Atong isulti kanimo ang usa ka cool nga istorya kung giunsa ang "mga ikatulo nga partido" misulay sa pagpanghilabot sa trabaho sa among mga kliyente, ug kung giunsa kini nga problema nasulbad.
Giunsa kini tanan
Nagsugod ang tanan sa buntag sa Oktubre 31, ang katapusan nga adlaw sa bulan, diin daghan ang nanginahanglan kaayo nga adunay panahon aron masulbad ang dinalian ug hinungdanon nga mga isyu.
Usa sa mga kasosyo, nga nagtipig daghang mga virtual machine sa mga kliyente nga iyang gialagaran sa among panganod, nagtaho nga gikan sa 9:10 hangtod 9:20 daghang mga server sa Windows nga nagdagan sa among site sa Ukrainiano wala modawat mga koneksyon sa serbisyo sa hilit nga pag-access, ang mga tiggamit wala makahimo. sa pag-log in sa ilang mga desktop, apan pagkahuman sa pipila ka minuto ang problema ingon og nasulbad sa iyang kaugalingon.
Gipataas namo ang mga estadistika sa operasyon sa mga channel sa komunikasyon, apan wala'y nakit-an nga mga pagdagsang sa trapiko o mga kapakyasan. Among gitan-aw ang estadistika sa load sa computing resources - walay anomaliya. Ug unsa kadto?
Unya ang lain nga kauban, nga nag-host sa mga usa ka gatos pa nga mga server sa among panganod, nagtaho sa parehas nga mga problema nga namatikdan sa pipila sa ilang mga kliyente, ug kini nahimo nga sa kinatibuk-an ang mga server ma-access (husto nga pagtubag sa pagsulay sa ping ug uban pang mga hangyo), apan ang serbisyo nga layo nga pag-access sa kini nga mga server mahimoβg modawat sa mga bag-ong koneksyon o isalikway kini, ug naghisgot kami bahin sa mga server sa lainlaing mga site, ang trapiko diin gikan sa lainlaing mga channel sa pagpadala sa datos.
Atong tan-awon kini nga trapiko. Ang usa ka pakete nga adunay hangyo sa koneksyon moabut sa server:
xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
Gidawat sa server kini nga pakete, apan gisalikway ang koneksyon:
xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0
Kini nagpasabut nga ang problema klaro nga dili tungod sa bisan unsang mga problema sa operasyon sa imprastraktura, apan sa uban pa. Tingali ang tanan nga tiggamit adunay mga problema sa hilit nga desktop licensing? Tingali ang usa ka matang sa malware nakahimo sa pagsulod sa ilang mga sistema, ug karon kini gi-activate, sama sa pipila ka tuig na ang milabay. XData ΠΈ Petya?
Samtang kami naghan-ay niini, nakadawat kami og susama nga mga hangyo gikan sa daghang mga kliyente ug mga kauban.
Unsa ang tinuod nga mahitabo niini nga mga makina?
Ang mga log sa panghitabo puno sa mga mensahe bahin sa pagsulay sa pagtag-an sa password:
Kasagaran, ang ingon nga mga pagsulay narehistro sa tanan nga mga server diin ang standard nga pantalan (3389) gigamit alang sa serbisyo sa hilit nga pag-access ug gitugotan ang pag-access gikan sa bisan diin. Ang Internet puno sa mga bot nga kanunay nga nag-scan sa tanan nga magamit nga mga punto sa koneksyon ug pagsulay sa pagtag-an sa password (mao kini ang hinungdan nga kusganon namon nga girekomenda ang paggamit sa komplikado nga mga password imbis nga "123"). Bisan pa, ang kakusog sa kini nga mga pagsulay nianang adlawa taas kaayo.
Unsaon pagpadayon?
Girekomenda nga ang mga kustomer mogugol ug daghang oras sa pag-usab sa mga setting alang sa daghang mga end user nga mobalhin sa lain nga pantalan? Dili maayo nga ideya, ang mga kustomer dili malipay. Irekomendar ang pagtugot sa pag-access pinaagi lamang sa VPN? Sa pagdali ug kalisang, ang pagpataas sa mga koneksyon sa IPSec alang niadtong wala niini gipataas - tingali ang ingon nga kalipay dili usab mopahiyom sa mga kliyente. Bisan pa, kinahanglan kong isulti, kini usa ka diosnon nga butang sa bisan unsang kaso, kanunay namon nga girekomenda nga itago ang server sa usa ka pribado nga network ug andam nga motabang sa mga setting, ug alang sa mga gusto nga mahibal-an kini sa ilang kaugalingon, gipaambit namon ang mga panudlo alang sa pag-set up sa IPSec/L2TP sa among cloud sa site-to-site o road mode -warrior, ug kung adunay gusto nga magbutang ug serbisyo sa VPN sa ilang kaugalingon nga Windows server, andam sila kanunay nga magpaambit sa mga tip kung giunsa ang pag-set up standard RAS o OpenVPN. Apan, bisan unsa pa kami ka cool, dili kini ang labing kaayo nga oras sa pagpahigayon sa buluhaton sa edukasyon taliwala sa mga kliyente, tungod kay kinahanglan namon nga ayohon ang problema sa labing madali nga mahimo nga adunay gamay nga stress alang sa mga tiggamit.
