<b>Входящие соединения надо фильтровать на входе, а не разбирать после инцидента</b>
Первый слой защиты — не приложение, а граница сети. Если порт открыт без явной причины, он должен считаться ошибкой конфигурации. Для каждой точки входа полезно зафиксировать: источник, назначение, протокол, диапазон адресов и ожидаемый тип сессии.
Далее смотрим на фактический профиль трафика: SYN без завершения рукопожатия, всплески новых соединений, повторяющиеся попытки к одним и тем же портам, нехарактерные географии и асимметрию по направлениям. Анализ показал, что такие признаки чаще указывают на сканирование, перебор или ошибочный клиент, чем на “случайный шум”.
Фильтрация должна быть многоуровневой:
• на границе — deny by default и явные allowlist-правила;
• на хосте — локальный firewall и контроль служб, слушающих порт;
• на прикладном уровне — лимиты, таймауты, проверка заголовков и аутентификация;
• для админ-доступа — отдельный контур, без публикации наружу.
Рекомендуется обратить внимание на метрику соотношения новых и установленных соединений, а также на долю отклонённых запросов по каждому правилу. Если правило нельзя объяснить одной строкой, его лучше пересмотреть.
Безопасность входящего трафика держится не на одном фильтре, а на согласованной цепочке ограничений: чем раньше отсечь лишнее, тем меньше поверхность атаки и стоимость восстановления.
Прокси-инфра
@proxy_infra_desk_arb
<b>Входящие соединения надо фильтровать на входе, а не разбирать после инцидента</b>
Этот пост опубликован в Telegram-канале Прокси-инфра. Подписаться можно по ссылке: @proxy_infra_desk_arb.