Bloquer les connexions d’AWS vers mon service on-premise

 (consulting.m3047.net)
1 points par GN⁺ 2024-09-01 | 1 commentaires | Partager sur WhatsApp
  • Avant 1989, le grand public n’avait pas accès à Internet. Il existait de grands réseaux ouverts uniquement au gouvernement, à l’armée et aux institutions de recherche et d’enseignement
  • Des services comme AOL et Compuserve sont apparus et sont devenus les précurseurs du cloud native des débuts
  • En 1995, NSFNet a bloqué l’accès du public à son backbone. C’était une mesure destinée à permettre la mise en place de l’Internet commercial
  • Vers 2000, une grande vague d’élimination a eu lieu, et les modèles qui ont survécu reposaient sur la publicité et la vente de données sur le comportement des utilisateurs
  • Aujourd’hui, la caractéristique de l’IA est d’utiliser tout le contenu accessible comme données d’entraînement

La situation actuelle

  • L’auteur bloque, à des fins d’expérimentation et de commodité, l’accès depuis AWS à ses serveurs on-premise
  • Les services web, serveurs DNS, e-mail, etc. qu’il exploite s’adressent à des utilisateurs individuels
  • AWS est devenu si vaste que cela entraîne la création de nombreuses règles de pare-feu. Cela a aussi pour effet secondaire de bloquer les crawlers/scanners
  • La plupart des ressources connues sont hébergées dans le cloud
  • Il existe aussi un problème de vol de données, l’open source étant détourné sans autorisation vers des usages non prévus

Élever cela au rang de politique

  • Les grands fournisseurs de cloud devraient partager, via des outils comme DNS et Whois, des informations utiles à l’analyse forensique
  • Il faut des informations Whois sur chaque IP, ainsi que des informations supplémentaires encodées dans le reverse DNS
  • Ils devraient aussi tenir un blog de type « storm center » pour discuter des schémas d’abus actuels et des blocs d’adresses affectés
  • SMTP publie des informations supplémentaires, comme SPF, dans des enregistrements DNS TXT
  • Des mesures d’atténuation appropriées aident toutes les parties, mais ce n’est pas le cas des mesures d’atténuation mal ciblées
  • Il est honteux d’en être arrivé à cette situation. Si cela se propage, cela mènera à la balkanisation d’Internet

À lire aussi

1 commentaires

 
GN⁺ 2024-09-01
Avis Hacker News
  • Les principaux fournisseurs cloud publient des listes de plages IP lisibles par machine
  • Les personnes qui attaquent l’infrastructure sur Internet apparaissent très rapidement
    • Dès qu’un sous-réseau est annoncé via BGP, l’activité de scan de ports augmente fortement
    • On dirait que beaucoup de gens scannent indistinctement toutes les plages IP
  • Exposer des services web internes à Internet est choquant
    • Une couche de protection supplémentaire, comme un VPN, est nécessaire
  • SSH n’est exposé que sur un unique hôte bastion
    • Je veux supprimer cela en ajoutant une couche VPN
  • Blocage de Hetzner, Digital Ocean, Linode, OVH et Contabo
    • Il est possible de bloquer des ASN avec pfBlocker NG ou des règles UFW
  • Les plages IP ont été bloquées après que des serveurs Amazon ont ralenti des serveurs on-premise
    • Un script a été écrit pour télécharger et bloquer périodiquement les plages IP
  • Il est possible de bloquer les postes de travail exécutés sur AWS
    • Des IP spécifiques peuvent être ajoutées à la liste blanche
    • Le blocage peut être contourné avec un proxy ou un VPN
  • Je peux comprendre l’idée de bloquer une grande partie d’Internet
    • Cela n’est fait que pour certains services
    • Je crois aux bénéfices du partage des connaissances
  • Je travaille chez AWS, mais si le trafic ping a été usurpé, on ne peut pas savoir si AWS en est réellement la source
  • Il faut un résumé du problème
    • On ne sait pas clairement s’il s’agit de scraping de données, d’attaque DDoS, de problème de bande passante ou de problème de sécurité
  • J’exploite des serveurs qui ont besoin de mise en réseau inter-cloud
    • Tout ce qui arrive depuis les services cloud n’est que bots, scanners et scrapers
    • Je bloque les grands FAI chinois
    • Le défi consiste à bloquer les connexions entrantes tout en conservant les connexions sortantes
  • Le problème s’aggrave à cause des DDoS et des bots des grandes entreprises tech
    • J’utilise l’agrégation CIDR et la limitation de débit des FAI de data centers
    • Je définis des limites raisonnables pour toutes les IP