การบล็อกการเชื่อมต่อจาก AWS ไปยังบริการออนพรีมิสของผม

 (consulting.m3047.net)
1 คะแนน โดย GN⁺ 2024-09-01 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ก่อนปี 1989 คนทั่วไปยังไม่สามารถเข้าถึงอินเทอร์เน็ตได้ มีเครือข่ายขนาดใหญ่ที่เปิดให้เฉพาะรัฐบาล กองทัพ และสถาบันวิจัย/การศึกษาเท่านั้น
  • บริการอย่าง AOL และ Compuserve ได้ถือกำเนิดขึ้น และกลายเป็นต้นแบบยุคแรกของสิ่งที่ต่อมาคือคลาวด์เนทีฟ
  • ในปี 1995 NSFNet ได้ตัดการเข้าถึงแบ็กโบนสำหรับสาธารณะ ซึ่งเป็นมาตรการเพื่อสร้างอินเทอร์เน็ตเชิงพาณิชย์
  • ราวปี 2000 เกิดการล่มสลายครั้งใหญ่ และโมเดลที่อยู่รอดได้อาศัยโฆษณาและการขายข้อมูลพฤติกรรมผู้ใช้
  • ปัจจุบัน ลักษณะเด่นของ AI คือการใช้คอนเทนต์ที่เข้าถึงได้ทั้งหมดเป็นข้อมูลเทรนนิง

สถานการณ์ในปัจจุบัน

  • ผู้เขียนกำลังบล็อกการเข้าถึงเซิร์ฟเวอร์ออนพรีมิสของตนจาก AWS เพื่อการทดลองและความสะดวก
  • เว็บเซอร์วิส, เซิร์ฟเวอร์ DNS, อีเมล และอื่น ๆ ที่ผู้เขียนดูแลอยู่ มีไว้สำหรับผู้ใช้บุคคลทั่วไป
  • AWS มีขนาดใหญ่เกินไปจนทำให้ต้องสร้างกฎไฟร์วอลล์จำนวนมาก และยังมีผลพลอยได้คือช่วยบล็อก crawler/scanner
  • ทรัพยากรที่มีชื่อเสียงส่วนใหญ่โฮสต์อยู่บนคลาวด์
  • ยังมีปัญหาการขโมยข้อมูลที่โอเพ่นซอร์สถูกนำไปใช้เฉพาะทางโดยไม่ได้รับอนุญาตและผิดไปจากเจตนาเดิม

ยกระดับให้เป็นนโยบาย

  • ผู้ให้บริการคลาวด์รายใหญ่ควรแบ่งปันข้อมูลที่เป็นประโยชน์ต่อการทำฟอเรนสิกผ่านเครื่องมืออย่าง DNS และ Whois
  • จำเป็นต้องมีข้อมูลเพิ่มเติม เช่น Whois สำหรับแต่ละ IP และข้อมูลเสริมที่เข้ารหัสไว้ใน reverse DNS
  • ควรมีบล็อก "Storm Center" สำหรับพูดคุยถึงรูปแบบการนำไปใช้ในทางที่ผิดในปัจจุบันและบล็อกแอดเดรสที่ได้รับผลกระทบ
  • SMTP เผยแพร่ข้อมูลเพิ่มเติม เช่น SPF ผ่าน DNS TXT record
  • มาตรการบรรเทาที่เหมาะสมเป็นประโยชน์ต่อทุกฝ่าย แต่มาตรการบรรเทาที่เล็งเป้าผิดไม่เป็นเช่นนั้น
  • การมาถึงจุดนี้เป็นเรื่องน่าอับอาย และหากแพร่หลายออกไป จะนำไปสู่การแบ่งแยกของอินเทอร์เน็ต

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-09-01
ความเห็นจาก Hacker News
  • ผู้ให้บริการคลาวด์รายใหญ่เผยแพร่รายการช่วง IP ที่เครื่องอ่านได้
  • ผู้ที่โจมตีโครงสร้างพื้นฐานจากอินเทอร์เน็ตจะโผล่มาอย่างรวดเร็วมาก
    • ทันทีที่ประกาศ subnet ผ่าน BGP กิจกรรมการสแกนพอร์ตก็พุ่งขึ้นอย่างมาก
    • ดูเหมือนว่าหลายคนจะสแกนทุกช่วง IP แบบหว่านแห
  • การเปิดเผยบริการเว็บภายในสู่อินเทอร์เน็ตเป็นเรื่องน่าตกใจ
    • จำเป็นต้องมีชั้นการป้องกันเพิ่มเติม เช่น VPN
  • เปิดเผย SSH เฉพาะบน bastion host ตัวเดียวเท่านั้น
    • อยากเพิ่มชั้น VPN เพื่อเอาสิ่งนี้ออกไป
  • บล็อก Hetzner, Digital Ocean, Linode, OVH, Contabo
    • สามารถบล็อก ASN ได้โดยใช้กฎของ pfBlocker NG หรือ UFW
  • บล็อกช่วง IP เมื่อเซิร์ฟเวอร์ของ Amazon ทำให้เซิร์ฟเวอร์ on-premises ช้าลง
    • เขียนสคริปต์เพื่อดาวน์โหลดช่วง IP และบล็อกเป็นระยะ
  • สามารถบล็อกเดสก์ท็อปที่รันอยู่บน AWS ได้
    • สามารถเพิ่ม IP บางตัวเข้า whitelist ได้
    • สามารถใช้ proxy หรือ VPN เพื่อเลี่ยงการบล็อกได้
  • ถ้าต้องการบล็อกอินเทอร์เน็ตส่วนใหญ่ก็พอเข้าใจได้
    • บล็อกเฉพาะบางบริการเท่านั้น
    • เชื่อในประโยชน์ของความรู้ที่แบ่งปันร่วมกัน
  • แม้จะเป็นพนักงาน AWS แต่ถ้า traffic ของ ping ถูก spoofed ก็ไม่อาจรู้ได้ว่า AWS เป็นต้นทางหรือไม่
  • ต้องการสรุปปัญหา
    • ยังไม่ชัดเจนว่าเป็นปัญหาเรื่อง data scraping, การโจมตี DDOS, ปัญหาแบนด์วิดท์ หรือปัญหาความปลอดภัย
  • ดูแลเซิร์ฟเวอร์ที่ต้องมี networking ข้ามคลาวด์
    • สิ่งที่เข้ามาจากบริการคลาวด์มีแต่บอต สแกนเนอร์ และสแครปเปอร์
    • บล็อก ISP รายใหญ่ของจีน
    • ความท้าทายคือการบล็อกการเชื่อมต่อขาเข้าและคงการเชื่อมต่อขาออกไว้
  • ปัญหารุนแรงขึ้นจาก DDoS และบอตของบริษัทเทครายใหญ่
    • ใช้การรวม CIDR และการจำกัดความเร็วของ ISP ในดาต้าเซ็นเตอร์
    • ตั้งค่าขีดจำกัดที่สมเหตุสมผลสำหรับทุก IP