ચાલો તમને એક સરસ વાર્તા કહીએ કે કેવી રીતે "તૃતીય પક્ષો" એ અમારા ગ્રાહકોના કામમાં દખલ કરવાનો પ્રયાસ કર્યો અને આ સમસ્યા કેવી રીતે હલ થઈ.
તે બધું કેવી રીતે શરૂ થયું
તે બધું 31 ઓક્ટોબરની સવારે શરૂ થયું, મહિનાના છેલ્લા દિવસે, જ્યારે ઘણાને તાત્કાલિક અને મહત્વપૂર્ણ મુદ્દાઓને ઉકેલવા માટે સમયની સખત જરૂર હોય છે.
ભાગીદારોમાંથી એક, જે અમારા ક્લાઉડમાં સેવા આપે છે તે ક્લાયંટની ઘણી વર્ચ્યુઅલ મશીનો રાખે છે, તેણે અહેવાલ આપ્યો કે 9:10 થી 9:20 સુધી અમારી યુક્રેનિયન સાઇટ પર ચાલતા કેટલાક વિન્ડોઝ સર્વર્સે રિમોટ એક્સેસ સર્વિસ સાથે જોડાણ સ્વીકાર્યું ન હતું, વપરાશકર્તાઓ અસમર્થ હતા તેમના ડેસ્કટોપમાં લોગ ઇન કરવા માટે, પરંતુ થોડીવાર પછી સમસ્યા પોતે જ ઉકેલાતી જણાઈ.
અમે સંદેશાવ્યવહાર ચેનલોના સંચાલન પર આંકડા ઉભા કર્યા, પરંતુ કોઈ ટ્રાફિક વધારો અથવા નિષ્ફળતા મળી નથી. અમે કમ્પ્યુટિંગ સંસાધનો પરના ભારણના આંકડા જોયા - કોઈ વિસંગતતાઓ નથી. અને તે શું હતું?
પછી બીજા ભાગીદાર, જે અમારા ક્લાઉડમાં લગભગ સો વધુ સર્વર્સને હોસ્ટ કરે છે, તેણે તે જ સમસ્યાઓની જાણ કરી જે તેમના કેટલાક ગ્રાહકોએ નોંધી હતી, અને તે બહાર આવ્યું કે સામાન્ય રીતે સર્વર્સ સુલભ હતા (પિંગ ટેસ્ટ અને અન્ય વિનંતીઓનો યોગ્ય રીતે પ્રતિસાદ આપતા), પરંતુ આ સર્વર્સ પરની સર્વિસ રિમોટ એક્સેસ કાં તો નવા કનેક્શન્સ સ્વીકારે છે અથવા તેને નકારી કાઢે છે, અને અમે વિવિધ સાઇટ્સ પરના સર્વર્સ વિશે વાત કરી રહ્યા હતા, જે ટ્રાફિક વિવિધ ડેટા ટ્રાન્સમિશન ચેનલોથી આવે છે.
ચાલો આ ટ્રાફિક જોઈએ. કનેક્શન વિનંતી સાથેનું પેકેટ સર્વર પર આવે છે:
xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
સર્વર આ પેકેટ મેળવે છે, પરંતુ કનેક્શનને નકારે છે:
xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0
આનો અર્થ એ છે કે સમસ્યા સ્પષ્ટપણે ઈન્ફ્રાસ્ટ્રક્ચરના સંચાલનમાં કોઈ સમસ્યાને કારણે નથી, પરંતુ કંઈક બીજું છે. કદાચ બધા વપરાશકર્તાઓને રિમોટ ડેસ્કટૉપ લાઇસન્સિંગ સાથે સમસ્યા આવી રહી છે? કદાચ કોઈ પ્રકારનો માલવેર તેમની સિસ્ટમમાં પ્રવેશ કરવામાં સફળ થયો, અને આજે તે સક્રિય થઈ ગયું છે, જેમ કે તે થોડા વર્ષો પહેલા હતું. XData и પેટ્યા?
જ્યારે અમે તેને સૉર્ટ કરી રહ્યા હતા, ત્યારે અમને ઘણા વધુ ક્લાયન્ટ્સ અને ભાગીદારો તરફથી સમાન વિનંતીઓ મળી.
