前些日子,有乐的一条微博,让 @左耳朵耗子和 @云舒两位大神开始在微博上讨论阿里云的内网安全问题,其中讨论到了阿里云目前的安全组的问题和 vpc 的问题,后来,也有不同的人开始讨论云计算的安全问题。如今,事件渐渐平息,人们也不再讨论关于安全的问题。但是,安全问题到底是否存在,我决定自己动手试一试,看看内网安全的问题是否已经解决。
两位大神在自己的文章中提到了安全组、 VPC 等术语,这里就不再赘述。不明白的朋友可以去看下两位大神的讨论,收益良多。
这里我主要测试多日前两位大神提到的网络互通的问题,是否已经解决。
吸收了之前事件的教训后,阿里云目前创建新的云主机只提供了专有网络,以避免用户在使用时误选经典网络,而出现可能的安全问题。
但是对于老的用户来说,依然可以选择经典网络,而且是默认经典网络!,不过对于部分地域,已经完全禁止了经典网络的选择。只能选择专有网络。
我找了一个老用户,让他帮我执行了一下内网测试的命令,结果让我大吃一惊。
通过一条命令,我们扫描到了大量的其他用户的 IP 核端口信息,
nmap -v -sT 10.28.185.32/24
当然,还有更多的数据没有展示出来,如果你有兴趣,也可以使用这样的命令,来扫描你的整个 C 段,看看是否能够扫描到如此多的开放端口。设身处地,如果我们可以扫描到别人的主机,那别人呢?
当我们扫到了内网的 IP 和端口,我们就可以针对用户进行定点爆破。特别是我们扫到了一些开启 6389 端口的主机,这些主机有很多是没有密码的,我们很轻松的就登录了上去。如果是心怀恶意的黑客,怕是数据已经不保了。
对于普通的经典网络,我们建议大家,认真检查自己的安全组信息,尽可能的选择单个 IP 的授权模式,而非默认的安全组设置。毕竟,默认的内网安全组为空,也就是说,任何人都可以通过内网来访问你的网络。
做互联网的诸位可能都有所耳闻,近半年来,常有 Redis 、 MongoDB 的集群由于内网没有隔离开,被其他用户攻击、清空数据。同时,很多用户的安全组配置等都只为外网设计规则,而忽略了内网的安全。如果内网隔离,倒也无恙,如果是没有隔离开的网络,怕是有被删数据敲诈的风险。
对于可以使用经典网络的老用户来说,还是有必要花时间,好好的再整理下自己的安全组,不要因为内网问题后院起火。
此测试机位于阿里云的香港 B 区,也是广大网友们十分喜欢的节点和可用区。
我们自己创建了一个专有网络的机子,来试试,专有网络能否搜索到其他用户的机子。
我们执行了同样的命令
nmap -v -sT 172.17.23.213/24
这一次,我们没有成功的拿到其他用户的端口信息,专有网络的安全性,为我们提供了保障。
腾讯云在创建云主机时,默认依然是基础网络,如果按照两位大神说的,基础网络应该是内网互通的,等下我们测试看一下.
在腾讯云进行内网 NMAP 扫描时,我们没有成功拿到端口信息。
可见腾讯云的内网安全做的还是相当到位的。
不同租户内网不互通,我们可以放心的使用。
腾讯云的私有网络如果想要使用,先要手动创建私有网络
固然麻烦,但其自定义让我们获得了极大的自由。
被猜到内网的可能性大大的降低。
其实到这里,我已经不认为可以进行内网互通了。不过出于严谨的态度,我依然进行了测试。
正如我所预料,私有网络下扫描没有什么结果
对于用户来说,这种模式已经足够安全。
经过我们的测试,腾讯云的内网的网络安全由于做了强制的隔离,用户可以无脑的使用,而无需担心跨租户的安全问题。而阿里云的新用户也无需担心内网安全问题,你们默认也是专有网络。老用户们就要用点心,以免出现问题。
不过话说回来,安全不止是服务商的事情,当然也是我们自己的事情,即便是服务商计算提供了安全的服务,我们也要对我们自己的安全负责,合理设置安全组,避免安全风险非常重要。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.