Ang solusyon nga among gipatuman mao ang mosunod. Naghimo kami usa ka pagtuki sa pagpasa sa trapiko sa paagi nga mabantayan ang tanan nga pagsulay sa pag-establisar og koneksyon sa TCP sa port 3389 ug pagpili gikan niini nga mga adres nga, sa sulod sa 150 segundos, pagsulay sa paghimo og mga koneksyon nga adunay labaw sa 16 nga lainlaing mga server sa among network. - kini ang mga gigikanan sa pag-atake ( Siyempre, kung ang usa sa mga kliyente o kasosyo adunay tinuud nga panginahanglan nga magtukod mga koneksyon sa daghang mga server gikan sa parehas nga gigikanan, mahimo nimong idugang ang ingon nga mga gigikanan sa "puti nga lista." Dugang pa, Kung sa usa ka network sa klase C sa kini nga 150 segundos, labaw pa sa 32 nga mga adres ang nahibal-an, makatarunganon nga babagan ang tibuuk nga network. kini nga tinubdan awtomatik nga gikuha gikan sa "itom nga listahan." Ang lista sa gibabagan nga mga tinubdan gi-update matag 3 ka segundo.
Kini nga lista anaa sa kini nga adres: , mahimo nimong tukuron ang imong mga ACL base niini.
Andam kami nga ipaambit ang source code sa ingon nga sistema; wala'y sobra ka komplikado niini (kini ang pipila ka yano nga mga script nga gihugpong sa literal nga pipila ka oras sa tuhod), ug sa samang higayon kini mahimong ipahiangay ug dili gamiton. aron lamang mapanalipdan batok sa ingon nga pag-atake, apan aron mahibal-an ug mapugngan ang bisan unsang pagsulay sa pag-scan sa network:
Dugang pa, naghimo kami pipila ka mga pagbag-o sa mga setting sa sistema sa pag-monitor, nga karon labi nga gibantayan pag-ayo ang reaksyon sa usa ka kontrol nga grupo sa mga virtual server sa among panganod sa pagsulay nga magtukod usa ka koneksyon sa RDP: kung ang reaksyon dili mosunod sa sulod sa usa ka ikaduha, kini mao ang usa ka rason sa pagtagad.
Ang solusyon nahimo nga epektibo kaayo: wala nay mga reklamo gikan sa mga kliyente ug kauban, ug gikan sa sistema sa pag-monitor. Ang mga bag-ong adres ug tibuok nga network kanunay nga gidugang sa blacklist, nga nagpakita nga ang pag-atake nagpadayon, apan wala na makaapekto sa trabaho sa among mga kliyente.
Adunay kaluwasan sa mga numero
Karon nahibal-an namon nga ang ubang mga operator nakasugat og susama nga problema. Adunay nagtuo gihapon nga ang Microsoft naghimo og pipila ka mga pagbag-o sa code sa remote access nga serbisyo (kung nahinumduman nimo, nagduda kami sa samang butang sa unang adlaw, apan dali kaayo namo nga gisalikway kini nga bersyon) ug misaad nga buhaton ang tanan nga posible aron makapangita dayon og solusyon. . Ang ubang mga tawo wala magtagad sa problema ug nagtambag sa mga kliyente nga panalipdan ang ilang kaugalingon sa ilang kaugalingon (bag-ohon ang port sa koneksyon, itago ang server sa usa ka pribadong network, ug uban pa). Ug sa unang adlaw, dili lang namo nasulbad kini nga problema, apan nagmugna usab og pipila ka sukaranan alang sa usa ka mas global nga sistema sa pagtuki sa hulga nga among giplanohan nga pauswagon.
Espesyal nga pasalamat sa mga kliyente ug mga kauban nga wala magpakahilom ug wala molingkod sa pangpang sa suba nga naghulat sa patay nga lawas sa usa ka kaaway nga molutaw niini usa ka adlaw, apan diha-diha dayon gipunting ang among atensyon sa problema, nga naghatag kanamo ug higayon nga mapapas. kini sa samang adlaw.
Source: www.habr.com