AWS'ten şirket içi hizmetime bağlantıyı engellemek

 (consulting.m3047.net)
1 puan yazan GN⁺ 2024-09-01 | 1 yorum | WhatsApp'ta paylaş
  • 1989'dan önce halk internete erişemiyordu. Yalnızca devlet, ordu ve araştırma/eğitim kurumlarına açık büyük ölçekli ağlar vardı
  • AOL, Compuserve gibi hizmetler ortaya çıktı ve erken dönem cloud-native'in öncülü oldu
  • 1995'te NSFNet, omurgaya kamu erişimini engelledi. Bu, ticari internetin kurulmasına yönelik bir adımdı
  • 2000 yılı civarında büyük bir ayıklanma yaşandı ve hayatta kalan modeller reklam ile kullanıcı davranışı verilerinin satışına dayandı
  • Günümüzde yapay zekanın özelliği, erişilebilen tüm içeriği eğitim verisi olarak kullanmasıdır

Bugünün durumu

  • Yazar, deney ve kolaylık amacıyla AWS'den kendi şirket içi sunucusuna erişimi engelliyor
  • Yazarın işlettiği web hizmetleri, DNS sunucusu, e-posta vb. bireysel kullanıcılara yöneliktir
  • AWS'nin ölçeği çok büyük olduğu için çok sayıda güvenlik duvarı kuralı oluşturmak gerekiyor. Bunun, crawler/scanner engelleme gibi yan etkileri de var
  • Tanınmış kaynakların çoğu bulutta barındırılıyor
  • Açık kaynağın izinsiz ve amaç dışı kullanıma tahsis edilmesiyle ilgili veri hırsızlığı sorunu da mevcut

Bunu politikaya dönüştürmek

  • Büyük bulut sağlayıcıları, DNS ve Whois gibi araçlarla adli incelemelerde faydalı olacak bilgileri paylaşmalı
  • Tek tek IP'ler için Whois, reverse DNS içine kodlanmış ek bilgiler vb. gerekli
  • Ayrıca mevcut kötüye kullanım örüntülerini ve etkilenen adres bloklarını tartışan bir "storm center" blogu da işletmeliler
  • SMTP, SPF gibi ek bilgileri DNS TXT kayıtları aracılığıyla yayımlar
  • Uygun hafifletme önlemleri tüm taraflara yardımcı olur, ancak yanlış hedeflenmiş hafifletme önlemleri böyle değildir
  • Bu noktaya gelmiş olmak utanç verici. Yayılırsa internetin Balkanlaşmasına yol açacaktır

İlgili okumalar

1 yorum

 
GN⁺ 2024-09-01
Hacker News yorumu
  • Büyük bulut sağlayıcıları, makinelerin okuyabildiği IP aralığı listeleri yayımlıyor
  • İnternette altyapıya saldıran kişiler çok hızlı ortaya çıkıyor
    • Alt ağ BGP üzerinden duyurulur duyurulmaz port tarama etkinliği aniden artıyor
    • Birçok kişi tüm IP aralıklarını ayrım gözetmeden tarıyor gibi görünüyor
  • İç web servislerini internete açmak sarsıcı
    • VPN gibi ek bir koruma katmanı gerekli
  • SSH yalnızca tek bir bastion host üzerinden açık tutuluyor
    • Bunu kaldırmak için bir VPN katmanı eklemek isteniyor
  • Hetzner, Digital Ocean, Linode, OVH, Contabo engelleniyor
    • ASN, pfBlocker NG veya UFW kuralları kullanılarak engellenebilir
  • Amazon sunucuları on-premises sunucuları yavaşlatınca IP aralıkları engellenmiş
    • IP aralıklarını düzenli olarak indirip engelleyen bir betik yazılmış
  • AWS üzerinde çalışan masaüstleri engellenebilir
    • Belirli IP’ler whitelist’e eklenebilir
    • Proxy veya VPN kullanarak engel aşılabilir
  • İnternetin büyük bir bölümünü engellemek istemek anlaşılabilir
    • Engelleme yalnızca belirli servisler için yapılıyor
    • Paylaşılan bilginin faydasına inanılıyor
  • AWS çalışanı olduğunu söylüyor, ancak ping trafiği spoof edilmişse kaynağın AWS olup olmadığı bilinemez
  • Sorunun özetine ihtiyaç var
    • Veri scraping, DDoS saldırıları, bant genişliği sorunu ya da güvenlik sorunu mu olduğu net değil
  • Bulutlar arası ağ iletişimi gerektiren sunucular işletiliyor
    • Bulut servislerinden gelenler yalnızca botlar, tarayıcılar ve scraper’lar
    • Çin’deki büyük ISP’ler engelleniyor
    • Gelen bağlantıları engelleyip giden bağlantıları sürdürmek zorlayıcı
  • DDoS ve büyük teknoloji şirketlerinin botları nedeniyle sorun ciddileşiyor
    • CIDR toplulaştırma ve veri merkezi ISP’lerinde hız sınırlama kullanılıyor
    • Tüm IP’ler için makul sınırlar belirleniyor