Recientemente, ayud\u00e9 a mi amigo para investigar un sitio web que fue golpeado por un ahorcamiento, iniciado sesi\u00f3n en el fondo CDN para echar un vistazo, buen tipo, el tr\u00e1fico de ataque es casi romper el nivel T, pero la estrategia de defensa de la CDN de alta defensa es en realidad como una cuchara con fugas que no se detuvo a unas pocas peticiones. El negocio real est\u00e1 paralizado desde hace mucho tiempo, pero la consola tambi\u00e9n muestra que \u201ctodo es normal\u201d, lo cual es una imagen ir\u00f3nica que se puede utilizar como una pel\u00edcula de propaganda de seguridad de la red.<\/p>\n
En estos d\u00edas, incluso los CDN tienen que \u201cevitar que los compa\u00f1eros de equipo\u201d. Los vendedores anuncian T-nivel de protecci\u00f3n suena farol, pero la configuraci\u00f3n no es correcta o la comprensi\u00f3n de sesgo, minutos para que usted pueda correr desnudo en el tiroteo de Internet. He probado el mercado cinco o seis principales servicios de alta defensa, pisando el hoyo resumi\u00f3 cinco de las razones m\u00e1s comunes para el fracaso de la CDN de alta defensa - algunos de los hoyo puede incluso dejar que el soporte t\u00e9cnico del fabricante est\u00e1n rascando la cabeza.<\/p>\n
En primer lugar, la fuga de IP de la estaci\u00f3n de origen: usted piensa que est\u00e1 oculto, de hecho, en el desnudo<\/strong><\/p>\n El error m\u00e1s com\u00fan y fatal. Una gran cantidad de webmasters piensan que el conjunto de CDN descansar\u00e1 f\u00e1cil, pero no saben que los minutos atacante puede elegir su IP del servidor real. una vez que la exposici\u00f3n IP de la estaci\u00f3n de origen, el tr\u00e1fico de ataque directamente eludir la CDN de alta defensa para el servidor, lo que la protecci\u00f3n se ha convertido en una configuraci\u00f3n.<\/p>\n El a\u00f1o pasado, ayud\u00e9 a un sitio de comercio electr\u00f3nico para hacer pruebas de penetraci\u00f3n, y se utiliza una herramienta de huellas dactilares de c\u00f3digo abierto para escanear directamente la IP de origen - s\u00f3lo porque se olvidaron de eliminar la fuente que apunta en el registro A de un subdominio. M\u00e1s com\u00fan es a trav\u00e9s del servidor de correo, subdominios de edad, e incluso la informaci\u00f3n del certificado SSL para revertir comprobar la IP. no creo que \u201cestablecer el CDN es absolutamente seguro\u201d tonter\u00edas.<\/p>\n Soluci\u00f3n:<\/strong><\/p>\n 1. A\u00edsle estrictamente la ruta de acceso a la estaci\u00f3n de origen y permita que s\u00f3lo el segmento IP de retorno de la CDN acceda al puerto del servidor. Una red backhaul privada como la que proporciona CDN5 funciona bastante bien, y adem\u00e1s puedes personalizar los t\u00faneles cifrados;<\/p>\n 2. Utilice regularmente la herramienta para autocomprobar los riesgos de exposici\u00f3n a la PI:<\/p>\n 3. Soluci\u00f3n independiente de terceros (por ejemplo, SendGrid) para servicios de correo, nunca en la misma IP que la empresa;<\/p>\n 4. El cortafuegos del servidor deniega todo el tr\u00e1fico por defecto y s\u00f3lo abre los puertos necesarios a los segmentos IP proporcionados por el proveedor de CDN. en la documentaci\u00f3n de CDN07 se proporciona directamente una lista de IP de nodos globales. recuerde actualizarla una vez a la semana.<\/p>\n II. Mala configuraci\u00f3n de las normas de protecci\u00f3n: tapa abierta no significa listo para usar<\/strong><\/p>\n El caso m\u00e1s escandaloso que he visto es que una empresa compr\u00f3 un paquete de alta defensa de primer nivel, pero el WAF ni siquiera activa la protecci\u00f3n CC b\u00e1sica, porque pensaban que estaba \u201ctodo activado por defecto\u201d. De hecho, la mayor\u00eda de los CDN hoy en d\u00eda, con el fin de reducir el n\u00famero de falsos positivos, s\u00f3lo abren la base de reglas b\u00e1sicas por defecto, como ataques lentos, abuso de API, estos necesitan ser configurados manualmente.<\/p>\n Otros han fijado sus umbrales de protecci\u00f3n para que sean extremadamente agresivos: a una sola IP se le permiten 1.000 peticiones por segundo, lo que hace que la protecci\u00f3n CC sea pr\u00e1cticamente inexistente. Es importante saber que el pico de comportamiento real de los usuarios no suele superar las 20 peticiones por segundo, por no mencionar que el \u201cmodo inteligente\u201d de algunos proveedores no es en realidad m\u00e1s que un interruptor de umbral.