Gure ziberdefentsa zentroa bezeroen web azpiegituren segurtasunaz arduratzen da eta bezeroen guneetako erasoak uxatzen ditu. FortiWeb web aplikazioen suebakiak (WAF) erabiltzen ditugu erasoetatik babesteko. Baina WAF politena ere ez da panazea bat eta ez du kutxatik kanpo babesten helburuko erasoetatik.
Horregatik, WAFaz gain erabiltzen dugu . Gertaera guztiak leku bakarrean biltzen laguntzen du, estatistikak pilatzen ditu, haiek bistaratzen ditu eta xede-eraso bat denboran ikusteko aukera ematen digu.
Gaur zehatzago kontatuko dizuet nola gurutzatu genuen βGabonetako zuhaitzaβ WAFekin eta zer atera zen.
Eraso baten istorioa: nola funtzionatu zuen dena ELKra igaro aurretik
Bezeroak gure WAF atzean dagoen aplikazio bat du zabalduta gure hodeian. Egunean 10tik 000 erabiltzaile konektatzen ziren gunera, konexio kopurua eguneko 100 milioira iritsi zen. Horietatik 000-20 erabiltzaile erasotzaileak ziren eta webgunea hackeatzen saiatu ziren.
FortiWeb-ek nahiko erraz blokeatu zuen IP helbide batetik ohiko indar gordinaren inprimakia. Minutu bakoitzeko bisita kopurua erabiltzaile legitimoena baino handiagoa izan zen. Helbide batetik jarduera-atalaseak ezarri eta erasoa uxatu besterik ez dugu egin.
Askoz zailagoa da "eraso motela"ri aurre egitea, erasotzaileek poliki jokatzen dutenean eta bezero arruntez mozorrotzen direnean. IP helbide berezi asko erabiltzen dituzte. Horrelako jarduerak ez zuen WAFentzat indar gordinaren itxurarik; zailagoa zen automatikoki jarraitzea. Erabiltzaile arruntak blokeatzeko arriskua ere bazegoen. Eraso baten beste zantzu batzuk bilatu ditugu eta zeinu horretan oinarrituta IP helbideak automatikoki blokeatzeko politika konfiguratu dugu. Adibidez, saio ez-legitimo askok eremu komunak zituzten HTTP eskaeraren goiburuetan. Eremu hauek eskuz bilatu behar izaten ziren FortiWeb gertaeren erregistroetan.
Luzea eta deserosoa atera zen. FortiWeb funtzionalitate estandarrean, gertaerak testuan erregistratzen dira 3 erregistro desberdinetan: detektatutako erasoak, informazioa eskatu eta WAF funtzionamenduari buruzko sistemako mezuak. Minutu batean dozenaka edo ehunka eraso gerta daitezke.
Ez hainbeste, baina eskuz igo behar duzu hainbat erregistro eta lerro askoren bidez errepikatu:
Erasoen erregistroan erabiltzaileen helbideak eta jardueraren izaera ikusten ditugu.
Ez da nahikoa erregistro-taula eskaneatzea. Erasoaren izaerari buruzko informaziorik interesgarri eta erabilgarriena aurkitzeko, gertaera zehatz baten barruan begiratu behar duzu:
Nabarmendutako eremuek "eraso motela" detektatzen laguntzen dute. Iturria: pantaila-argazkia .
Beno, arazo garrantzitsuena FortiWeb-eko espezialista batek bakarrik asmatu dezakeela hau da. Lanorduetan jarduera susmagarriak denbora errealean kontrolatu genitzakeen arren, gaueko gertakarien ikerketak luzeagoa izan liteke. FortiWeb-en politikek arrazoiren bategatik funtzionatu ez zutenean, gaueko txandako ingeniariek ezin izan zuten egoera ebaluatu WAF-ra sartu gabe eta FortiWeb espezialista esnatu zuten. Hainbat orduko erregistroak aztertu eta erasoaren unea aurkitu genuen.
Horrelako informazio-bolumenarekin, zaila da lehen begiratuan irudi orokorra ulertzea eta proaktiboki jokatzea. Orduan, datuak leku bakarrean biltzea erabaki genuen, dena ikusizko forman aztertzeko, erasoaren hasiera aurkitzeko, haren norabidea eta blokeatzeko metodoa identifikatu ahal izateko.
Zer aukeratu zenuen?
Lehenik eta behin, dagoeneko erabiltzen ari diren irtenbideak aztertu ditugu, entitateak alferrik biderkatu ez daitezen.
