Сетевая безопасность

Сетевая безопасность

Заблокированные порты⁠

Чтобы обезопасить инфраструктуру Servercore от вредоносной сетевой активности, мы ограничиваем доступ к некоторым TCP/UDP-портам. На пограничных маршрутизаторах на границе интернет-сети Servercore блокируется входящий и исходящий трафик. Для 25 TCP-порта действует исключение — блокируется только исходящий трафик, чтобы ограничить рассылку потенциально вредоносной почты. Список заблокированных портов можно посмотреть в инструкции Заблокированные порты.

Межсетевое экранирование⁠

Чтобы защитить систему, ограничивайте входящий и исходящий трафик. Определите перечень необходимых сетевых служб и для каждого из своих серверов разрешите подключения только к сетевым портам, которые связаны с этими службами. При необходимости ограничивайте адрес источника подключения. Все подключения, которые явно не разрешены, должны быть заблокированы.

Сетевую безопасность для приватных подсетей и публичных IP-адресов можно обеспечить с помощью:

• облачного файрвола — stateful-файрвол для облачных серверов. С ним можно работать в панели управления, с помощью OpenStack CLI;
• базового файрвола — stateless-файрвол для выделенных серверов. С ним можно работать только в панели управления.

Вы также можете защитить сетевые подключения на уровне конкретного сервера. На серверах с OC Linux рекомендуем использовать:

• Uncomplicated Firewall (UFW) — инструмент для настройки файрвола. Разработан для дистрибутива Ubuntu, но доступен и для других дистрибутивов, например Debian. Чтобы настроить утилиту UFW, используйте инструкцию UFW документации Ubuntu;
• firewalld — система управления файрволом, которая по умолчанию установлена в дистрибутивах, основанных на Red Hat Enterprise Linux, например Fedora, CentOS, Alma Linux, Rocky Linux и Oracle Linux. Подробнее о настройке в документации firewalld и примеры настройки в документации Fedora.

При настройке файрвола учитывайте, что некоторые порты, изначально предназначенные для конкретных служб, могут быть использованы злоумышленниками для взлома. Например, 21/TCP (FTP), 22/TCP (SSH), 23/TCP (Telnet) и 3389/TCP (RDP) — опасные, так как часто подвергаются атакам подбора паролей и эксплуатации уязвимостей. Посмотреть полный список таких портов можно в таблице Порты, которые чаще всего открываются.

Порты, которые чаще всего открываются⁠

22/TCP (SSH)	Часто подвергается атакам с целью подбора пароля для подключения к серверу
3389/TCP (RDP)	Часто подвергается атакам из-за слабых паролей и системных уязвимостей
5900/TCP (VNC)	Часто подвергается атакам из-за слабых паролей
80/TCP (HTTP)	Часто подвергается атакам на веб-приложения, например атаки с использованием XSS или SQL-инъекций
443/TCP (HTTPS)	Несмотря на шифрование данных, возможны уязвимости в SSL/TLS, которые могут привести к перехвату данных злоумышленниками
21/TCP (FTP)	Из-за передачи данных без шифрования данные легко перехватываются
23/TCP (Telnet)	Из-за передачи данных без шифрования данные легко перехватываются
445/TCP (SMB)	Используется злоумышленниками для распространения вредоносного ПО
3306/TCP (MySQL)	Открытый доступ к MySQL может привести к утечке данных
5432/TCP (PostgreSQL)	Открытый доступ к PostgreSQL может привести к утечке данных

Сетевой доступ к кластеру облачных баз данных⁠

В облачных базах данных вы можете настроить сетевой доступ к кластеру. Пользователям для работы доступен только сам кластер — доступа к нодам кластера нет, так как они находятся на стороне Servercore. По умолчанию в кластерах с публичной подсетью подключение разрешено для всех адресов при наличии логина и пароля. К кластеру в приватной подсети подключение разрешено из подсети кластера и из тех подсетей, которые объединены с подсетью кластера облачным роутером. Вы можете ограничить список адресов, с которых будет разрешен доступ в кластер баз данных. Подробнее в инструкциях PostgreSQL, PostgreSQL для 1C, PostgreSQL TimescaleDB, MySQL semi-sync, MySQL sync, Redis и Kafka.

Защита веб-приложений⁠

Для защиты веб-приложений на прикладном уровне (L7) рекомендуем использовать специализированные решения — Web Application Firewall (WAF).

Среди бесплатных инструментов, выполняющих функции WAF, наиболее популярные и функциональные:

• CrowdSec;
• open-appsec.

Защита от DDoS⁠

Servercore предоставляет бесплатную защиту инфраструктуры от DDoS-атак на сетевом и транспортном уровнях (L3-L4) — подробнее в инструкции Защита Servercore. Информацию о заблокированных атаках, сетевых блокировках и заблокированных IP-адресах можно посмотреть в панели управления в разделе Сетевые сервисы → Сетевые инциденты. Подробнее об информации, которую можно отслеживать, в разделе Сетевые инциденты.

Обнаружение и предотвращение сетевых атак (IPS)⁠

Для обнаружения и предотвращения сетевых атак рекомендуем использовать специализированные решения — Intrusion Prevention System (IPS).

Среди бесплатных инструментов, выполняющих функции IPS, наиболее популярные и функциональные:

• Suricata;
• Snort;
• CrowdSec.

В качестве системы обнаружения вторжений уровня хоста (Host-based Intrusion Detection System — HIDS) рекомендуем использовать Wazuh.