Cloud มอบให้คุณฟรี
ไฟร์วอลล์เสมือน
。มันตั้งค่าระดับนอกเซิร์ฟเวอร์เพื่อกำหนดว่าทราฟฟิกใดสามารถเข้ามาได้และทราฟฟิกใดที่สามารถออกไปได้
วันนี้ไม่ได้พูดถึงทฤษฎีเครือข่ายที่ซับซ้อนเริ่มต้นจากการต่อสู้จริงและพูดคุยเกี่ยวกับวิธีเปิดพอร์ตธุรกิจอย่างถูกต้องและปิดกั้นสคริปต์ที่เป็นอันตรายที่สแกนเซิร์ฟเวอร์ของคุณทุกวัน
ขั้นตอนที่1: ตรรกะพื้นฐานหลักของกลุ่มความปลอดภัย
ก่อนที่จะกำหนดค่าด้วยมือคุณต้องเข้าใจหลักการหลักสองประการมิฉะนั้นคุณจะต้องตรงกัน:
1."ขาเข้า" และ "ขาออก"
กฎ Inbound: คนที่อยู่นอกการเข้าถึงคุณตัวอย่างเช่นผู้ใช้เข้าเยี่ยมชมเว็บไซต์ของคุณ (พอร์ต80/443) หรือคุณเชื่อมต่อกับเซิร์ฟเวอร์ด้วย SSH (พอร์ต22) 99% ของการกำหนดค่ากลุ่มความปลอดภัยอยู่ในกฎของสถานีจัดสรร
กฎขาออก (Outbound): การเข้าถึงเซิร์ฟเวอร์ภายนอกตัวอย่างเช่นเซิร์ฟเวอร์ของคุณต้องการดาวน์โหลดการอัปเดตระบบและเรียกใช้ API ของ WeChat Pay กฎขาออกเริ่มต้นของ Tencent Cloud Security Group คือการเปิดใช้งานเต็มรูปแบบเพียงเก็บค่าเริ่มต้นไว้อย่าขยับมิฉะนั้นเซิร์ฟเวอร์จะ "ตัดการเชื่อมต่อ"
2.กฎคือการจับคู่ "จากบนลงล่าง"
กฎของกลุ่มความปลอดภัยมีลำดับความสำคัญ (ยิ่งจำนวนแถวมากเท่าใดลำดับความสำคัญก็จะยิ่งสูงขึ้นเท่านั้น) เมื่อการเข้าชมเข้ามากฎจะเริ่มต้นด้วยกฎแรกและเมื่อถูกต้องแล้วให้ดำเนินการทันที (อนุญาตหรือปฏิเสธ)
ไม่มองลงมาอีกต่อไป
。
เคาะกระดานดำ: หากกฎข้อแรกของคุณคือ "ปฏิเสธการรับส่งข้อมูลทั้งหมด" และข้อที่สองคือ "อนุญาตพอร์ต80" พอร์ต80จะไม่สามารถเข้าได้จำไว้เสมอว่าควรวางกฎที่แม่นยำและได้รับอนุญาตไว้ด้านบนและควรวางกฎกว้างๆและปฏิเสธไว้
ขั้นตอนที่สอง: กำหนดค่ากลุ่มความปลอดภัยของ "กำแพงทองแดงและกำแพงเหล็ก"
เข้าสู่ระบบไฟล์
คอนโซล Tencent Cloud
ค้นหาเพื่อเข้าสู่ "กลุ่มความปลอดภัย" คลิก "ใหม่" เลือก "กำหนดเอง" สำหรับเทมเพลตและเรียกชื่อ
ข้อกำหนดด้านความปลอดภัยสูงสำหรับเว็บเซิร์ฟเวอร์