આ મશીનો પર ખરેખર શું થાય છે?
ઇવેન્ટ લૉગ પાસવર્ડનો અનુમાન લગાવવાના પ્રયાસો વિશેના સંદેશાઓથી ભરેલા છે:
સામાન્ય રીતે, આવા પ્રયાસો બધા સર્વર્સ પર નોંધાયેલા હોય છે જ્યાં સ્ટાન્ડર્ડ પોર્ટ (3389) નો ઉપયોગ રિમોટ એક્સેસ સર્વિસ માટે થાય છે અને દરેક જગ્યાએથી એક્સેસની મંજૂરી આપવામાં આવે છે. ઈન્ટરનેટ બોટ્સથી ભરેલું છે જે સતત તમામ ઉપલબ્ધ કનેક્શન પોઈન્ટ્સને સ્કેન કરે છે અને પાસવર્ડનો અનુમાન લગાવવાનો પ્રયાસ કરે છે (આથી જ અમે “123” ને બદલે જટિલ પાસવર્ડ્સનો ઉપયોગ કરવાની ભારપૂર્વક ભલામણ કરીએ છીએ). જો કે, તે દિવસે આ પ્રયાસોની તીવ્રતા ઘણી વધારે હતી.
કેવી રીતે આગળ વધવું?
ભલામણ કરીએ છીએ કે ગ્રાહકો વિવિધ પોર્ટ પર સ્વિચ કરવા માટે મોટી સંખ્યામાં અંતિમ વપરાશકર્તાઓ માટે સેટિંગ્સ બદલવામાં ઘણો સમય વિતાવે છે? સારો વિચાર નથી, ગ્રાહકો ખુશ થશે નહીં. ફક્ત VPN દ્વારા ઍક્સેસની મંજૂરી આપવાની ભલામણ કરીએ? ઉતાવળમાં અને ગભરાટમાં, જેમની પાસે તે નથી તેવા લોકો માટે IPSec કનેક્શન વધારવું - કદાચ આવી ખુશી ગ્રાહકો પર પણ સ્મિત કરતી નથી. જો કે, મારે કહેવું જ જોઈએ, આ કોઈ પણ સંજોગોમાં ઈશ્વરીય વસ્તુ છે, અમે હંમેશા સર્વરને ખાનગી નેટવર્કમાં છુપાવવાની ભલામણ કરીએ છીએ અને સેટિંગ્સમાં મદદ કરવા માટે તૈયાર છીએ, અને જેઓ તેને જાતે જ શોધવાનું પસંદ કરે છે, અમે સૂચનાઓ શેર કરીએ છીએ. અમારા ક્લાઉડમાં સાઇટ-ટુ-સાઇટ અથવા રોડ મોડ-વોરિયરમાં IPSec/L2TP સેટ કરવા માટે, અને જો કોઈ તેમના પોતાના Windows સર્વર પર VPN સેવા સેટ કરવા માંગે છે, તો તેઓ હંમેશા કેવી રીતે સેટ કરવું તેની ટીપ્સ શેર કરવા માટે તૈયાર છે. માનક RAS અથવા OpenVPN. પરંતુ, અમે ગમે તેટલા કૂલ હતા, ગ્રાહકો વચ્ચે શૈક્ષણિક કાર્ય કરવા માટે આ શ્રેષ્ઠ સમય નહોતો, કારણ કે અમારે વપરાશકર્તાઓ માટે ન્યૂનતમ તણાવ સાથે શક્ય તેટલી ઝડપથી સમસ્યાને ઠીક કરવાની જરૂર હતી.