<\/p>\n Soluci\u00f3n:<\/strong><\/p>\n 1. Base de reglas WAF al menos abierta al nivel \u201cestricto\u201d, no tengas miedo de bloquear por error, es mejor que ser golpeado por ahorcamiento;<\/p>\n 2. Reglas de frecuencia personalizadas: sol\u00eda establecer umbrales por tipo de negocio. la pasarela API se limita a 50 veces por segundo para una sola IP, los recursos est\u00e1ticos se relajan a 200 veces y la interfaz de inicio de sesi\u00f3n debe pulsarse menos de 10 veces;<\/p>\n 3. Habilitar el modo de desaf\u00edo de autenticaci\u00f3n humana para que aparezca el CAPTCHA directamente para el tr\u00e1fico sospechoso. 08Host ha hecho un buen trabajo en esta \u00e1rea y soporta m\u00faltiples modos de autenticaci\u00f3n sin sentido y desaf\u00edo JS;<\/p>\n 4. Examine peri\u00f3dicamente los informes de ataques: c\u00e9ntrese en los patrones de ataque que intentan saltarse las normas, como los campos de cabecera UserAgent o XFF aleatorios.<\/p>\n En tercer lugar, los problemas de compatibilidad de certificados y protocolos: TLS tambi\u00e9n puede convertirse en una vulnerabilidad<\/strong><\/p>\n Se encontr\u00f3 con una situaci\u00f3n particularmente lamentable: el cliente compr\u00f3 una peque\u00f1a f\u00e1brica de CDN de alta defensa, los resultados de la otra parte no es compatible con el protocolo TLS1.3. El sitio se vio obligado a degradar a TLS1.2, y sucedi\u00f3 que se encontr\u00f3 con un ataque de CC utilizando las lagunas del protocolo, y la CPU directamente se dispar\u00f3 a plena capacidad. M\u00e1s com\u00fan es la mala configuraci\u00f3n del certificado SSL conduce a CDN no puede ser normal apret\u00f3n de manos, el tr\u00e1fico de vuelta a la fuente de la desnuda sin cifrar.<\/p>\n Soluci\u00f3n:<\/strong><\/p>\n 1. Pruebe el enlace cifrado completo con Qualys SSL Labs:<\/p>\n 2. Aseg\u00farese de que la cadena de certificados est\u00e1 completa y deben desplegarse certificados intermedios. Se recomienda utilizar servicios autom\u00e1ticos de gesti\u00f3n de certificados, tanto CDN5 como CDN07 proporcionan despliegue SSL de ventanilla \u00fanica;<\/p>\n 3. Desactive los protocolos m\u00e1s antiguos (SSLv3, TLS1.0) y fuerce la activaci\u00f3n de la extensi\u00f3n SNI;<\/p>\n 4. El enlace de vuelta a la fuente tambi\u00e9n debe estar cifrado, no utilices HTTP de vuelta a la fuente.<\/p>\n Cuarto, la desconfiguraci\u00f3n de la resoluci\u00f3n DNS: el punto ciego fatal del enrutamiento del tr\u00e1fico<\/strong><\/p>\n La CDN de alta defensa consiste esencialmente en programar el tr\u00e1fico a trav\u00e9s de DNS. Sin embargo, muchas personas han configurado incorrectamente los registros CNAME, o el valor TTL est\u00e1 configurado demasiado grande, lo que provoca un retraso en la resoluci\u00f3n cuando se activa el ataque. El caso m\u00e1s extremo es que la cach\u00e9 DNS en algunas zonas llega a durar varias horas, y el negocio se ha colapsado mucho antes de que la estrategia de defensa surta efecto.<\/p>\n Otros olvidan pulsar primero la l\u00ednea para resolver el tr\u00e1fico al cambiar entre CDN de alta defensa y normal. El resultado de cambiar los registros DNS directamente es que algunos usuarios van al nodo antiguo, otros al nuevo, y se produce un vac\u00edo en la estrategia de defensa.<\/p>\n Soluci\u00f3n:<\/strong><\/p>\n 1. Siempre CNAME el nombre de dominio al nombre de dominio protegido proporcionado por el CDN de alta defensa en primer lugar, y luego el CDN de nuevo a la fuente;<\/p>\n 2. Ajuste el tiempo TTL m\u00e1s corto, 300 segundos para uso normal y 60 segundos para conmutaci\u00f3n de emergencia;<\/p>\n 3. Utilice la funci\u00f3n de an\u00e1lisis sint\u00e1ctico multilineal de DNSPod o Cloudflare para enviar a los nodos de alta defensa individualmente para el \u00e1rea de ataque;<\/p>\n 4. Realice pruebas de penetraci\u00f3n DNS de forma regular:<\/p>\n V. Conflictos entre las caracter\u00edsticas de las empresas y las estrategias de protecci\u00f3n<\/strong><\/p>\n Este es el punto m\u00e1s f\u00e1cil de pasar por alto. Cierto negocio en s\u00ed tiene caracter\u00edsticas de solicitud de alta frecuencia (como WebSocket larga conexi\u00f3n, streaming de v\u00eddeo), la protecci\u00f3n estricta ciegamente abierta dar\u00e1 lugar a un gran n\u00famero de falsos positivos. Visto una plataforma de educaci\u00f3n en l\u00ednea, debido a que el paquete de latido del coraz\u00f3n de v\u00eddeo es interceptado por las reglas de CC, lo que resulta en los usuarios viendo la clase ca\u00edda loco.