Leitfaden zum Sicherheitsschutz für selbst erstellte Proxy-Server (Firewall/Protokollüberwachung)

Praktische Anleitung zum Anbringen kugelsicherer Westen auf Ihrem eigenen Proxy-Server

Was ist die größte Angst vor Proxy-Servern? Die hart erarbeiteten Server werden als öffentliche Toiletten benutzt. Heute werden wir darüber sprechen, wie man seinen eigenen Server sperren kann, wobei wir uns auf die Brandverhütung und die Protokollüberwachung der beiden wichtigsten Wächter konzentrieren.

Brandschutz ist kein Zaun, er muss die Menschen erkennen.

Viele Leute denken, dass alles in Ordnung ist, wenn sie eine Firewall öffnen, aber in Wirklichkeit ist es fast dasselbe, als ob man das Tor unverschlossen lässt. Nehmen Sie zum Beispiel Linux.Man kann nicht einfach einen Port öffnen, sondern muss mit der schwarzen und weißen Liste spielen.. Es wird empfohlen, gängige Ports wie 22 und 80 in kalte Nummern zu ändern, z. B. den SSH-Port von 22 in eine zufällige Nummer wie 52488.

 Beispiel für Whitelisting mit iptables
iptables -A INPUT -p tcp --dport 52488 -s 192.168.1.100 -j ACCEPT
iptables -A INPUT -p tcp --dport 52488 -j DROP

Hier gibt es einen Fallstrick, auf den Sie achten sollten:Verwenden Sie niemals die Todeskombination aus Standardanschluss und KennwortIch habe gesehen, wie Leute den Proxy-Port auf 8080 mit einem schwachen Passwort eingestellt haben. Ich habe gesehen, wie Leute den Proxy-Port mit einem schwachen Passwort auf 8080 gesetzt haben, nur um innerhalb von drei Tagen geknackt zu werden.

Die Protokollierung ist wie die Überprüfung von Sicherheitsvideos.

Logs sind nicht dazu da, die Festplatte zu belegen, man muss sie jeden Tag ansehen. Es wird empfohlen, ein Tool wie GoAccess zu verwenden, um sie in Echtzeit zu analysieren und sich auf diese Signale zu konzentrieren:

Ich habe den extremsten Fall erlebt: Die Betriebs- und Wartungsabteilung eines Unternehmens stellte fest, dass um 3.00 Uhr nachts eine vietnamesische IP-Adresse eingeloggt war, überprüfte die Überwachung und stellte fest, dass es sich um einen Wettbewerber handelte, der Daten abfragte.

Proxy-IP sollte unsichtbar sein wie ein Chamäleon.

Selbst erstellte Proxy ist die meisten Kopfschmerzen IP blockiert, hier empfohlen zu verwendenDynamische private IP für ipipgoAls Erstes möchte ich das Beste aus ihnen herausholen. Ihr IP-Pool wird jeden Tag automatisch gewechselt, und es wurde getestet, dass er eine Woche lang ununterbrochen genutzt werden kann, ohne eine Blockade auszulösen. Er ist leicht zu konfigurieren:

 Python mit ipipgo proxy Beispiel
Anfragen importieren

proxies = {
    'http': 'http://user:pass@gateway.ipipgo.io:9021',
    'https': 'http://user:pass@gateway.ipipgo.io:9021'
}

response = requests.get('https://api.example.com', proxies=proxies)

Der Schlüssel istEinstellung der automatischen SchaltzeitFür große Unternehmen wird empfohlen, alle 5 Minuten eine Reihe von IPs zu ändern. ipipgo background kann so eingestellt werden, dass die Strategie intelligent umgeschaltet wird, was viel müheloser ist als eine manuelle Änderung.

Praktische QA

F: Was ist, wenn die Brandschutzvorschriften nicht eingehalten werden oder nicht versichert sind?
A: auf den doppelten Schutz, die Cloud-Plattform kommt mit einer Sicherheitsgruppe und System Feuer separat eingerichtet, die Regeln nicht wiederholen. Zum Beispiel, in der AliCloud Sicherheitsgruppe öffnen 8000-9000 Port-Bereich, das System Feuer und dann detailliert auf den spezifischen Port.

F: Wie kann ich feststellen, dass die Protokolldatei zu groß ist?
A: Verwendung logrotate automatisch aufgeteilt Protokolle, mit ELK dreiteilige Suite. Notfall direkt grep zu fangen Schlüsselwörter: "Failed Passwort", um die Explosion zu finden, "GET /wp-admin", um Crawler zu verhindern.

F: Was passiert, wenn die IP von ipipgo versehentlich blockiert wird?
A: Sie haben eine schwarze Technologie-Funktion, in der Benutzerzentrale Punkt "Notfall whitewash", innerhalb von 30 Sekunden wird die gesamte IP-Pool zu aktualisieren. Letztes Mal hatten wir ein Projekt, das die Plattform-Windsteuerung auslöste, mit diesem Trick sofort volles Blut auferstehen ließ.

Diese Bewachung ist wie ein elektronisches Haustier, das man jeden Tag beobachten und füttern muss. Denken Sie daran.Es gibt keinen unzerstörbaren Schild, nur einen unzerstörbaren Meister.. Konfigurieren Sie es gut, wie oben beschrieben, um zumindest gegen 90% normale Angriffe zu verteidigen. Überlassen Sie den Rest von 10% den Profis wie ipipgo.