Bloqueando la conexión desde AWS hacia mi servicio on-premises

 (consulting.m3047.net)
1 puntos por GN⁺ 2024-09-01 | 1 comentarios | Compartir por WhatsApp
  • Antes de 1989, el público no podía acceder a Internet. Existía una gran red abierta solo al gobierno, el ejército y las instituciones de investigación/educación
  • Aparecieron servicios como AOL y Compuserve, convirtiéndose en precursores tempranos de lo cloud-native
  • En 1995, NSFNet bloqueó el acceso público al backbone. Fue una medida para construir el Internet comercial
  • Alrededor del año 2000 ocurrió una gran depuración, y los modelos que sobrevivieron se basaron en la publicidad y en la venta de datos del comportamiento de los usuarios
  • Actualmente, una característica de la IA es usar todo el contenido accesible como datos de entrenamiento

La situación actual

  • El autor está bloqueando, por experimentación y conveniencia, el acceso desde AWS a sus propios servidores on-premises
  • Los servicios web, servidores DNS, correo electrónico, etc. que opera el autor están dirigidos a usuarios individuales
  • AWS es tan grande que aumentan mucho las reglas de firewall que hay que crear. Además, tiene el efecto secundario de bloquear crawlers/scanners
  • La mayoría de los recursos conocidos están alojados en la nube
  • También existe el problema del robo de datos, donde el open source se reutiliza sin permiso para fines no intencionados

Elevarlo a política

  • Los grandes proveedores de nube deberían compartir información útil para la forensia mediante herramientas como DNS y Whois
  • Se necesita información adicional, como Whois por IP individual y más datos codificados en el DNS inverso
  • También deberían operar un blog tipo "storm center" para discutir patrones actuales de abuso y los bloques de direcciones afectados
  • SMTP publica información adicional, como SPF, en registros DNS TXT
  • Las medidas de mitigación apropiadas ayudan a todas las partes, pero las mitigaciones mal dirigidas no
  • Es vergonzoso haber llegado a esta situación. Si se extiende, llevará a la balcanización de Internet

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-09-01
Comentarios de Hacker News
  • Los principales proveedores de nube publican listas de rangos de IP legibles por máquina
  • La gente que ataca infraestructura en internet aparece muy rápido
    • En cuanto se anuncia una subred vía BGP, aumenta drásticamente la actividad de escaneo de puertos
    • Parece que mucha gente escanea indiscriminadamente todos los rangos de IP
  • Exponer servicios web internos a internet es impactante
    • Se necesita una capa adicional de protección, como una VPN
  • SSH se expone solo desde un único host bastión
    • Quieren eliminar eso agregando una capa de VPN
  • Bloquean Hetzner, Digital Ocean, Linode, OVH y Contabo
    • Se puede bloquear por ASN usando pfBlocker NG o reglas de UFW
  • Bloquearon rangos de IP cuando servidores de Amazon hicieron más lentos sus servidores on-premise
    • Escribieron un script para descargar y bloquear periódicamente los rangos de IP
  • Se pueden bloquear escritorios que corren en AWS
    • Se pueden agregar ciertas IP a una lista blanca
    • Se puede evadir el bloqueo usando un proxy o VPN
  • Se entiende querer bloquear una gran parte de internet
    • Solo lo bloquean para ciertos servicios
    • Creen en el beneficio del conocimiento compartido
  • Alguien que trabaja en AWS dice que, si el tráfico de ping fue suplantado, no se puede saber si AWS era el origen
  • Hace falta un resumen del problema
    • No está claro si se trata de scraping de datos, ataques DDoS, problemas de ancho de banda o problemas de seguridad
  • Operan servidores que requieren redes entre distintas nubes
    • Todo lo que llega desde servicios en la nube son bots, escáneres y scrapers
    • Bloquean a grandes ISP de China
    • El reto es bloquear conexiones entrantes y mantener las salientes
  • El problema se agrava por DDoS y bots de grandes empresas tecnológicas
    • Usan agregación CIDR y limitación de tasa para ISP de centros de datos
    • Establecen límites razonables para todas las IP