Guide de protection de la sécurité du serveur proxy auto-construit (pare-feu/surveillance de la journalisation)

Apprentissage pratique de la mise en place de gilets pare-balles sur votre propre serveur proxy

Quelle est la plus grande crainte des serveurs proxy ? Les serveurs durement gagnés sont utilisés comme toilettes publiques. Aujourd'hui, nous allons voir comment verrouiller votre propre serveur, en nous concentrant sur la prévention des incendies et la surveillance des journaux des deux principaux gardiens.

La prévention des incendies n'est pas une clôture, elle doit reconnaître les gens.

Beaucoup de gens pensent qu'en ouvrant un pare-feu, tout ira bien, mais en fait, c'est presque la même chose que de laisser la porte ouverte. Prenons l'exemple de Linux.Il ne suffit pas d'ouvrir un port, il faut aussi jouer avec la liste noire et la liste blanche.. Il est recommandé de remplacer les ports courants tels que 22 et 80 par des nombres froids, par exemple en remplaçant le port SSH 22 par un nombre aléatoire tel que 52488.

 Exemple de liste blanche avec iptables
iptables -A INPUT -p tcp --dport 52488 -s 192.168.1.100 -j ACCEPT
iptables -A INPUT -p tcp --dport 52488 -j DROP

Voici un piège à éviter :Ne jamais utiliser la combinaison fatale port + mot de passe par défautJ'ai vu des gens régler le port proxy sur 8080 avec un mot de passe faible. J'ai vu des gens configurer le port proxy sur 8080 avec un mot de passe faible, et se faire pirater en trois jours.

L'enregistrement est comparable à la vérification d'une vidéo de sécurité.

Les journaux ne servent pas à occuper le disque dur, il faut les consulter tous les jours. Il est recommandé d'utiliser un outil comme GoAccess pour l'analyser en temps réel, en se concentrant sur ces signaux :

J'ai vu le cas le plus extrême : le service d'exploitation et de maintenance d'une entreprise a constaté qu'à 3 heures du matin, il y avait une connexion IP vietnamienne, a vérifié la surveillance et a découvert qu'il s'agissait d'un concurrent en train d'explorer des données.

L'IP proxy doit être invisible comme un caméléon.

Le proxy auto-construit est la solution la plus efficace pour bloquer les IP, il est donc recommandé d'utiliser le proxy suivantIP résidentielle dynamique pour ipipgoJe ne suis pas sûr de pouvoir le faire. Leur pool d'IP est automatiquement modifié tous les jours, et il a été testé pour être utilisé en continu pendant une semaine sans déclencher de blocus. Il est facile à configurer :

 Python utilisant l'exemple de proxy ipipgo
import requêtes

proxies = {
    'http' : 'http://user:pass@gateway.ipipgo.io:9021',
    'https' : 'http://user:pass@gateway.ipipgo.io:9021'
}

response = requests.get('https://api.example.com', proxies=proxies)

Il s'agit deRéglage de la période de commutation automatiqueIl est recommandé de changer un lot d'IP toutes les 5 minutes pour les grandes entreprises. L'arrière-plan d'ipipgo peut être configuré pour changer la stratégie de manière intelligente, ce qui est beaucoup plus simple que de la changer manuellement.

AQ pratique

Q : Que se passe-t-il si les règles anti-incendie ne sont pas respectées ou si elles ne sont pas assurées ?
R : En ce qui concerne la double protection, la plateforme en nuage est dotée d'un groupe de sécurité et d'un système d'incendie configurés séparément, les règles ne se répètent pas. Par exemple, dans le groupe de sécurité AliCloud, la plage de ports 8000-9000 est ouverte, le système de feu est ensuite détaillé pour le port spécifique.

Q : Comment puis-je savoir que le fichier journal est trop volumineux ?
R : utiliser logrotate pour diviser automatiquement les journaux, avec la suite ELK en trois parties. Emergency directement grep pour attraper les mots-clés : "Failed password" pour trouver l'explosion, "GET /wp-admin" pour empêcher les crawlers.

Q : Que se passe-t-il si l'adresse IP d'ipipgo est bloquée par erreur ?
R : Ils disposent d'une fonction de technologie noire, dans le point central de l'utilisateur "emergency whitewash", dans les 30 secondes qui suivent, l'ensemble du pool IP est rafraîchi. La dernière fois que nous avons eu un projet qui a déclenché le contrôle du vent de la plate-forme, cette astuce a immédiatement permis la résurrection du sang.

Le gardiennage, c'est comme avoir un animal de compagnie électronique qu'il faut surveiller et nourrir tous les jours. N'oubliez pas.Il n'existe pas de bouclier incassable, mais seulement un maître inapplicable.. Configurez-le bien comme décrit ci-dessus pour au moins vous défendre contre les 90% attaques normales. Laissez le reste de 10% aux pros comme ipipgo.