AWS से मेरी on-premises service तक कनेक्शन को ब्लॉक करना

 (consulting.m3047.net)
1 पॉइंट द्वारा GN⁺ 2024-09-01 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • 1989 से पहले आम जनता इंटरनेट तक पहुंच नहीं रखती थी। एक बड़ा नेटवर्क था जो केवल सरकार, सेना और शोध/शिक्षा संस्थानों के लिए खुला था
  • AOL, Compuserve जैसी सेवाएं सामने आईं और शुरुआती cloud native के पूर्वरूप बनीं
  • 1995 में NSFNet ने backbone तक सार्वजनिक पहुंच बंद कर दी। यह commercial internet के निर्माण के लिए उठाया गया कदम था
  • लगभग 2000 के आसपास बड़े पैमाने पर छंटनी/पतन हुआ, और जो मॉडल बचे वे विज्ञापन और user behavior data की बिक्री पर आधारित थे
  • आज AI की विशेषता यह है कि वह हर सुलभ content को training data के रूप में इस्तेमाल करता है

आज की स्थिति

  • लेखक प्रयोग और सुविधा के लिए AWS से अपने on-premises server तक पहुंच को ब्लॉक कर रहा है
  • लेखक द्वारा चलाए जा रहे web service, DNS server, email आदि व्यक्तिगत उपयोगकर्ताओं के लिए हैं
  • AWS का आकार इतना बड़ा है कि firewall rules बहुत अधिक बनानी पड़ती हैं। crawler/scanner को ब्लॉक करने का एक सहायक प्रभाव भी होता है
  • अधिकांश प्रसिद्ध resources cloud पर host किए गए हैं
  • open source के बिना अनुमति अनचाहे उपयोग के लिए मोड़ दिए जाने और data theft की समस्या भी मौजूद है

इसे नीति के स्तर तक ले जाना

  • बड़े cloud provider को DNS, Whois जैसे tools के जरिए forensic के लिए उपयोगी जानकारी साझा करनी चाहिए
  • अलग-अलग IP के लिए Whois, reverse DNS में encode की गई अतिरिक्त जानकारी आदि की जरूरत है
  • अभी के abuse patterns और प्रभावित address blocks पर चर्चा करने वाला एक "storm center" blog भी चलाना चाहिए
  • SMTP, SPF जैसी अतिरिक्त जानकारी को DNS TXT record के रूप में प्रकाशित करता है
  • उचित mitigation measures सभी पक्षों की मदद करते हैं, लेकिन गलत target की गई mitigation ऐसा नहीं करती
  • यह शर्म की बात है कि स्थिति यहां तक आ गई है। अगर यह फैली, तो इंटरनेट के Balkanization की ओर ले जाएगी

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-09-01
Hacker News राय
  • बड़े cloud provider मशीनों द्वारा पढ़ी जा सकने वाली IP range सूचियाँ प्रकाशित करते हैं
  • इंटरनेट पर infrastructure पर हमला करने वाले लोग बहुत जल्दी दिखाई देने लगते हैं
    • BGP के ज़रिए subnet announce करते ही port scan गतिविधि तेज़ी से बढ़ जाती है
    • लगता है कि बहुत से लोग सभी IP ranges को अंधाधुंध scan करते हैं
  • internal web services को इंटरनेट पर expose करना चौंकाने वाला है
    • VPN जैसी अतिरिक्त protection layer की ज़रूरत होती है
  • SSH को सिर्फ़ एक bastion host पर ही expose किया जाता है
    • VPN layer जोड़कर इसे हटाना चाहते हैं
  • Hetzner, Digital Ocean, Linode, OVH, Contabo को block किया जाता है
    • pfBlocker NG या UFW rules का इस्तेमाल करके ASN को block किया जा सकता है
  • Amazon servers ने on-premises servers को धीमा कर दिया, इसलिए IP ranges को block कर दिया गया
    • script लिखकर समय-समय पर IP ranges डाउनलोड करके block किया जाता है
  • AWS पर चल रहे desktop को block किया जा सकता है
    • कुछ खास IPs को whitelist में जोड़ा जा सकता है
    • proxy या VPN का इस्तेमाल करके block को bypass किया जा सकता है
  • अगर आप इंटरनेट के बड़े हिस्से को block करना चाहते हैं, तो यह समझ में आता है
    • block सिर्फ़ कुछ खास services के लिए किया जाता है
    • साझा ज्ञान के फ़ायदे पर विश्वास है
  • एक AWS कर्मचारी के अनुसार, अगर ping traffic spoof किया गया हो तो यह पता नहीं चल सकता कि उसका source AWS है या नहीं
  • समस्या का सारांश चाहिए
    • यह स्पष्ट नहीं है कि मुद्दा data scraping, DDOS attack, bandwidth समस्या, या security समस्या में से क्या है
  • ऐसे servers चलाए जाते हैं जिन्हें clouds के बीच networking की ज़रूरत होती है
    • cloud services से आने वाली चीज़ें सिर्फ़ bots, scanners और scrapers हैं
    • चीन के बड़े ISP को block किया जाता है
    • inbound connection को block करते हुए outbound connection बनाए रखना चुनौती है
  • DDoS और बड़ी tech कंपनियों के bots की वजह से समस्या गंभीर हो गई है
    • CIDR aggregation और data center ISP rate limiting का इस्तेमाल किया जाता है
    • सभी IPs के लिए उचित limits सेट की जाती हैं