Несколько дней назад группа исследователей выпустила интересную статью на тему атак с «обнаружением источника», которые можно использовать для обхода облачных решений безопасности. Исследование было сосредоточено на постоянно действующем облачном предотвращении DDoS-атак, например Website Protection.
Мы считаем, что этот документ является важным для чтения, поскольку он помогает повысить осведомленность о значении некоторых обычно предлагаемых, но часто упускаемых из виду передовых методов использования облачных решений безопасности.
Как один из упомянутых в исследовании поставщиков облачных служб безопасности, мы хотели использовать это как возможность пересмотреть эти передовые практики, которые помогут вам извлечь выгоду из «безопасности через неясность», предлагаемой облачными службами безопасности.
Лучшие методы сокрытия ваших исходных IP-адресов
1. Установите правила ограничения IP-адресов.
С Incapsula, развернутой на границе вашей сети и служащей прокси для всего входящего трафика, не должно быть абсолютно никаких причин для приема трафика откуда угодно, кроме нашей сети. Следовательно, мы всегда рекомендуем устанавливать правила ограничения IP (например, с помощью вашего брандмауэра или iptables), которые будут блокировать весь трафик с IP-адресов, отличных от Incapsula.
Использование ограничений IP заблокирует все незаконные запросы, которые пытаются обойти Incapsula WAF. Вдобавок ко всему, при наличии ограничений IP ваш источник также будет невосприимчив к сканерам, в том числе описанным в исследовании, которые могут пытаться искать данные IP в сертификатах SSL, хранящихся на вашем сервере.
Полный список IP-адресов Incapsula и инструкции по настройке правил ограничения IP-адресов можно найти здесь.
2. Измените свой IP-адрес.
При попытке раскрыть ваш исходный IP-адрес злоумышленникам не нужно ограничиваться простым разрешением вашего доменного имени. Одна из вещей, которые злоумышленники могут и часто будут делать, - это найти историческую запись вашего исходного адреса, которая, вероятно, существует на одном из многих веб-сайтов, которые собирают и хранят информацию о домене и историю IP.
Чтобы сделать эту информацию неактуальной, мы настоятельно рекомендуем вам переместить источник на новый IP-адрес сразу после активации Incapsula. Таким образом, разрешение вашего доменного имени только «обнажит» наши сетевые IP-адреса, а атаки на ваш старый IP-адрес всегда будут не попадать в цель.
Обратите внимание, что это не означает, что вам нужно менять хостинг-провайдера, поскольку у вас, скорее всего, будет возможность переехать на другой IP-адрес в той же службе хостинга.
3. Избегайте общих имен субдоменов.
Вы всегда хотите переименовать субдомены, которые не защищены сервисами Incapsula. Например, если вы используете поддомен для установления FTP-соединений с исходным сервером, избегайте очевидного выбора ftp.mydomain.com и вместо этого используйте что-то более безопасное и уникальное, например 4exampleftp.mydomain.com .
Обратите внимание, что злоумышленники знают о существовании таких общих поддоменов и имеют средства для их легкого обнаружения с помощью автоматических сканеров. После обнаружения субдомен может быть разрешен, чтобы определить местонахождение вашего исходного IP-адреса и сделать ваш веб-сайт уязвимым для атак, направленных прямо на источник.
4. Не оставляйте следов в записях DNS
Помните о различных записях DNS и убедитесь, что ни одна из них не относится непосредственно к вашему источнику. Наиболее распространенным примером здесь является запись MX, которая часто указывает на почтовый сервер, работающий на том же компьютере.
Для подключения облачных служб безопасности необходимо изменить записи A и CNAME, но не запись MX или любую другую запись, которую вы установили, чтобы указать на ваш основной сервер. Любую из них можно разрешить, чтобы раскрыть исходные IP-адреса.
Мы предлагаем просмотреть ваши записи DNS и удалить те, которые не используются.
В некоторых случаях вы также можете подумать о переносе некоторых из ваших сервисов. В случае записи MX, например, если раскрытие источника является вашей основной проблемой, то безопаснее всего будет перенести вашу почтовую службу на другой сервер.
5. Заблокируйте конфиденциальные данные
Одна из вещей, упоминаемых в исследовании, - это существование так называемых «конфиденциальных страниц», которые пропускают подробную информацию о веб-сервере. Существуют различные системы и журналы серверов (например, phpinfo ), которые могут быть общедоступными и использоваться для раскрытия конфиденциальной информации, включая IP-адрес вашего источника.
Само собой разумеется, что такие файлы никогда не должны публиковаться, и не только из-за опасений об атаках с прямым доступом.
6. Отключите исходящие подключения, инициируемые посетителями.
Если вы используете сайт WordPress, который использует XMLRPC, ваш исходный IP-адрес может быть раскрыт с помощью запроса pingback. Мы рекомендуем отключить pingback (через конфигурацию сервера или правила WAF), если вы полностью не зависите от его функциональности.
