Gadewch i ni ddweud stori oer wrthych am sut y ceisiodd "trydydd partïon" ymyrryd â gwaith ein cleientiaid, a sut y datryswyd y broblem hon.
Sut y dechreuodd y cyfan
Dechreuodd y cyfan ar fore Hydref 31, diwrnod olaf y mis, pan oedd dirfawr angen amser i ddatrys materion brys a phwysig.
Dywedodd un o'r partneriaid, sy'n cadw sawl peiriant rhithwir o'r cleientiaid y mae'n eu gwasanaethu yn ein cwmwl, nad oedd sawl gweinydd Windows sy'n rhedeg ar ein gwefan Wcreineg yn derbyn cysylltiadau â'r gwasanaeth mynediad o bell rhwng 9:10 a 9:20 , nid oedd defnyddwyr yn gallu i fewngofnodi i'w bwrdd gwaith, ond ar ôl ychydig funudau roedd yn ymddangos bod y broblem yn datrys ei hun.
Codwyd yr ystadegau gennym ar weithrediad sianeli cyfathrebu, ond ni welsom unrhyw ymchwyddiadau na methiannau traffig. Edrychon ni ar yr ystadegau ar y llwyth ar adnoddau cyfrifiadurol - dim anghysondebau. A beth oedd hynny?
Yna nododd partner arall, sy'n cynnal tua chant yn fwy o weinyddion yn ein cwmwl, yr un problemau a nododd rhai o'u cleientiaid, a daeth i'r amlwg bod y gweinyddwyr yn gyffredinol yn hygyrch (yn ymateb yn gywir i'r prawf ping a cheisiadau eraill), ond mae'r gwasanaeth mynediad o bell ar y gweinyddwyr hyn naill ai'n derbyn cysylltiadau newydd neu'n eu gwrthod, ac roeddem yn sôn am weinyddion ar wahanol safleoedd, y mae'r traffig iddynt yn dod o wahanol sianeli trosglwyddo data.
Gadewch i ni edrych ar y traffig hwn. Mae pecyn gyda chais cysylltiad yn cyrraedd y gweinydd:
xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
Mae'r gweinydd yn derbyn y pecyn hwn, ond yn gwrthod y cysylltiad:
xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0
Mae hyn yn golygu ei bod yn amlwg nad yw’r broblem yn cael ei hachosi gan unrhyw broblemau yng ngweithrediad y seilwaith, ond gan rywbeth arall. Efallai bod pob defnyddiwr yn cael problemau gyda thrwyddedu bwrdd gwaith o bell? Efallai bod rhyw fath o ddrwgwedd wedi llwyddo i dreiddio i'w systemau, a heddiw cafodd ei actifadu, fel yr oedd gyda cwpl o flynyddoedd yn ôl XData и Petya?
Tra roeddem yn ei ddatrys, cawsom geisiadau tebyg gan lawer mwy o gleientiaid a phartneriaid.
Beth sy'n digwydd ar y peiriannau hyn mewn gwirionedd?
Mae'r logiau digwyddiad yn llawn negeseuon am ymdrechion i ddyfalu'r cyfrinair:
Yn nodweddiadol, mae ymdrechion o'r fath yn cael eu cofrestru ar bob gweinydd lle mae'r porthladd safonol (3389) yn cael ei ddefnyddio ar gyfer y gwasanaeth mynediad o bell a chaniateir mynediad o bob man. Mae'r Rhyngrwyd yn llawn bots sy'n sganio'r holl bwyntiau cysylltu sydd ar gael yn gyson ac yn ceisio dyfalu'r cyfrinair (dyma pam rydyn ni'n argymell yn gryf defnyddio cyfrineiriau cymhleth yn lle "123"). Fodd bynnag, roedd dwyster yr ymdrechion hyn y diwrnod hwnnw yn rhy uchel.
Sut i symud ymlaen?
Argymell bod cwsmeriaid yn treulio llawer o amser yn newid gosodiadau ar gyfer nifer enfawr o ddefnyddwyr terfynol i newid i borthladd gwahanol? Ddim yn syniad da, ni fydd cwsmeriaid yn hapus. Argymell caniatáu mynediad trwy VPN yn unig? Mewn brys a phanig, codi cysylltiadau IPSec i'r rhai nad ydynt yn eu codi - efallai nad yw hapusrwydd o'r fath yn gwenu ar gleientiaid ychwaith. Er, rhaid imi ddweud, mae hyn yn beth duwiol beth bynnag, rydym bob amser yn argymell cuddio'r gweinydd mewn rhwydwaith preifat ac yn barod i helpu gyda'r gosodiadau, ac i'r rhai sy'n hoffi ei ddarganfod ar eu pen eu hunain, rydym yn rhannu cyfarwyddiadau ar gyfer sefydlu IPSec/L2TP yn ein cwmwl yn y modd safle-i-safle neu ffordd -warrior, ac os oes unrhyw un eisiau sefydlu gwasanaeth VPN ar eu gweinydd Windows eu hunain, maen nhw bob amser yn barod i rannu awgrymiadau ar sut i sefydlu RAS safonol neu OpenVPN. Ond, ni waeth pa mor cŵl oeddem ni, nid dyma'r amser gorau i gynnal gwaith addysgol ymhlith cleientiaid, gan fod angen i ni drwsio'r broblem cyn gynted â phosibl heb fawr o straen i ddefnyddwyr.