Lehen aukeretako bat izan zen Nagiosjarraipena egiteko erabiltzen duguna , , larrialdi egoerei buruzko alertak. Segurtasun zaindariek ere erabiltzen dute trafiko susmagarria izanez gero betebeharko agenteei jakinarazteko, baina ez daki sakabanatuta dauden erregistroak biltzen eta, beraz, jada ez da beharrezkoa.
Erabiliz dena batzeko aukera zegoen MySQL eta PostgreSQL edo beste datu-base erlazional bat. Baina datuak ateratzeko, zure aplikazioa sortu behar zenuen.
Gure enpresak ere erabiltzen du FortiAnalyzer Fortinetetik. Baina kasu honetan ere ez zen egokitu. Lehenik eta behin, suebaki batekin lan egiteko egokituagoa dago FortiGate. Bigarrenik, ezarpen asko falta ziren eta harekin elkarreraginak SQL kontsulten ezagutza bikaina eskatzen zuen. Eta hirugarrenik, bere erabilerak zerbitzuaren kostua handituko luke bezeroarentzako.
Honela iritsi ginen kode irekira ELK.
Zergatik aukeratu ELK
ELK kode irekiko programa multzo bat da:
- Elasticsearch β denbora serieen datu-base bat, testu-bolumen handiekin lan egiteko berariaz sortua;
- Logstash β erregistroak nahi den formatura bihur ditzakeen datuak biltzeko mekanismoa;
- Kibana β bistaratzaile ona, baita Elasticsearch kudeatzeko nahiko interfaze atsegina ere. Erabil dezakezu guardiako ingeniariek gauez kontrolatu ditzaketen grafikoak eraikitzeko.
ELK-ra sartzeko atalasea baxua da. Oinarrizko funtzio guztiak doakoak dira. Zer gehiago behar da zorionerako?
Nola bildu dugu dena sistema bakar batean?
Indizeak sortu ditugu eta beharrezko informazioa bakarrik utzi dugu. Hiru FortiWEB erregistroak ELK-n kargatu genituen eta irteera indizeak izan ziren. Hauek aldi baterako bildutako erregistro guztiak dituzten fitxategiak dira, adibidez, egun baterako. Berehala bistaratuko bagenitu, erasoen dinamika baino ez genuke ikusiko. Xehetasunak lortzeko, eraso bakoitzean "erortu" eta eremu zehatzak aztertu behar dituzu.
Lehenik eta behin egituratu gabeko informazioaren analisia ezarri behar dugula konturatu ginen. Eremu luzeak hartu genituen kate moduan, hala nola, "Mezua" eta "URLa", eta analizatu genituen erabakiak hartzeko informazio gehiago lortzeko.
Adibidez, analisia erabiliz, erabiltzailearen kokapena bereizita identifikatu dugu. Horrek atzerriko erasoak berehala nabarmentzen lagundu zuen Errusiako erabiltzaileentzako guneetan. Beste herrialde batzuetako konexio guztiak blokeatuz, eraso kopurua erdira murriztu genuen eta lasai aurre egin genien Errusia barneko erasoei.
Analizatu ondoren, zer informazio gorde eta bistaratu bilatzen hasi ginen. Ezinezkoa zen aldizkarian dena uztea: indize baten tamaina handia zen - 7 GB. ELK-k denbora asko behar izan du fitxategia prozesatzeko. Hala ere, informazio guztia ez zen erabilgarria izan. Zerbait bikoiztu zen eta leku gehigarria hartzen zuen - optimizatu behar zen.
Hasieran aurkibidea eskaneatu eta beharrezkoak ez ziren gertaerak kendu besterik ez genuen. Hau FortiWeb-en erregistroekin lan egitea baino are deserosoagoa eta luzeagoa izan zen. Etapa honetan "Gabonetako zuhaitzaren" abantaila bakarra pantaila bakarrean denbora tarte handi bat bistaratzeko gai izan garela da.
Ez genuen etsi, kaktusak jaten jarraitu, ELK ikasten eta beharrezko informazioa aterako genuela uste genuen. Indizeak garbitu ondoren, genuena bistaratzen hasi ginen. Horrela iritsi ginen aginte-panel handietara. Widget batzuk probatu ditugu: bisualki eta dotore, benetako Gabonetako zuhaitza!
