Innsidh sinn dhut sgeulachd inntinneach mu mar a dh'fheuch "treas pàrtaidhean" ri bacadh a chur air obair ar luchd-dèiligidh, agus mar a chaidh an duilgheadas seo fhuasgladh.
Mar a thòisich e uile
Thòisich a h-uile càil air madainn 31 Dàmhair, an latha mu dheireadh den mhìos, nuair a dh ’fheumas mòran ùine a bhith aca airson fuasgladh fhaighinn air cùisean èiginneach agus cudromach.
Thuirt aon de na com-pàirtichean, a bhios a’ cumail grunn innealan brìgheil den luchd-dèiligidh a tha e a’ frithealadh san sgòth againn, nach do ghabh grunn luchd-frithealaidh Windows a bha a’ ruith air an làrach Ucràineach againn ri ceanglaichean ris an t-seirbheis ruigsinneachd iomallach bho 9:10 gu 9:20, nach robh e comasach do luchd-cleachdaidh. gus logadh a-steach don deasg aca, ach às deidh beagan mhionaidean bha e coltach gun do dh’ fhuasgail an duilgheadas e fhèin.
Thog sinn na staitistig mu obrachadh nan seanailean conaltraidh, ach cha do lorg sinn àrdachadh no fàilligeadh trafaic. Choimhead sinn air na staitistigean mun eallach air goireasan coimpiutaireachd - gun neo-riaghailteachdan. Agus dè bha sin?
An uairsin dh ’innis com-pàirtiche eile, a bhios a’ cumail timcheall air ceud seirbheisiche eile san sgòth againn, na h-aon dhuilgheadasan a thug cuid den luchd-dèiligidh aca fa-near, agus thionndaidh e a-mach gu robh na frithealaichean san fharsaingeachd ruigsinneach (a ’freagairt gu ceart ris an deuchainn ping agus iarrtasan eile), ach bidh an t-seirbheis ruigsinneachd iomallach air na frithealaichean sin an dàrna cuid a’ gabhail ri ceanglaichean ùra no gan diùltadh, agus bha sinn a’ bruidhinn mu dheidhinn frithealaichean air diofar làraich, leis a bheil an trafaic a’ tighinn bho dhiofar shianalan tar-chuir dàta.
Bheir sinn sùil air an trafaic seo. Bidh pasgan le iarrtas ceangail a’ ruighinn an fhrithealaiche:
xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
Bidh am frithealaiche a' faighinn a' phacaid seo, ach tha e a' diùltadh a' cheangail:
xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0
Tha seo a 'ciallachadh gu bheil e soilleir nach eil an duilgheadas air adhbhrachadh le duilgheadas sam bith ann an obrachadh a' bhun-structair, ach le rudeigin eile. Is dòcha gu bheil duilgheadasan aig a h-uile neach-cleachdaidh le cead deasg iomallach? Is dòcha gun do shoirbhich le malware de sheòrsa air choreigin a dhol a-steach do na siostaman aca, agus an-diugh chaidh a chuir an gnìomh, mar a bha e o chionn bliadhna no dhà XDàta и Petya?
Fhad ‘s a bha sinn ga rèiteach, fhuair sinn iarrtasan coltach ri chèile bho ghrunn teachdaichean is chom-pàirtichean eile.
Dè dha-rìribh a thachras air na h-innealan sin?
Tha logaichean an tachartais làn de theachdaireachdan mu oidhirpean air am facal-faire a thomhas:
Mar as trice, bidh oidhirpean mar seo air an clàradh air a h-uile seirbheisiche far a bheil am port àbhaisteach (3389) air a chleachdadh airson an t-seirbheis ruigsinneachd iomallach agus tha ruigsinneachd ceadaichte bho gach àite. Tha an eadar-lìn làn de bhotan a bhios an-còmhnaidh a’ sganadh a h-uile puing ceangail a tha ri fhaighinn agus a’ feuchainn ri tomhas a dhèanamh air am facal-faire (is e seo as coireach gu bheil sinn a’ moladh gu làidir faclan-faire iom-fhillte a chleachdadh an àite “123”). Ach, bha dian nan oidhirpean sin air an latha sin ro àrd.
Dè bu chòir dhomh a dhèanamh?
A bheil thu a’ moladh gum bi luchd-ceannach a’ caitheamh mòran ùine ag atharrachadh shuidheachaidhean airson àireamh mhòr de luchd-cleachdaidh deireannach atharrachadh gu port eile? Chan e deagh bheachd a th’ ann, cha bhith luchd-ceannach toilichte. A bheil thu a’ moladh ruigsinneachd a-mhàin tro VPN? Ann an cabhaig is clisgeadh, a’ togail cheanglaichean IPSec dhaibhsan aig nach eil iad air an togail - is dòcha nach dèan an leithid de thoileachas gàire air teachdaichean nas motha. Ged, feumaidh mi a ràdh, is e rud diadhaidh a tha seo co-dhiù, tha sinn an-còmhnaidh a’ moladh a bhith a’ falach an fhrithealaiche ann an lìonra prìobhaideach agus deiseil airson cuideachadh leis na roghainnean, agus dhaibhsan a tha dèidheil air faighinn a-mach leotha fhèin, bidh sinn a’ roinn stiùireadh airson IPSec/L2TP a stèidheachadh anns an sgòth againn ann am modh làrach-gu-làraich no rathad -warrior, agus ma tha duine airson seirbheis VPN a stèidheachadh air an t-seirbheisiche Windows aca fhèin, tha iad an-còmhnaidh deiseil airson molaidhean a cho-roinn air mar a chuireas iad air dòigh RAS àbhaisteach no OpenVPN. Ach, ge bith dè cho fionnar ‘s a bha sinn, cha b’ e seo an t-àm as fheàrr airson obair foghlaim a dhèanamh am measg teachdaichean, leis gu feumadh sinn an duilgheadas a chàradh cho luath ‘s a ghabhas le glè bheag de chuideam airson luchd-cleachdaidh.
