Тему видеонаблюдательных облачных сервисов и популярных ip-камер для чайников типа: "достал из коробки, воткнул интернет - работает" лучше даже не затрагивать. Мои админы тут занялись недавно опробацией внедрения у всех мелких клиентов сервиса IPS/IDS на периметре. Сначала голый NIDS Сурикату из коробки поставили, без допиливания, получили по 100-200 алярмов в секунду на одном шнуре 30Мбит от провайдера. Начали разбираться: сканирование из сотен источников всех портов с различными сигнатурами. Думали, может IP такой где-то засвеченный, поставили другому клиенту - та же картина. Сменили через провайдеров айпишники, та же картина.
В целом 10-15% трафика в интернете, это различные кулхацкеры и ботнеты сканят весь интернет на предмет наличия IoT устройств, камер, технических средств (типа тех же шлагбаумов) которые не спрятаны за dmz и фаерволами, а торчат голой жопой на мороз.
Степень рукожопости настройщиков и жадности заказчиков многими не кажется большой, а я лично наблюдал не однократно, как охуенные специалисты по видеонаблюдению выставляли вебморды китайских видеорегистраторов с паролем 123456 в интернет через домашние роутеры уровня D-Link DIR-300.
А в любимом некоторыми местными камрадами даркнете (который они используют исключительно чтобы читать vott) продаются целые ботнеты на китайских устройствах, ведь китайозы не сильно парятся за софт для своих железок - кастрированный линух, не обновляемый никогда, без фаервола, даже в самой задрипанной камере за 800р.
Банить по айпишнику - пустое занятие. Каждое новое поиметое устройство - член ботнета с новым айпишником.
Никаких мощностей на файерволе не хватит. А тут еще IPv6...
Тут только интеллектуальное сканирование трафика.
> > Банить по айпишнику - пустое занятие. > > Опыт показывает, что вовсе не пустое. После внедрения этой банилки все попытки подбора пароля как отрезало.
Да я не спорю, только банилка отсекает один вид атак. А если не подборы паролей, а сканирования на уязвимости, в том числе и протоколов шифрования по их портам, сканирования веб-сервера одновременно со 100 000 разных IP, банилка тут не помогает.
> > > Никаких мощностей на файерволе не хватит. > > Это некоторое преувеличение. Вот прямо сейчас 15000 заблокированных адресов, адрес блокируется на неделю сразу же за любую попытку обращения к наиболее ходовым сервисам вроде SSH, POP3, IMAP, SMTP, Oracle listener, MS SQL, HTTP, HTTPS, WWW proxy, Squid proxy, Socks proxy, NetBIOS, microsoft-ds и так далее, а также за попытки перебора портов. В итоге занято всего 164Мб ОЗУ из 1Гб, переполнения памяти ни разу не наблюдал, процессор не загружен вообще.
А 10 миллионов? А сколько будет занято CPU, если у тебя таблица будет на 10 миллионов записей, как быстро FW будет по ней бегать? Ну это я уже в DDoS атаки завернул, в повседневности оно не так. Что не отменяет вопроса: как обычный FW без функций IDS/IPS может определить, что обращение к открытому для твоего веб-сервера порту является легальным, а не попыткой сломать старый не обновленный nginx известным эксплойтом, или попыткой применить эксплойт к дырявому php.
Ага. Только он как раз чаще всего используется в устройствах с UTM.
Использовать преимущества ASIC только для банилки по IP - это забивать гвозди микроскопом.
> > Да я не спорю, только банилка отсекает один вид атак. > > Внезапно, банилка отсекает абсолютно все виды атак. После того, как адрес попал в список блокировки, никакие атаки с него провести уже невозможно, все обращения с него заканчиваются таймаутами.
Ээ. Вот у тебя опубликован наружу сервер сбора телеметрии с gps-терминалов. Заметь, сервер у тебя не на самом МСЭ, а в DMZ. А на МСЭ только ACL, разрешающий соединение. И вот ты 100 лет не обновлял ПО для твоего gps-сборщика и к нему есть определённый эксплойт. Злоумышленник стучится в открытый на МСЭ порт и получает ответ "я gps-трекер версия 1.1.2". Оппа, есть эксплойт, давай его применим. Злоумышленник еще раз засылает данные на "я gps-трекер", в результате чего тот выполняет некие действия и становится мурзилкой.
