Ispričajmo vam jednu cool priču o tome kako su "treća lica" pokušala da ometaju rad naših klijenata i kako je ovaj problem riješen.
Kako je sve počelo
Sve je počelo ujutro 31. oktobra, posljednjeg dana u mjesecu, kada je mnogima očajnički potrebno vremena za rješavanje hitnih i važnih pitanja.
Jedan od partnera, koji drži nekoliko virtuelnih mašina klijenata koje opslužuje u našem oblaku, prijavio je da od 9:10 do 9:20 nekoliko Windows servera koji rade na našoj ukrajinskoj stranici nisu prihvatili konekcije na uslugu udaljenog pristupa, korisnici nisu mogli kako bi se prijavili na svoje radne površine, ali nakon nekoliko minuta problem je izgleda riješio sam od sebe.
Podigli smo statistiku o radu komunikacijskih kanala, ali nismo zatekli skokove ili kvarove u prometu. Pogledali smo statistiku o opterećenju računarskih resursa - nema anomalija. I šta je to bilo?
Zatim je drugi partner, koji hostuje još stotinjak servera u našem oblaku, prijavio iste probleme koje su primetili neki njihovi klijenti, i ispostavilo se da su serveri generalno dostupni (ispravno reagujući na ping test i druge zahteve), ali servis daljinskog pristupa na ovim serverima ili prihvata nove veze ili ih odbija, a radilo se o serverima na različitim sajtovima, na koje saobraćaj dolazi sa različitih kanala prenosa podataka.
Pogledajmo ovaj saobraćaj. Paket sa zahtjevom za povezivanje stiže na server:
xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
Server prima ovaj paket, ali odbija vezu:
xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0
To znači da problem očigledno nije uzrokovan bilo kakvim problemima u radu infrastrukture, već nečim drugim. Možda svi korisnici imaju problema sa licenciranjem udaljene radne površine? Možda je neka vrsta malvera uspela da prodre u njihove sisteme, a danas je aktiviran, kao i pre par godina XData и Petya?
Dok smo to rješavali, dobili smo slične zahtjeve još nekoliko klijenata i partnera.
Šta se zapravo dešava na ovim mašinama?
Dnevnici događaja su puni poruka o pokušajima da se pogodi lozinka:
Obično se takvi pokušaji registruju na svim serverima na kojima se standardni port (3389) koristi za uslugu udaljenog pristupa i pristup je dozvoljen sa svih strana. Internet je pun botova koji neprestano skeniraju sve dostupne tačke veze i pokušavaju da pogode lozinku (zbog toga toplo preporučujemo korištenje složenih lozinki umjesto "123"). Međutim, intenzitet ovih pokušaja tog dana bio je prevelik.
Šta raditi?
Preporučite da korisnici provedu dosta vremena mijenjajući postavke kako bi se veliki broj krajnjih korisnika prebacio na drugi port? Nije dobra ideja, kupci neće biti zadovoljni. Preporučite da dozvolite pristup samo putem VPN-a? U žurbi i panici, podizanje IPSec konekcija za one koji ih nisu podigli - možda se takva sreća ne smiješi ni klijentima. Iako je, moram reći, ovo je u svakom slučaju božanstvena stvar, uvijek preporučujemo skrivanje servera u privatnoj mreži i spremni smo pomoći oko podešavanja, a za one koji to vole sami shvatiti dijelimo upute za postavljanje IPSec/L2TP u našem oblaku u site-to-site ili road modu -warrior, a ako neko želi da postavi VPN uslugu na svom Windows serveru, uvijek je spreman podijeliti savjete kako postaviti standardni RAS ili OpenVPN. Ali, koliko god bili cool, ovo nije bio najbolji trenutak za vođenje edukativnog rada među klijentima, jer smo problem morali riješiti što je prije moguće uz minimalan stres za korisnike.
Rješenje koje smo implementirali je bilo sljedeće. Postavili smo analizu prolaznog prometa na način da pratimo sve pokušaje uspostavljanja TCP konekcije na port 3389 i odaberemo sa nje adrese koje u roku od 150 sekundi pokušavaju uspostaviti veze sa više od 16 različitih servera na našoj mreži - ovo su izvori napada (Naravno, ako neko od klijenata ili partnera ima stvarnu potrebu da uspostavi veze sa toliko servera iz istog izvora, takve izvore uvijek možete dodati na "bijelu listu". Štaviše, ako se u jednoj mreži klase C za ovih 150 sekundi identifikuje više od 32 adrese, ima smisla blokirati cijelu mrežu.Blokiranje se postavlja na 3 dana, a ako za to vrijeme nije izvršen napad sa datog izvora, ovaj izvor se automatski uklanja sa “crne liste”. Lista blokiranih izvora se ažurira svakih 300 sekundi.
Ova lista je dostupna na ovoj adresi: , možete izgraditi svoje ACL-ove na osnovu toga.
Spremni smo podijeliti izvorni kod takvog sistema; u njemu nema ničeg pretjerano složenog (ovo je nekoliko jednostavnih skripti sastavljenih bukvalno za par sati na kolenu), a istovremeno se može prilagoditi i koristiti ne samo za zaštitu od takvog napada, ali i za otkrivanje i blokiranje bilo kakvih pokušaja skeniranja mreže:
Osim toga, izvršili smo neke promjene u postavkama sistema za praćenje, koji sada pomnije prati reakciju kontrolne grupe virtuelnih servera u našem oblaku na pokušaj uspostavljanja RDP veze: ako reakcija ne uslijedi unutar drugo, ovo je razlog za obraćanje pažnje.
Rješenje se pokazalo prilično efikasnim: više nema pritužbi i klijenata i partnera, kao i sistema za praćenje. Nove adrese i cijele mreže redovno se dodaju na crnu listu, što ukazuje da se napad nastavlja, ali da više ne utiče na rad naših klijenata.
Sigurnost je u brojkama
Danas smo saznali da su se i drugi operateri susreli sa sličnim problemom. Neko i dalje vjeruje da je Microsoft napravio neke promjene u kodu usluge udaljenog pristupa (ako se sjećate, prvi dan smo posumnjali na istu stvar, ali smo ovu verziju vrlo brzo odbacili) i obećava da će učiniti sve što je moguće da brzo nađemo rješenje . Neki ljudi jednostavno ignoriraju problem i savjetuju klijente da se sami zaštite (promijene port za vezu, sakriju server u privatnoj mreži itd.). I već prvog dana, ne samo da smo riješili ovaj problem, već smo i stvorili neke temelje za globalniji sistem otkrivanja prijetnji koji planiramo razviti.
Posebno zahvaljujemo klijentima i partnerima koji nisu ćutali i nisu sedeli na obali reke čekajući da jednog dana njome pluta leš neprijatelja, već su nam odmah skrenuli pažnju na problem koji nam je dao priliku da otklonimo istog dana.
izvor: www.habr.com