Bha am fuasgladh a chuir sinn an gnìomh mar a leanas. Tha sinn air mion-sgrùdadh air trafaic a’ dol seachad a stèidheachadh gus sùil a chumail air a h-uile oidhirp gus ceangal TCP a stèidheachadh gu port 3389 agus tagh às na seòlaidhean a bhios, taobh a-staigh 150 diog, a’ feuchainn ri ceanglaichean a stèidheachadh le barrachd air 16 frithealaichean eadar-dhealaichte air an lìonra againn - is iad sin stòran an ionnsaigh (Gu dearbh, ma tha fìor fheum aig aon de na teachdaichean no com-pàirtichean ceanglaichean a stèidheachadh le uimhir de luchd-frithealaidh bhon aon stòr, faodaidh tu an-còmhnaidh na stòran sin a chuir ris an “liosta gheal.” A bharrachd air an sin, ma tha ann an aon lìonra clas C airson na 150 diogan sin, barrachd air 32 seòlaidhean air an comharrachadh, tha e ciallach an lìonra gu lèir a bhacadh. Tha am bacadh air a shuidheachadh airson 3 latha, agus mura deach ionnsaighean sam bith a dhèanamh bho stòr sònraichte rè na h-ùine seo, thèid an stòr seo a thoirt air falbh gu fèin-ghluasadach bhon “liosta dhubh.” Tha an liosta de stòran dùinte air ùrachadh gach 300 diog.
Tha an liosta seo ri fhaighinn aig an t-seòladh seo: , faodaidh tu do ACLs a thogail stèidhichte air.
Tha sinn deiseil airson còd stòr siostam mar seo a cho-roinn; chan eil dad ro iom-fhillte ann (is iad seo grunn sgriobtaichean sìmplidh air an cur ri chèile ann an litireil uair no dhà air a’ ghlùin), agus aig an aon àm faodar atharrachadh agus a chleachdadh gun a bhith. a-mhàin gus dìon an aghaidh ionnsaigh mar sin, ach cuideachd gus oidhirpean sam bith gus an lìonra a sganadh a lorg agus a bhacadh:
A bharrachd air an sin, tha sinn air beagan atharrachaidhean a dhèanamh air roghainnean an t-siostam sgrùdaidh, a tha a-nis a’ cumail sùil nas mionaidiche air freagairt buidheann smachd de luchd-frithealaidh brìgheil san sgòth againn ri oidhirp gus ceangal RDP a stèidheachadh: mura lean am freagairt taobh a-staigh a san dàrna àite, tha seo na adhbhar airson aire a thoirt.
Bha am fuasgladh gu math èifeachdach: chan eil barrachd ghearanan ann bho luchd-dèiligidh agus com-pàirtichean, agus bhon t-siostam sgrùdaidh. Bidh seòlaidhean ùra agus lìonraidhean slàn air an cur ris an liosta dhubh gu cunbhalach, a tha a 'sealltainn gu bheil an ionnsaigh a' leantainn, ach nach eil e a 'toirt buaidh air obair ar luchd-dèiligidh tuilleadh.
Chan eil aonar anns an raon na ghaisgeach
An-diugh dh'ionnsaich sinn gu bheil luchd-obrachaidh eile air a bhith a 'coinneachadh ri duilgheadas coltach ris. Tha cuideigin fhathast den bheachd gun do rinn Microsoft beagan atharrachaidhean air còd na seirbheis ruigsinneachd iomallach (ma chuimhnicheas tu, bha amharas againn air an aon rud air a’ chiad latha, ach gu math luath dhiùlt sinn an dreach seo) agus tha e a’ gealltainn gun dèan sinn a h-uile dad comasach gus fuasgladh a lorg gu sgiobalta . Bidh cuid de dhaoine dìreach a ’seachnadh an duilgheadas agus a’ toirt comhairle do luchd-dèiligidh iad fhèin a dhìon (atharraich am port ceangail, cuir am frithealaiche am falach ann an lìonra prìobhaideach, agus mar sin air adhart). Agus air a’ chiad latha, chan e a-mhàin gun do dh’ fhuasgail sinn an duilgheadas seo, ach chruthaich sinn cuideachd beagan bun-stèidh airson siostam lorg bagairtean nas cruinne a tha sinn an dùil a leasachadh.
Taing shònraichte don luchd-dèiligidh agus na com-pàirtichean nach do dh'fhuirich sàmhach agus nach do shuidh air bruaich na h-aibhne a 'feitheamh ri corp nàmhaid a bhith a' seòladh air aon latha, ach a tharraing ar n-aire sa bhad chun an duilgheadas, a thug dhuinn an cothrom cuir às dha. e air an aon latha.
Source: www.habr.com