Blockieren von Verbindungen aus AWS zu meinem On-Premises-Dienst

 (consulting.m3047.net)
1 Punkte von GN⁺ 2024-09-01 | 1 Kommentare | Auf WhatsApp teilen
  • Vor 1989 hatte die Öffentlichkeit keinen Zugang zum Internet. Es gab große Netzwerke, die nur für Regierung, Militär sowie Forschungs- und Bildungseinrichtungen offen waren
  • Dienste wie AOL und Compuserve entstanden und wurden zu Vorläufern des frühen Cloud-Native
  • 1995 sperrte NSFNet den öffentlichen Zugang zum Backbone. Das war eine Maßnahme zum Aufbau des kommerziellen Internets
  • Um das Jahr 2000 kam es zu einem großen Sterben, und die überlebenden Modelle basierten auf Werbung und dem Verkauf von Nutzerdaten zum Verhalten
  • Das heutige Kennzeichen von KI ist, dass alle zugänglichen Inhalte als Trainingsdaten verwendet werden

Die heutige Lage

  • Der Autor blockiert aus Test- und Bequemlichkeitsgründen den Zugriff von AWS auf seine On-Premises-Server
  • Die vom Autor betriebenen Webdienste, DNS-Server, E-Mail usw. richten sich an private Nutzer
  • AWS ist so groß, dass sehr viele Firewall-Regeln entstehen. Ein Nebeneffekt ist das Blockieren von Crawlern und Scannern
  • Die meisten bekannten Ressourcen werden in der Cloud gehostet
  • Es gibt auch das Problem des Datendiebstahls, bei dem Open Source ohne Erlaubnis für unbeabsichtigte Zwecke zweckentfremdet wird

Zur Policy machen

  • Große Cloud-Anbieter sollten für die Forensik nützliche Informationen über Tools wie DNS und Whois teilen
  • Es werden Informationen zu einzelnen IPs sowie zusätzliche, in Reverse DNS codierte Informationen benötigt
  • Außerdem sollte ein "Storm Center"-Blog betrieben werden, in dem aktuelle Missbrauchsmuster und betroffene Adressblöcke diskutiert werden
  • SMTP veröffentlicht zusätzliche Informationen wie SPF in DNS-TXT-Records
  • Geeignete Gegenmaßnahmen helfen allen Beteiligten, falsch ausgerichtete Gegenmaßnahmen jedoch nicht
  • Dass es so weit gekommen ist, ist beschämend. Wenn sich das ausbreitet, wird es zur Balkanisierung des Internets führen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-09-01
Hacker-News-Kommentar
  • Große Cloud-Anbieter veröffentlichen maschinenlesbare Listen ihrer IP-Bereiche
  • Angreifer, die Infrastruktur im Internet attackieren, tauchen sehr schnell auf
    • Sobald ein Subnetz per BGP angekündigt wird, nimmt die Port-Scan-Aktivität stark zu
    • Viele scheinen unterschiedslos alle IP-Bereiche zu scannen
  • Interne Webservices ins Internet zu stellen, ist erschreckend
    • Eine zusätzliche Schutzschicht wie ein VPN ist nötig
  • SSH wird nur über einen einzelnen Bastion-Host veröffentlicht
    • Ich würde das gern durch eine zusätzliche VPN-Schicht abschaffen
  • Hetzner, Digital Ocean, Linode, OVH und Contabo werden blockiert
    • Mit pfBlocker NG oder UFW-Regeln kann man ASNs blockieren
  • Als Amazon-Server On-Premises-Server verlangsamten, wurden die IP-Bereiche blockiert
    • Es wurde ein Skript geschrieben, das die IP-Bereiche regelmäßig herunterlädt und blockiert
  • Auf AWS laufende Desktops können blockiert werden
    • Bestimmte IPs können auf eine Whitelist gesetzt werden
    • Mit Proxy oder VPN kann die Sperre umgangen werden
  • Wenn man große Teile des Internets blockieren will, ist das nachvollziehbar
    • Es wird nur für bestimmte Dienste blockiert
    • Es besteht Vertrauen in den Nutzen geteilten Wissens
  • Ein AWS-Mitarbeiter sagt, dass man bei gespooftem Ping-Traffic nicht wissen kann, ob AWS die Quelle ist
  • Es wird eine Zusammenfassung des Problems benötigt
    • Es ist unklar, ob es um Datenscraping, DDoS-Angriffe, Bandbreitenprobleme oder Sicherheitsprobleme geht
  • Es werden Server betrieben, die Cloud-übergreifendes Networking benötigen
    • Aus Cloud-Diensten kommen nur Bots, Scanner und Scraper
    • Große chinesische ISPs werden blockiert
    • Die Herausforderung ist, eingehende Verbindungen zu blockieren und ausgehende Verbindungen beizubehalten
  • Durch DDoS und Bots großer Tech-Unternehmen wird das Problem gravierender
    • Es werden CIDR-Aggregation und Rate Limiting für Rechenzentrums-ISPs verwendet
    • Für alle IPs werden vernünftige Limits gesetzt