Erasoaren unea grabatu zen. Orain eraso baten hasiera grafikoan nolakoa den ulertu behar genuen. Hura detektatzeko, zerbitzariak erabiltzaileari emandako erantzunak aztertu ditugu (itzultzeko kodeak). Honako kode hauekin (rc) zerbitzariaren erantzunak interesatzen zitzaizkigun:
Kodea (rc)
Izena
Description
0
TANTA
Zerbitzariari egindako eskaera blokeatuta dago
200
Ok
Eskaera behar bezala prozesatu da
400
Eskaera txarra
Eskaera baliogabea
403
Debekatuta dago
Baimena ukatu egin da
500
Barneko zerbitzari-errorea
Zerbitzua ez dago erabilgarri
Norbait webgunea erasotzen hasi bazen, kodeen ratioa aldatu egiten da:
- 400 kodearekin eskaera oker gehiago bazeuden, baina 200 kodearekin ohiko eskaera kopuru bera geratzen bazen, esan nahi du norbait gunea hackeatzen saiatzen ari zela.
- Aldi berean 0 kodea duten eskaerak ere handitu baziren, orduan FortiWebeko politikariek ere erasoa "ikusi" zuten eta blokeak aplikatu zizkioten.
- 500 kodea duten mezuen kopurua handitzen bada, esan nahi du gunea ez dagoela IP helbide horietarako erabilgarri, blokeo moduko bat ere.
Hirugarren hilabeterako, aginte-panel bat ezarri genuen jarduera horien jarraipena egiteko.
Dena eskuz ez kontrolatzeko, Nagios-ekin integrazioa ezarri genuen, eta ELK-ri galdeketa egiten zion tarte jakin batzuetan. Kodeek lortutako atalase-balioak hautematen baditut, jarduera susmagarriei buruzko jakinarazpen bat bidali nien betebeharreko arduradunei.
Jarraipen-sisteman 4 grafiko konbinatuta. Orain garrantzitsua zen grafikoetan ikustea erasoa blokeatu ez zen eta ingeniari baten esku-hartzea behar zen momentua. 4 taula ezberdinetan begiak lausotu egin ziren. Hori dela eta, grafikoak konbinatu eta dena pantaila batean kontrolatzen hasi ginen.
Monitorizazioan, kolore ezberdinetako grafikoak nola aldatzen diren ikusi dugu. Gorri zipriztin batek erasoa hasi zela erakusten zuen, grafiko laranjak eta urdinek FortiWeb-en erantzuna erakusten zuten bitartean:
Hemen dena ondo dago: jarduera βgorriaβ gorakada izan zen, baina FortiWeb-ek horri aurre egin zion eta eraso-egutegia ezerezean geratu zen.
Esku-hartzea eskatzen duen grafiko baten adibide bat ere marraztu dugu:
Hemen ikusten dugu FortiWeb-ek jarduera areagotu duela, baina eraso gorriaren grafikoa ez dela jaitsi. Zure WAF ezarpenak aldatu behar dituzu.
Gaueko gertakariak ikertzea ere errazagoa bihurtu da. Grafikoak berehala erakusten du gunea babesteko garaia den unea.
Hori da batzuetan gauez gertatzen dena. Grafiko gorria - erasoa hasi da. Urdina β FortiWeb jarduera. Erasoa ez zen guztiz blokeatuta egon, beraz, esku hartu behar izan nuen.
Nora goaz?
Une honetan betebeharko administratzaileak prestatzen ari gara ELKrekin lan egiteko. Agintean daudenek egoera ebaluatzen eta erabakia hartzen ikasten dute: FortiWeb-eko espezialistarengana igotzeko garaia da, edo WAFeko politikak nahikoak dira eraso bat automatikoki uxatzeko. Horrela gauez informazioaren segurtasuneko ingeniarien karga murrizten dugu eta sistema mailan laguntza-eginkizunak banatzen ditugu. FortiWeb-era sarbidea ziber-defentsa-zentroarekin bakarrik geratzen da, eta behar-beharrezkoa denean soilik WAF ezarpenetan aldaketak egiten dituzte.
Bezeroentzako txostenak ere lantzen ari gara. WAF funtzionamenduaren dinamikari buruzko datuak bezeroaren kontu pertsonalean eskuragarri egongo direla aurreikusi dugu. ELK-k egoera gardenagoa egingo du, WAFarekin harremanetan jarri beharrik gabe.
Bezeroak bere babesa denbora errealean kontrolatu nahi badu, ELK ere ondo etorriko da. Ezin dugu WAF-rako sarbidea eman, bezeroek lanean esku hartzeak besteengan eragina izan dezakeelako. Baina ELK bereizi bat jaso eta "jolastu" eman dezakezu.
Hauek dira azkenaldian pilatu dugun βGabonetako zuhaitzaβ erabiltzeko eszenatokiak. Partekatu zure ideiak gai honi buruz eta ez ahaztu datu-baseen ihesak saihesteko.
Iturria: www.habr.com