。
คลิก "กฎการเข้า"-> "เพิ่มกฎ" เราจะสร้างแนวป้องกันทีละบรรทัด:
1.ต้องเปิดพอร์ตธุรกิจสาธารณะ (มองเห็นได้ในมวลมนุษยชาติ)
หากเซิร์ฟเวอร์ของคุณใช้เพื่อเรียกใช้เว็บไซต์พอร์ตทั้งสองนี้จะต้องเปิดให้คนทั้งโลกเข้าชมโดยไม่มีเงื่อนไข:
HTTP(80พอร์ต): แหล่งที่มา: 0.0.0.0/0 (แสดงถึง IP ใดๆทั่วโลก) พอร์ตโปรโตคอล: TCP:80กลยุทธ์: อนุญาต
HTTPS(443พอร์ต): แหล่งที่มา: 0.0.0.0/0พอร์ตโปรโตคอล: TCP:443กลยุทธ์: อนุญาต
2.ประตูชีวิตพอร์ต: พอร์ตการจัดการระยะไกล (ปฏิเสธที่จะวิ่งเปล่า)
พอร์ต22ของ Linux (SSH) และพอร์ต3389ของ Windows (Remote Desktop) เป็นพื้นที่ที่ได้รับความนิยมมากที่สุดสำหรับการสแกนที่เป็นอันตรายโดยแฮกเกอร์
แน่นอนไม่ถูกต้อง
0.0.0.0/0
เปิดพอร์ตทั้งสองนี้
วิธีการจัดสรรความปลอดภัยสูง (IP คงที่): หากบรอดแบนด์ที่บ้านหรือบริษัทของคุณมี IP เครือข่ายสาธารณะคงที่ให้กรอก IP คงที่ของคุณโดยตรงใน "แหล่งที่มา" (เช่น220.181.111.85) ด้วยวิธีนี้ไม่มีใครในโลกนอกจากคุณต้องการเชื่อมต่อกับเซิร์ฟเวอร์นี้
วิธีการผสมผสาน (ส่วน IP): หากเป็น IP แบบไดนามิกเราเตอร์จะเปลี่ยนไปทุกครั้งที่รีสตาร์ทคุณสามารถกรอกข้อมูลในส่วน IP ของผู้ให้บริการในเมืองของคุณ (เช่น220.181.0.0/16) เพื่อลดความน่าจะเป็นที่จะถูกสแกน
วิธีการจัดสรรที่ขี้เกียจแต่ปลอดภัย (เปลี่ยนพอร์ตเริ่มต้น): หากจำเป็นต้องเปิดเครือข่ายทั้งหมดอย่าใช้22เริ่มต้นเปลี่ยนพอร์ต SSH เป็นพอร์ตสุ่มสูงคล้ายกับ59222ในระบบเดสเซิร์ฟเวอร์จากนั้นเปิด TCP:59222ในกลุ่มความปลอดภัยสคริปต์การสแกนคนตาบอดของแฮ็กเกอร์มักจะสแกนพอร์ต22พอร์ตเท่านั้นการเปลี่ยนพอร์ตจะช่วยให้คุณบล็อกการสแกนที่ไร้สมองได้99%
3.ฐานข้อมูลและพอร์ตมิดเดิลแวร์ (ต้องแยกอินทราเน็ต)
เช่น MySQL(3306), Redis(6379), MongoDB(27017) เหล่านี้เป็นสินทรัพย์หลักของคุณ
กฎเหล็ก: อย่าเปิดพอร์ตฐานข้อมูลไปยังเครือข่ายทั้งหมด (0.0.0.0/0) ในกลุ่มความปลอดภัย!