Так вот я и хочу понять, как твой МСЭ на основании двух соединений с сервисом внутри периметра по разрешенному порту определит, что происходит взлом сервера? Да никак, он не заблочит этот IP, с которого было обращение.
А теперь давай представим, что злоумышленник - я. Мне надо найти пользователей "я gps-трекера, версия 1.1.2", так как у меня есть эксплойт. Я запускаю сканирование диапазона IP всего рунета, но по одному порту: 3501 (например). Нахожу открытые, которые мне правильно отвечают, так как настройщики не удосужились сменить порт. И я применяю к ним эксплойт. Теперь допустим, что я знаю, что в компании "Бобруйская Логистическая Компания" с IP 80.40.20.10 используется "Я GPS-трекер". Тогда я возьму ботнет на 65535 хостов и с каждого IP постучусь на каждый порт. Или 32768 хостов два раза стукнусь в два порта. Или с 16384 четыре раза в 4 порта. Или... На каком пороге твоя банилка сработает? Не важно. Важно, что я таки получу ответ хоть на одном порту, что "я gps-трекер, версия 1.1.2" и далее уже запущу эксплойт с еще какого-нибудь другого IP.
Таким образом мне не надо сканирование каждого IP, чтобы сломать что-то. А вот владельцу трекера нужен анализатор трафика, чтобы предотвратить любые сценарии.
> > > А 10 миллионов? > > А ты прикинь, сколько будет стоить его создателю такой ботнет, и будет ли он специально травить им какого-то истеричного недотрогу, который банит любого за одну-единственную попытку стукнуться, например, в 22/tcp, теряя при этом время, которое, как известно, деньги, если рядом полным-полно ротозеев с открытыми дырявыми сервисами на 80/tcp?
При веерном сканировании ищутся именно ротозеи. А при адресной атаке твоя банилка ни о чем.
> на слабом оборудовании проще сразу же банить весь адрес, с которого IDS зафиксировала хотя бы одну попытку > взлома, потому что обход списка блокированных адресов по бинарному дереву всяко дешевле проверки сигнатур.
Выяснилось, что при заказе хацкерам определённой конторы, без серьезных мощностей и IDS/IPS не обойтись.
И в этом заключается моя услуга по подписке некоторым моим клиентам. Сейчас как раз в ОПЭ на 5-ти клиентах, которые сильно беспокоятся за свои данные. Жду результатов эффективности. Начал внедрять как раз после того, как одного целенаправленно сломали, через общеизвестный в РФ криптошлюз, но про это я пока не могу рассказывать, пока они патчи не сделают.
> Да их не дофига популярных. > Континент, випнет да Дионис какой нибудь.
Диониса и Континента не знаю.
Навскидку те, с которыми работал, которые внедрял или просто вертел в руках и игрался:
МагПро, Ideco (даже сертификат где-то валяется по их курсам), S-Terra, КриптоПро nGate.
> > Так вот я и хочу понять, как твой МСЭ на основании двух соединений с сервисом внутри периметра по разрешенному порту определит, что происходит взлом сервера? > > Никак, моя стратегия для этого не предназначена. Об этом русским языком было написано во всех моих предыдущих постах, но ты всё равно читаешь одно, а думаешь что-то своё, другое.
Стратегия перевешивания сервиса на левый порт и бана IP? Тогда уж логичным будет Port knocking, как продолжение темы.
Да, стратегии которые ты описываешь для маленьких контор, у которых денег мало, вполне могут сойти как спасение от мамкиных хацкеров.
Мы же начали то разговор (по крайней мере я), про горе-настройщиков всякого шлагбаумного, видеонаблюдательного и разного IoT оборудования.
Я то, наверное, действительно рассказываю про другое. А ты про своё.
> Стратегия пересаживания сетевых сервисов на нестандартные порты и немедленного бана при попытке обращения к широко известным портам, на которых ничего нет, уже исключает применяющего её из категории ротозеев. Более того, это её единственное предназначение. Но при наличии вокруг 95% ротозеев этого вполне хватает для защиты домашних пользователей и мелких офисов, которые, максимум, выставляют наружу VPN-концентратор для своих удалённых сотрудников и SSH для сетевика-аутсорсера.
