Chặn kết nối từ AWS đến dịch vụ on-premises của tôi

 (consulting.m3047.net)
1 điểm bởi GN⁺ 2024-09-01 | 1 bình luận | Chia sẻ qua WhatsApp
  • Trước năm 1989, công chúng không thể truy cập Internet. Khi đó tồn tại các mạng quy mô lớn chỉ mở cho chính phủ, quân đội và các tổ chức nghiên cứu/giáo dục
  • Các dịch vụ như AOL, Compuserve xuất hiện và trở thành tiền thân của cloud-native thời kỳ đầu
  • Năm 1995, NSFNet chặn quyền truy cập công cộng vào backbone. Đây là bước đi nhằm xây dựng Internet thương mại
  • Khoảng năm 2000 đã xảy ra một đợt đào thải quy mô lớn, và các mô hình sống sót dựa trên quảng cáo cùng việc bán dữ liệu hành vi người dùng
  • Đặc trưng của AI hiện nay là sử dụng mọi nội dung có thể tiếp cận được làm dữ liệu huấn luyện

Tình hình hiện nay

  • Tác giả đang chặn quyền truy cập từ AWS vào các máy chủ on-premises của mình để thử nghiệm và cho tiện
  • Các dịch vụ web, máy chủ DNS, email mà tác giả đang vận hành đều phục vụ người dùng cá nhân
  • AWS quá lớn nên việc tạo quy tắc tường lửa trở nên nhiều hơn. Việc này cũng có tác dụng phụ là chặn crawler/scanner
  • Phần lớn các tài nguyên nổi tiếng đều được lưu trữ trên đám mây
  • Cũng tồn tại vấn đề đánh cắp dữ liệu khi mã nguồn mở bị chiếm dụng cho các mục đích ngoài ý muốn mà không có sự cho phép

Nâng thành chính sách

  • Các nhà cung cấp đám mây lớn nên chia sẻ thông tin hữu ích cho điều tra số thông qua các công cụ như DNS, Whois
  • Cần có thông tin Whois cho từng IP, cùng các thông tin bổ sung được mã hóa trong reverse DNS
  • Họ cũng nên vận hành một blog kiểu "storm center" để thảo luận về các mẫu lạm dụng hiện tại và các khối địa chỉ bị ảnh hưởng
  • SMTP công bố thêm thông tin như SPF trong các bản ghi DNS TXT
  • Các biện pháp giảm thiểu phù hợp sẽ giúp ích cho mọi bên, nhưng những biện pháp giảm thiểu nhắm sai mục tiêu thì không
  • Việc đã đi đến tình trạng này là điều đáng xấu hổ. Nếu lan rộng, nó sẽ dẫn tới sự Balkan hóa của Internet

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-09-01
Ý kiến Hacker News
  • Các nhà cung cấp đám mây lớn công bố danh sách dải IP ở định dạng máy có thể đọc được
  • Những kẻ tấn công hạ tầng trên Internet xuất hiện rất nhanh
    • Ngay khi công bố subnet qua BGP, hoạt động quét cổng tăng vọt
    • Có vẻ rất nhiều người đang quét bừa toàn bộ các dải IP
  • Việc phơi dịch vụ web nội bộ ra Internet là điều đáng sốc
    • Cần thêm lớp bảo vệ bổ sung như VPN
  • Chỉ công khai SSH trên một bastion host duy nhất
    • Muốn loại bỏ cả việc này bằng cách thêm một lớp VPN
  • Chặn Hetzner, Digital Ocean, Linode, OVH, Contabo
    • Có thể chặn ASN bằng pfBlocker NG hoặc quy tắc UFW
  • Chặn các dải IP khi máy chủ Amazon làm chậm máy chủ on-premises
    • Viết script để định kỳ tải xuống các dải IP và chặn chúng
  • Có thể chặn desktop chạy trên AWS
    • Có thể thêm một số IP cụ thể vào whitelist
    • Có thể dùng proxy hoặc VPN để vượt qua việc chặn
  • Có thể hiểu được nếu muốn chặn một phần lớn của Internet
    • Chỉ chặn đối với một số dịch vụ nhất định
    • Tin vào lợi ích của tri thức được chia sẻ
  • Có người là nhân viên AWS, nhưng nếu lưu lượng ping bị giả mạo thì không thể biết AWS có phải nguồn gốc hay không
  • Cần có bản tóm tắt vấn đề
    • Chưa rõ đây là vấn đề về scraping dữ liệu, tấn công DDoS, băng thông hay bảo mật
  • Vận hành máy chủ cần kết nối mạng giữa các đám mây
    • Những gì đi vào từ dịch vụ đám mây chỉ toàn bot, scanner và scraper
    • Chặn các ISP lớn của Trung Quốc
    • Thách thức là chặn kết nối inbound nhưng vẫn giữ kết nối outbound
  • Vấn đề trở nên nghiêm trọng do DDoS và bot từ các công ty công nghệ lớn
    • Dùng tổng hợp CIDR và giới hạn tốc độ với ISP trung tâm dữ liệu
    • Đặt giới hạn hợp lý cho mọi IP