Memblokir koneksi dari AWS ke layanan on-premises saya

 (consulting.m3047.net)
1 poin oleh GN⁺ 2024-09-01 | 1 komentar | Bagikan ke WhatsApp
  • Sebelum 1989, publik tidak dapat mengakses internet. Ada jaringan skala besar yang hanya terbuka untuk pemerintah, militer, serta lembaga riset/pendidikan
  • Layanan seperti AOL dan Compuserve muncul dan menjadi cikal bakal awal dari cloud-native
  • Pada 1995, NSFNet memblokir akses publik ke backbone. Ini merupakan langkah untuk membangun internet komersial
  • Sekitar tahun 2000 terjadi penyingkiran besar-besaran, dan model yang bertahan hidup bertumpu pada iklan serta penjualan data perilaku pengguna
  • Ciri AI saat ini adalah menggunakan semua konten yang dapat diakses sebagai data pelatihan

Situasi saat ini

  • Penulis memblokir akses dari AWS ke server on-premises miliknya sendiri untuk keperluan eksperimen dan kenyamanan
  • Layanan web, server DNS, email, dan lainnya yang dioperasikan penulis ditujukan untuk pengguna individu
  • Skala AWS terlalu besar sehingga pembuatan aturan firewall menjadi banyak. Ini juga punya efek samping berupa pemblokiran crawler/scanner
  • Sebagian besar sumber daya terkenal di-host di cloud
  • Ada juga masalah pencurian data ketika open source dipakai ulang tanpa izin untuk tujuan yang tidak dimaksudkan

Menaikkannya menjadi kebijakan

  • Penyedia cloud besar harus membagikan informasi yang berguna untuk forensik melalui alat seperti DNS dan Whois
  • Dibutuhkan Whois untuk IP individual, serta informasi tambahan yang dienkode dalam reverse DNS
  • Mereka juga harus menjalankan blog "storm center" yang membahas pola penyalahgunaan saat ini dan blok alamat yang terdampak
  • SMTP memublikasikan informasi tambahan seperti SPF dalam DNS TXT record
  • Langkah mitigasi yang tepat membantu semua pihak, tetapi mitigasi yang salah sasaran tidak demikian
  • Sungguh memalukan sampai bisa terjadi situasi seperti ini. Jika menyebar, hal ini akan mengarah pada Balkanisasi internet

Bacaan terkait

1 komentar

 
GN⁺ 2024-09-01
Komentar Hacker News
  • Penyedia cloud besar menerbitkan daftar rentang IP yang bisa dibaca mesin
  • Orang-orang yang menyerang infrastruktur di internet muncul dengan sangat cepat
    • Begitu subnet diumumkan melalui BGP, aktivitas pemindaian port langsung melonjak
    • Tampaknya banyak pihak memindai semua rentang IP secara membabi buta
  • Mengekspos layanan web internal ke internet itu mengejutkan
    • Diperlukan lapisan perlindungan tambahan seperti VPN
  • SSH hanya dibuka pada satu host bastion
    • Ingin menambahkan lapisan VPN untuk menghilangkan kebutuhan itu
  • Memblokir Hetzner, Digital Ocean, Linode, OVH, Contabo
    • ASN dapat diblokir menggunakan pfBlocker NG atau aturan UFW
  • Memblokir rentang IP setelah server Amazon memperlambat server on-premises
    • Menulis skrip untuk mengunduh dan memblokir rentang IP secara berkala
  • Desktop yang berjalan di AWS bisa diblokir
    • IP tertentu dapat ditambahkan ke whitelist
    • Pemblokiran bisa dilewati dengan proxy atau VPN
  • Bisa dipahami jika ingin memblokir sebagian besar internet
    • Pemblokiran hanya diterapkan untuk layanan tertentu
    • Percaya pada manfaat pengetahuan bersama
  • Seorang karyawan AWS mengatakan bahwa jika lalu lintas ping dipalsukan, tidak bisa diketahui apakah sumbernya memang AWS
  • Diperlukan ringkasan masalahnya
    • Tidak jelas apakah ini soal scraping data, serangan DDOS, masalah bandwidth, atau masalah keamanan
  • Mengoperasikan server yang memerlukan jaringan antar-cloud
    • Yang datang dari layanan cloud hanyalah bot, pemindai, dan scraper
    • Memblokir ISP besar dari Tiongkok
    • Tantangannya adalah memblokir koneksi masuk sambil tetap mempertahankan koneksi keluar
  • Masalah menjadi serius karena DDoS dan bot dari perusahaan teknologi besar
    • Menggunakan agregasi CIDR dan pembatasan laju pada ISP pusat data
    • Menetapkan batas yang masuk akal untuk semua IP