<\/p>\n Adem\u00e1s, la protecci\u00f3n de la interfaz API debe tratarse por separado. las caracter\u00edsticas de la solicitud POST en formato JSON son diferentes de las de una solicitud de formulario normal y requieren el ajuste de las reglas de detecci\u00f3n del WAF. La base de reglas por defecto de algunos proveedores tiene una tasa de detecci\u00f3n inferior a 30% para los ataques API.<\/p>\n Soluci\u00f3n:<\/strong><\/p>\n 1. Antes de que el servicio entre en funcionamiento, debe realizar la prueba de la lista blanca: grabe el tr\u00e1fico real del servicio para reproducirlo y observe las reglas de protecci\u00f3n para acabar con la situaci\u00f3n;<\/p>\n 2. WebSocket y servicios de conexi\u00f3n larga para tomar un canal de reenv\u00edo dedicado, la pol\u00edtica de protecci\u00f3n WebSocket de 08Host se optimiza por separado;<\/p>\n 3. Los servicios API permiten modos de protecci\u00f3n especiales para centrarse en nuevos vectores de ataque como el an\u00e1lisis profundo de JSON y la inyecci\u00f3n GraphQL;<\/p>\n 4. Debe realizarse un an\u00e1lisis de registros en tiempo real, pila ELK o directamente con los servicios de registro del proveedor de CDN para detectar patrones an\u00f3malos de forma m\u00e1s fiable que simplemente confiando en WAF.<\/p>\n Para terminar<\/strong><\/p>\n Un CDN de alta defensa no es una caja fuerte \u201cplug-and-play\u201d, sino un sistema sofisticado que requiere una puesta a punto continua. Una defensa realmente eficaz = 70% de configuraci\u00f3n correcta + 20% de supervisi\u00f3n y alerta + 10% de respuesta de emergencia. No conf\u00ede totalmente en la \"protecci\u00f3n autom\u00e1tica\" del proveedor, eche un vistazo a la cartograf\u00eda del tr\u00e1fico en tiempo real y realice peri\u00f3dicamente simulacros de ataque y defensa.<\/p>\n Si realmente quiere recomendar - CDN07 es rentable para peque\u00f1as empresas, CDN5 es preferible para escenarios de alto tr\u00e1fico con Anycast Network, y puede mirar la soluci\u00f3n de protecci\u00f3n h\u00edbrida de 08Host para la b\u00fasqueda de una personalizaci\u00f3n extrema. Pero recuerde que no existe una soluci\u00f3n \u00fanica, sino una estrategia de seguridad iterativa y continua.<\/p>\n (\u00bfNo hay problema despu\u00e9s de comprobar estos elementos de configuraci\u00f3n? Env\u00edeme un mensaje privado para enviar un informe de diagn\u00f3stico que le ayude a ver si est\u00e1 experimentando un ataque maligno)<\/p>","protected":false},"excerpt":{"rendered":" Recientemente, ayud\u00e9 a mi amigo para investigar un sitio web que fue golpeado por un ahorcamiento, iniciado sesi\u00f3n en el fondo CDN para echar un vistazo, buen tipo, el tr\u00e1fico de ataque es casi romper el nivel T, pero la estrategia de defensa de la CDN de alta defensa es en realidad como una cuchara con fugas que no se detuvo unas pocas peticiones. El negocio real se ha paralizado hace mucho tiempo, pero la consola tambi\u00e9n muestra \u201ctodo normal\u201d, la iron\u00eda de esta imagen se puede utilizar como una pel\u00edcula de propaganda de seguridad de la red. Hoy en d\u00eda, incluso los CDN tienen que \u201cevitar que los compa\u00f1eros de equipo\u201d. Vendedores anuncian protecci\u00f3n de nivel T suena farol, pero la configuraci\u00f3n no es correcta o sesgo de comprensi\u00f3n, minutos para que usted pueda correr desnudo en el tiroteo de Internet. He probado el mercado cinco o seis principales servicios de alta defensa, pisando los boxes resumi\u00f3 cinco de las razones m\u00e1s comunes para el fracaso de la CDN de alta defensa - algunos de los boxes puede incluso dejar que el soporte t\u00e9cnico del fabricante est\u00e1n rascando la cabeza. En primer lugar, la estaci\u00f3n de origen fuga de IP: usted piensa oculto, de hecho, en la carrera desnuda El error m\u00e1s com\u00fan y m\u00e1s fatal<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-1052","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1052","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=1052"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1052\/revisions"}],"predecessor-version":[{"id":1073,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1052\/revisions\/1073"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=1052"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=1052"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=1052"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=1052"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}