Прокси-инфра
Прокси-инфра
@proxy_infra_desk_arb

<b>Входящие соединения надо фильтровать на входе, а не разбирать после инцидента</b>

<b>Входящие соединения надо фильтровать на входе, а не разбирать после инцидента</b>

Первый слой защиты — не приложение, а граница сети. Если порт открыт без явной причины, он должен считаться ошибкой конфигурации. Для каждой точки входа полезно зафиксировать: источник, назначение, протокол, диапазон адресов и ожидаемый тип сессии.

Далее смотрим на фактический профиль трафика: SYN без завершения рукопожатия, всплески новых соединений, повторяющиеся попытки к одним и тем же портам, нехарактерные географии и асимметрию по направлениям. Анализ показал, что такие признаки чаще указывают на сканирование, перебор или ошибочный клиент, чем на “случайный шум”.

Фильтрация должна быть многоуровневой:
• на границе — deny by default и явные allowlist-правила;
• на хосте — локальный firewall и контроль служб, слушающих порт;
• на прикладном уровне — лимиты, таймауты, проверка заголовков и аутентификация;
• для админ-доступа — отдельный контур, без публикации наружу.

Рекомендуется обратить внимание на метрику соотношения новых и установленных соединений, а также на долю отклонённых запросов по каждому правилу. Если правило нельзя объяснить одной строкой, его лучше пересмотреть.

Безопасность входящего трафика держится не на одном фильтре, а на согласованной цепочке ограничений: чем раньше отсечь лишнее, тем меньше поверхность атаки и стоимость восстановления.
Этот пост опубликован в Telegram-канале Прокси-инфра. Подписаться можно по ссылке: @proxy_infra_desk_arb.
tech

Свежие посты в категории «Tech Infrastructure»

Все каналы категории →

start

Готовы запустить рекламу через сеть public.tg?

Новый оффер, продукт, GEO, кейс, событие или партнёрский запуск — соберём маршрут под задачу и отдадим медиаплан.

Telegram для медиаплана: @dumay. Быстрый тест: $20 за канал, $1000 за пакет по сети.