В чем-то похожий, но гораздо менее распространенный сценарий может возникнуть в результате использования механизмов «проверки рефералов», которые проверяют URL-адреса, используемые в заголовке реферера запроса. Если ваше веб-приложение использует проверки реферера, мы настоятельно рекомендуем запускать их на другом сервере.
Оцените свой риск
Администраторы защищенных Incapsula веб-сайтов, желающие повысить безопасность своего происхождения, могут использовать CloudPiercer - бесплатный онлайн-инструмент, предлагаемый командой, написавшей вышеупомянутый исследовательский документ. С помощью этого инструмента вы можете определить уязвимые места и устранить их, используя комбинацию описанных выше методов.
Обратите внимание, что для инструмента потребуется подтверждение права собственности, поэтому маловероятно, что его могут использовать злоумышленники, желающие раскрыть ваш исходный IP-адрес.
Мы также должны упомянуть, что при выполнении внутренних тестов с помощью этого инструмента мы обнаружили, что он дает нам ложные показания при сканировании одного из наших собственных поддоменов. Мы связались с командой CloudPiercer, которая признала проблему и заверила нас, что она исправлена. Они также подтвердили, что эта конкретная проблема не повлияла на результаты их статистического исследования.
Подумайте о защите инфраструктуры
Безопасность через скрытность - важное побочное преимущество использования службы безопасности обратного прокси. При этом маскировка IP-адреса не является специализированным решением для защиты от DDoS-атак, направленных прямо на источник.
Для клиентов, которым нужна полная защита происхождения, мы предлагаем нашу услугу по защите инфраструктуры от DDoS-атак. Это специализированное решение перенаправляет трафик с помощью объявлений BGP и не может быть обойдено ни одним из векторов атаки, обсуждаемых в исследовательском документе.
В настоящее время защиту инфраструктуры могут использовать только администраторы веб-сайтов, владеющие всей IP-подсетью класса C - минимальная сумма, необходимая для объявления BGP. Однако мы уже работаем над новой услугой под названием Protected IP, которая обеспечит полную защиту происхождения для веб-сайтов любого размера.
Новая услуга сейчас находится на стадии расширенного бета-тестирования и скоро будет доступна всем нашим клиентам.
Больше вопросов? Не стесняйтесь оставлять комментарии ниже, и мы рассмотрим его. Если вы хотите узнать больше о бета-версии защищенного IP-адреса, атаках с прямым доступом к источнику и передовых методах маскирования IP-адреса, пожалуйста, пишите комментарии.
Мы считаем, что этот документ является важным для чтения, поскольку он помогает повысить осведомленность о значении некоторых обычно предлагаемых, но часто упускаемых из виду передовых методов использования облачных решений безопасности.
Как один из упомянутых в исследовании поставщиков облачных служб безопасности, мы хотели использовать это как возможность пересмотреть эти передовые практики, которые помогут вам извлечь выгоду из «безопасности через неясность», предлагаемой облачными службами безопасности.
Лучшие методы сокрытия ваших исходных IP-адресов
1. Установите правила ограничения IP-адресов.
С Incapsula, развернутой на границе вашей сети и служащей прокси для всего входящего трафика, не должно быть абсолютно никаких причин для приема трафика откуда угодно, кроме нашей сети. Следовательно, мы всегда рекомендуем устанавливать правила ограничения IP (например, с помощью вашего брандмауэра или iptables), которые будут блокировать весь трафик с IP-адресов, отличных от Incapsula.
Использование ограничений IP заблокирует все незаконные запросы, которые пытаются обойти Incapsula WAF. Вдобавок ко всему, при наличии ограничений IP ваш источник также будет невосприимчив к сканерам, в том числе описанным в исследовании, которые могут пытаться искать данные IP в сертификатах SSL, хранящихся на вашем сервере.
Полный список IP-адресов Incapsula и инструкции по настройке правил ограничения IP-адресов можно найти здесь.
2. Измените свой IP-адрес.
При попытке раскрыть ваш исходный IP-адрес злоумышленникам не нужно ограничиваться простым разрешением вашего доменного имени. Одна из вещей, которые злоумышленники могут и часто будут делать, - это найти историческую запись вашего исходного адреса, которая, вероятно, существует на одном из многих веб-сайтов, которые собирают и хранят информацию о домене и историю IP.
Чтобы сделать эту информацию неактуальной, мы настоятельно рекомендуем вам переместить источник на новый IP-адрес сразу после активации Incapsula. Таким образом, разрешение вашего доменного имени только «обнажит» наши сетевые IP-адреса, а атаки на ваш старый IP-адрес всегда будут не попадать в цель.
Обратите внимание, что это не означает, что вам нужно менять хостинг-провайдера, поскольку у вас, скорее всего, будет возможность переехать на другой IP-адрес в той же службе хостинга.
