Bloqueando conexões da AWS para meu serviço on-premises

 (consulting.m3047.net)
1 pontos por GN⁺ 2024-09-01 | 1 comentários | Compartilhar no WhatsApp
  • Antes de 1989, o público não tinha acesso à internet. Havia grandes redes abertas apenas ao governo, aos militares e a instituições de pesquisa/ensino
  • Serviços como AOL e Compuserve surgiram e se tornaram os precursores iniciais do que viria a ser o cloud native
  • Em 1995, a NSFNet bloqueou o acesso público ao backbone. Foi uma medida para construir a internet comercial
  • Por volta de 2000, houve uma grande eliminação, e os modelos que sobreviveram passaram a se basear em publicidade e na venda de dados de comportamento dos usuários
  • Hoje, a característica da IA é usar todo o conteúdo acessível como dado de treinamento

A situação atual

  • O autor está bloqueando, por experimentação e conveniência, o acesso da AWS aos seus servidores on-premises
  • Os serviços web, servidores DNS, e-mail etc. operados pelo autor são voltados a usuários individuais
  • A AWS é grande demais, então isso gera muitas regras de firewall. Há também o efeito colateral de bloquear crawlers/scanners
  • A maioria dos recursos conhecidos está hospedada na nuvem
  • Também existe o problema de roubo de dados, em que software open source é apropriado sem permissão para usos não intencionais

Transformando isso em política

  • Grandes provedores de nuvem deveriam compartilhar, por meio de ferramentas como DNS e Whois, informações úteis para forense
  • São necessárias informações por IP individual, além de dados adicionais codificados em reverse DNS
  • Também deveria haver um blog do tipo "Storm Center" discutindo padrões atuais de abuso e blocos de endereços afetados
  • O SMTP publica informações adicionais, como SPF, em registros DNS TXT
  • Medidas de mitigação adequadas ajudam todas as partes, mas medidas mal direcionadas não
  • É vergonhoso que tenhamos chegado a essa situação. Se isso se espalhar, levará à balcanização da internet

Leituras relacionadas

1 comentários

 
GN⁺ 2024-09-01
Comentários do Hacker News
  • Os principais provedores de nuvem publicam listas de faixas de IP legíveis por máquina
  • Pessoas que atacam infraestrutura na internet aparecem muito rapidamente
    • Assim que um subnet é anunciado via BGP, a atividade de varredura de portas aumenta drasticamente
    • Parece que muita gente faz varredura indiscriminada de todas as faixas de IP
  • É assustador expor serviços web internos à internet
    • É necessária uma camada extra de proteção, como uma VPN
  • O SSH é exposto apenas em um único host bastion
    • Gostaria de eliminar isso adicionando uma camada de VPN
  • Bloqueiam Hetzner, Digital Ocean, Linode, OVH e Contabo
    • É possível bloquear ASNs usando pfBlocker NG ou regras do UFW
  • Quando servidores da Amazon deixaram os servidores on-premises lentos, bloquearam as faixas de IP
    • Escreveram um script para baixar e bloquear periodicamente as faixas de IP
  • É possível bloquear desktops executando na AWS
    • É possível adicionar IPs específicos à whitelist
    • Dá para contornar o bloqueio usando proxy ou VPN
  • Dá para entender se você quiser bloquear uma grande parte da internet
    • Bloqueiam apenas para serviços específicos
    • Acreditam no benefício do conhecimento compartilhado
  • Um funcionário da AWS diz que, se o tráfego de ping foi falsificado, não dá para saber se a AWS era a origem
  • É necessário um resumo do problema
    • Não está claro se é raspagem de dados, ataque DDoS, problema de largura de banda ou questão de segurança
  • Operam servidores que precisam de rede entre nuvens
    • Tudo o que vem de serviços de nuvem são bots, scanners e scrapers
    • Bloqueiam grandes ISPs da China
    • O desafio é bloquear conexões de entrada e manter as conexões de saída
  • O problema está piorando por causa de DDoS e bots de grandes empresas de tecnologia
    • Usam agregação CIDR e limitação de taxa para ISPs de data centers
    • Definem limites razoáveis para todos os IPs