วิธีการเยี่ยมชม?: หากเซิร์ฟเวอร์ส่วนหน้าและเซิร์ฟเวอร์ฐานข้อมูลของคุณอยู่ในพื้นที่เดียวกันของบัญชี Tencent Cloud เดียวกันโปรดกรอก IP อินทราเน็ตของเซิร์ฟเวอร์ส่วนหน้า (เช่น10.0.0.5) สำหรับแหล่งที่มาหากคุณต้องการเชื่อมต่อเพื่อดูข้อมูลเป็นครั้งคราวโปรดใช้ SSH Tunnel เพื่อส่งต่อหรือปิดกฎกลุ่มความปลอดภัยทันทีเมื่อใช้จนหมด
ขั้นตอนที่สาม: ริเริ่มที่จะโจมตีปฏิเสธการสแกนที่เป็นอันตรายและป้องกันศัตรูจากนอกประเทศ
แฮกเกอร์มองคุณอย่างไร? พวกเขาใช้เครื่องมือสแกนอัตโนมัติทั่วทั้งเครือข่าย (เช่น ZMap, Masscan) หากเซิร์ฟเวอร์ของคุณตอบสนองต่อการตรวจจับใดๆคุณจะรวมอยู่ใน "รายการที่จะแคร็ก"
1.การป้องกันขั้นสูงสุด: กฎการปฏิเสธด้านล่าง
เมื่อคุณอนุญาตพอร์ตทั้งหมดที่คุณต้องเปิด (80, 443, พอร์ต SSH ที่แก้ไขแล้ว) ที่ด้านบนให้เพิ่มหนึ่งในตอนท้ายของรายการกฎ:
แหล่งที่มา: 0.0.0.0/0
พอร์ตโปรโตคอล: ALL
กลยุทธ์: ปฏิเสธ
สิ่งนี้ก่อให้เกิดกลยุทธ์การรักษาความปลอดภัย "การปฏิเสธเริ่มต้น" ที่มีชื่อเสียง:
ผู้ที่ไม่ได้อยู่ในรายการสีขาวของฉันจะถูกทุบตีจนตาย
2.ปิดการใช้งาน ICMP (ห้ามปิง)
ขั้นตอนแรกสำหรับแฮกเกอร์จำนวนมากในการค้นหาเป้าหมายคือ
ปิง
IP ของคุณและดูว่าเครื่องเปิดอยู่หรือไม่
คุณสามารถเพิ่มกฎ: โปรโตคอลเลือก ICMP, แหล่งที่มา0.0.0.0/0, กลยุทธ์เลือกปฏิเสธ
วิธีนี้คนอื่นๆ
เซิร์ฟเวอร์ของคุณจะแสดงการหมดเวลาโดยแสร้งทำเป็นว่าเซิร์ฟเวอร์ของคุณไม่มีอยู่และชักชวนให้เครื่องสแกนหลักบางส่วนออกไปโดยตรง
ขั้นตอนที่สี่: การตรวจสอบและการเชื่อมโยงหลังการกำหนดค่า
เมื่อกฎของกลุ่มความปลอดภัยตรงกันอย่าลืมขั้นตอนที่สำคัญที่สุด:
อินสแตนซ์การผูก
。
ในหน้ารายละเอียดกลุ่มความปลอดภัยให้เปลี่ยนไปที่แท็บ "อินสแตนซ์ที่เกี่ยวข้อง" คลิก "การเชื่อมโยง" และเลือกเซิร์ฟเวอร์คลาวด์ของคุณหากไม่เกี่ยวข้องกฎที่คุณเพิ่งกำหนดคือจดหมายตาย
จะตรวจสอบได้อย่างไรว่าคุณคู่ควร?
ทดสอบธุรกิจ: เข้าถึงเว็บไซต์ของคุณด้วยเครือข่าย4G/5G บนมือถือ (จำลองสภาพแวดล้อมภายนอก) และสามารถเปิดคำอธิบาย80/443ได้
การสกัดกั้นการทดสอบ: เมื่อคุณไม่ได้เปิดพอร์ตฐานข้อมูลให้ลองใช้เครื่องมือฐานข้อมูลภายในเครื่อง (เช่น Navicat) เพื่อเชื่อมต่อโดยตรงกับพอร์ต3306ของ IP เครือข่ายสาธารณะของเซิร์ฟเวอร์หากหมดเวลาการเชื่อมต่อ (แทนที่จะปฏิเสธการเชื่อมต่อ) แสดงว่าทีมรักษาความปลอดภัยได้ยกเลิกคำขอ (Drop) อย่างเงียบๆและผลของการป้องกันการโจรกรรมและการสแกนเป็นไปตามที่คาดไว้
สรุป
สาระสำคัญของทีมรักษาความปลอดภัยคือ "การจากไป"
พอร์ตที่ไม่สามารถเปิดได้จะไม่เปิดอย่างเด็ดขาดและพอร์ตที่สามารถจำกัดการเข้าถึง IP จะไม่เปิดอย่างสมบูรณ์และสุดท้ายจะใช้กฎการปฏิเสธทั้งหมด
ตราบใดที่คุณยึดมั่นในหลักการนี้สคริปต์การสแกนที่เป็นอันตรายและโทรจันอัตโนมัติที่หลงทางบนเครือข่ายสาธารณะก็ไม่มีทางเลือกอื่นนอกจากใช้เซิร์ฟเวอร์ของคุณ