3. Избегайте общих имен субдоменов.
Вы всегда хотите переименовать субдомены, которые не защищены сервисами Incapsula. Например, если вы используете поддомен для установления FTP-соединений с исходным сервером, избегайте очевидного выбора ftp.mydomain.com и вместо этого используйте что-то более безопасное и уникальное, например 4exampleftp.mydomain.com .
Обратите внимание, что злоумышленники знают о существовании таких общих поддоменов и имеют средства для их легкого обнаружения с помощью автоматических сканеров. После обнаружения субдомен может быть разрешен, чтобы определить местонахождение вашего исходного IP-адреса и сделать ваш веб-сайт уязвимым для атак, направленных прямо на источник.
4. Не оставляйте следов в записях DNS
Помните о различных записях DNS и убедитесь, что ни одна из них не относится непосредственно к вашему источнику. Наиболее распространенным примером здесь является запись MX, которая часто указывает на почтовый сервер, работающий на том же компьютере.
Для подключения облачных служб безопасности необходимо изменить записи A и CNAME, но не запись MX или любую другую запись, которую вы установили, чтобы указать на ваш основной сервер. Любую из них можно разрешить, чтобы раскрыть исходные IP-адреса.
Мы предлагаем просмотреть ваши записи DNS и удалить те, которые не используются.
В некоторых случаях вы также можете подумать о переносе некоторых из ваших сервисов. В случае записи MX, например, если раскрытие источника является вашей основной проблемой, то безопаснее всего будет перенести вашу почтовую службу на другой сервер.
5. Заблокируйте конфиденциальные данные
Одна из вещей, упоминаемых в исследовании, - это существование так называемых «конфиденциальных страниц», которые пропускают подробную информацию о веб-сервере. Существуют различные системы и журналы серверов (например, phpinfo ), которые могут быть общедоступными и использоваться для раскрытия конфиденциальной информации, включая IP-адрес вашего источника.
Само собой разумеется, что такие файлы никогда не должны публиковаться, и не только из-за опасений об атаках с прямым доступом.
6. Отключите исходящие подключения, инициируемые посетителями.
Если вы используете сайт WordPress, который использует XMLRPC, ваш исходный IP-адрес может быть раскрыт с помощью запроса pingback. Мы рекомендуем отключить pingback (через конфигурацию сервера или правила WAF), если вы полностью не зависите от его функциональности.
В чем-то похожий, но гораздо менее распространенный сценарий может возникнуть в результате использования механизмов «проверки рефералов», которые проверяют URL-адреса, используемые в заголовке реферера запроса. Если ваше веб-приложение использует проверки реферера, мы настоятельно рекомендуем запускать их на другом сервере.
Оцените свой риск
Администраторы защищенных Incapsula веб-сайтов, желающие повысить безопасность своего происхождения, могут использовать CloudPiercer - бесплатный онлайн-инструмент, предлагаемый командой, написавшей вышеупомянутый исследовательский документ. С помощью этого инструмента вы можете определить уязвимые места и устранить их, используя комбинацию описанных выше методов.
Обратите внимание, что для инструмента потребуется подтверждение права собственности, поэтому маловероятно, что его могут использовать злоумышленники, желающие раскрыть ваш исходный IP-адрес.
Мы также должны упомянуть, что при выполнении внутренних тестов с помощью этого инструмента мы обнаружили, что он дает нам ложные показания при сканировании одного из наших собственных поддоменов. Мы связались с командой CloudPiercer, которая признала проблему и заверила нас, что она исправлена. Они также подтвердили, что эта конкретная проблема не повлияла на результаты их статистического исследования.
Подумайте о защите инфраструктуры
Безопасность через скрытность - важное побочное преимущество использования службы безопасности обратного прокси. При этом маскировка IP-адреса не является специализированным решением для защиты от DDoS-атак, направленных прямо на источник.
Для клиентов, которым нужна полная защита происхождения, мы предлагаем нашу услугу по защите инфраструктуры от DDoS-атак. Это специализированное решение перенаправляет трафик с помощью объявлений BGP и не может быть обойдено ни одним из векторов атаки, обсуждаемых в исследовательском документе.
В настоящее время защиту инфраструктуры могут использовать только администраторы веб-сайтов, владеющие всей IP-подсетью класса C - минимальная сумма, необходимая для объявления BGP. Однако мы уже работаем над новой услугой под названием Protected IP, которая обеспечит полную защиту происхождения для веб-сайтов любого размера.
Новая услуга сейчас находится на стадии расширенного бета-тестирования и скоро будет доступна всем нашим клиентам.
Больше вопросов? Не стесняйтесь оставлять комментарии ниже, и мы рассмотрим его. Если вы хотите узнать больше о бета-версии защищенного IP-адреса, атаках с прямым доступом к источнику и передовых методах маскирования IP-адреса, пожалуйста, пишите комментарии.