Да занимался я этим самым с 2008 по 2019-й. Тоже считал банилки и нестандартные порты панацеей для мелких контор. Но с недавних пор перестало это нормально помогать. Видимо ты не сталкивался.
> > > А при адресной атаке твоя банилка ни о чем. > > А при адресной атаке ничего вообще ни о чём. Аплинк забивается, и, привет, сделать ничего нельзя.
Мы не про ддос.
> > > Выяснилось, что при заказе хацкерам определённой конторы, без серьезных мощностей и IDS/IPS не обойтись. > > Выяснилось оно, my ass! Это, как бы, и так очевидно безо всяких дополнительных выяснений.
Очевидно было для больших контор.
А теперь у хацкеров появились инструменты, которые эффективно и дёшево позволяют и ломать и мелкие конторы.
Наблюдаю попытки ломать всё и везде, раньше такого напора не наблюдалось.
Довольно изощренные атаки, даже на какое-нибудь говно типа мелких кафешек с одной кассой и манагерским компом.
Видать у высаженных на удалёнку студентов появилось дохуя свободного времени, а запиздрячить себе свой ИИ на нейросети, который будет интеллектуально ломать всё подряд, становится всё проще и дешевле.
> > Тоже считал банилки и нестандартные порты панацеей для мелких контор. Но с недавних пор перестало это нормально помогать. > > Перестала работать именно стратегия немедленного бана при попытке обращения к любому широко известному порту? Точно?
Злоумышленники перестали тупо долбиться и сканить. Действуют более интеллектуально, с использованием ИИ, с использованием сложных алгоритмов поиска уязвимостей, задействуют обширные ботнеты со сложным управлением. Ну да тут уже тебе к пентестерам за подробностями, я сам обращаюсь по серьёзным вопросам к партнёрам, которые занимаются исключительно безопасностью.
А мамкины хацкеры и тупые сканилки "на лоха", это уже такой фон в трафике, как реликтовое излучение.
> > > Видимо ты не сталкивался. > > Не, не сталкивался.
Повезло.
> > > Мы же начали то разговор (по крайней мере я), про горе-настройщиков всякого шлагбаумного, видеонаблюдательного и разного IoT оборудования. > > А эти дурни вообще непонятно зачем выставили свои сервисы в интернет. VPN, VPN, и ещё раз VPN. Можно же купить свою изолированную APN у какого-нибудь мобильного оператора, укомплектовать всё своё оборудование (шлагбаумы и GSM-кнопки для открытия шлагбаумов) симками с доступом только к этой APN и больше никуда и раздавать эти кнопки своим клиентам. Видимо, показалось слишком дорого. Ну, скупой платит постоянно.
Нет. Не показалось слишком дорого, они не знают про такие вещи.
Я общался с большим количеством всяких монтажников видеокамер, СКД, пожарок и охранок, АСУТП.
Они просто не знают, что такое VPN. Уж тем более APN. Если железка умеет работать из коробки при втыкании шнура, то доп.настроек не требуется. Ну может параметры там свои специфические подкрутят.
Например из всех вышеперечисленных только 1 из 5-ти настраивают синхронизацию времени и чаще всего это АСУТПшники, а остальным насрать.
Сейчас, сейчас
В целом 10-15% трафика в интернете, это различные кулхацкеры и ботнеты сканят весь интернет на предмет наличия IoT устройств, камер, технических средств (типа тех же шлагбаумов) которые не спрятаны за dmz и фаерволами, а торчат голой жопой на мороз.
Степень рукожопости настройщиков и жадности заказчиков многими не кажется большой, а я лично наблюдал не однократно, как охуенные специалисты по видеонаблюдению выставляли вебморды китайских видеорегистраторов с паролем 123456 в интернет через домашние роутеры уровня D-Link DIR-300.
А в любимом некоторыми местными камрадами даркнете (который они используют исключительно чтобы читать vott) продаются целые ботнеты на китайских устройствах, ведь китайозы не сильно парятся за софт для своих железок - кастрированный линух, не обновляемый никогда, без фаервола, даже в самой задрипанной камере за 800р.