Roedd yr ateb a roddwyd ar waith gennym fel a ganlyn. Rydym wedi sefydlu dadansoddiad o draffig sy'n mynd heibio mewn modd sy'n monitro pob ymgais i sefydlu cysylltiad TCP i borth 3389 a dewis o'i gyfeiriadau sydd, o fewn 150 eiliad, yn ceisio sefydlu cysylltiadau â mwy nag 16 o weinyddion gwahanol ar ein rhwydwaith - dyma ffynonellau'r ymosodiad (Wrth gwrs, os oes gan un o'r cleientiaid neu'r partneriaid angen gwirioneddol i sefydlu cysylltiadau â chymaint o weinyddion o'r un ffynhonnell, gallwch chi bob amser ychwanegu ffynonellau o'r fath at y “rhestr wen.” Ar ben hynny, os mewn un rhwydwaith dosbarth C am y 150 eiliad hyn, nodir mwy na 32 o gyfeiriadau, mae'n gwneud synnwyr i rwystro'r rhwydwaith cyfan. Mae'r blocio wedi'i osod am 3 diwrnod, ac os na chynhaliwyd unrhyw ymosodiadau o ffynhonnell benodol yn ystod yr amser hwn, mae'r ffynhonnell hon yn cael ei thynnu'n awtomatig o'r “rhestr ddu.” Mae'r rhestr o ffynonellau sydd wedi'u blocio yn cael ei diweddaru bob 300 eiliad.
Mae'r rhestr hon ar gael yn y cyfeiriad hwn: , gallwch adeiladu eich ACLs yn seiliedig arno.
Rydym yn barod i rannu cod ffynhonnell system o'r fath; nid oes dim byd rhy gymhleth ynddo (dyma sawl sgript syml wedi'u llunio'n llythrennol mewn cwpl o oriau ar y pen-glin), ac ar yr un pryd gellir ei addasu a'i ddefnyddio i beidio dim ond i amddiffyn rhag ymosodiad o'r fath, ond hefyd i ganfod a rhwystro unrhyw ymdrechion i sganio'r rhwydwaith:
Yn ogystal, rydym wedi gwneud rhai newidiadau i osodiadau'r system fonitro, sydd bellach yn monitro ymateb grŵp rheoli o weinyddion rhithwir yn ein cwmwl yn agosach i ymgais i sefydlu cysylltiad RDP: os nad yw'r adwaith yn dilyn o fewn a yn ail, dyma reswm i dalu sylw.
Trodd yr ateb yn eithaf effeithiol: nid oes mwy o gwynion gan gleientiaid a phartneriaid, ac o'r system fonitro. Mae cyfeiriadau newydd a rhwydweithiau cyfan yn cael eu hychwanegu'n rheolaidd at y rhestr ddu, sy'n dangos bod yr ymosodiad yn parhau, ond nad yw bellach yn effeithio ar waith ein cleientiaid.
Mae diogelwch mewn niferoedd
Heddiw, rydym wedi dysgu bod gweithredwyr eraill wedi dod ar draws problem debyg. Mae rhywun yn dal i gredu bod Microsoft wedi gwneud rhai newidiadau i god y gwasanaeth mynediad o bell (os cofiwch, roeddem yn amau yr un peth ar y diwrnod cyntaf, ond fe wnaethom wrthod y fersiwn hon yn gyflym iawn) ac mae'n addo gwneud popeth posibl i ddod o hyd i ateb yn gyflym . Mae rhai pobl yn syml yn anwybyddu'r broblem ac yn cynghori cleientiaid i amddiffyn eu hunain ar eu pen eu hunain (newid y porthladd cysylltiad, cuddio'r gweinydd mewn rhwydwaith preifat, ac ati). Ac ar y diwrnod cyntaf un, gwnaethom nid yn unig ddatrys y broblem hon, ond hefyd creu rhywfaint o waith sylfaen ar gyfer system canfod bygythiadau mwy byd-eang yr ydym yn bwriadu ei datblygu.
Diolch yn arbennig i'r cleientiaid a'r partneriaid na wnaethant aros yn dawel ac nad oeddent yn eistedd ar lan yr afon yn aros i gorff gelyn arnofio ar ei hyd un diwrnod, ond tynnodd ein sylw at y broblem ar unwaith, a roddodd gyfle i ni ddileu. ar yr un diwrnod.
Ffynhonnell: hab.com