અમે જે ઉકેલ અમલમાં મૂક્યો તે નીચે મુજબ હતો. અમે પોર્ટ 3389 પર TCP કનેક્શન સ્થાપિત કરવાના તમામ પ્રયાસોને મોનિટર કરવા અને તેમાંથી 150 સેકન્ડની અંદર, અમારા નેટવર્ક પર 16 કરતાં વધુ વિવિધ સર્વર્સ સાથે કનેક્શન્સ સ્થાપિત કરવાનો પ્રયાસ કરવા માટેના તમામ પ્રયાસોને મોનિટર કરવા માટે અમે ટ્રાફિક પસાર કરવાનું વિશ્લેષણ સેટ કર્યું છે. - આ હુમલાના સ્ત્રોતો છે ( અલબત્ત, જો ક્લાયંટ અથવા ભાગીદારોમાંથી કોઈ એકને એક જ સ્ત્રોતમાંથી ઘણા બધા સર્વર્સ સાથે કનેક્શન સ્થાપિત કરવાની ખરેખર જરૂર હોય, તો તમે હંમેશા આવા સ્ત્રોતોને "વ્હાઇટ લિસ્ટ"માં ઉમેરી શકો છો. વધુમાં, જો આ 150 સેકન્ડ માટે એક ક્લાસ સી નેટવર્કમાં, 32 થી વધુ સરનામાંઓ ઓળખવામાં આવે છે, તો તે સમગ્ર નેટવર્કને અવરોધિત કરવાનું અર્થપૂર્ણ છે. અવરોધિત કરવાનું 3 દિવસ માટે સેટ કરવામાં આવ્યું છે, અને જો આ સમય દરમિયાન આપેલ સ્ત્રોતમાંથી કોઈ હુમલો કરવામાં આવ્યો નથી, આ સ્ત્રોત આપમેળે "કાળી સૂચિ" માંથી દૂર કરવામાં આવે છે. અવરોધિત સ્ત્રોતોની સૂચિ દર 300 સેકન્ડે અપડેટ થાય છે.
આ યાદી આ સરનામે ઉપલબ્ધ છે: , તમે તેના આધારે તમારા ACLs બનાવી શકો છો.
અમે આવી સિસ્ટમનો સોર્સ કોડ શેર કરવા માટે તૈયાર છીએ; તેમાં કંઈ વધારે પડતું જટિલ નથી (આ ઘણી સરળ સ્ક્રિપ્ટો છે જે શાબ્દિક રીતે ઘૂંટણ પર થોડા કલાકોમાં સંકલિત કરવામાં આવી છે), અને તે જ સમયે તેને અનુકૂલિત કરી શકાય છે અને તેનો ઉપયોગ કરી શકાય છે. માત્ર આવા હુમલા સામે રક્ષણ કરવા માટે, પણ નેટવર્ક સ્કેન કરવાના કોઈપણ પ્રયાસોને શોધવા અને અવરોધિત કરવા માટે પણ:
વધુમાં, અમે મોનિટરિંગ સિસ્ટમની સેટિંગ્સમાં કેટલાક ફેરફારો કર્યા છે, જે હવે RDP કનેક્શન સ્થાપિત કરવાના પ્રયાસ માટે અમારા ક્લાઉડમાં વર્ચ્યુઅલ સર્વરના નિયંત્રણ જૂથની પ્રતિક્રિયાને વધુ નજીકથી મોનિટર કરે છે: જો પ્રતિક્રિયા બીજું, આ ધ્યાન આપવાનું એક કારણ છે.
સોલ્યુશન એકદમ અસરકારક બન્યું: ગ્રાહકો અને ભાગીદારો અને મોનિટરિંગ સિસ્ટમ બંને તરફથી કોઈ વધુ ફરિયાદો નથી. નવા સરનામાં અને સમગ્ર નેટવર્ક નિયમિતપણે બ્લેકલિસ્ટમાં ઉમેરવામાં આવે છે, જે સૂચવે છે કે હુમલો ચાલુ રહે છે, પરંતુ હવે અમારા ગ્રાહકોના કાર્યને અસર કરતું નથી.
સંખ્યામાં સલામતી છે
આજે આપણે શીખ્યા કે અન્ય ઓપરેટરોએ પણ આવી જ સમસ્યાનો સામનો કર્યો છે. કોઈ હજી પણ માને છે કે માઇક્રોસોફ્ટે રિમોટ એક્સેસ સર્વિસના કોડમાં કેટલાક ફેરફારો કર્યા છે (જો તમને યાદ હોય, તો અમને પહેલા દિવસે તે જ વસ્તુની શંકા હતી, પરંતુ અમે આ સંસ્કરણને ખૂબ જ ઝડપથી નકારી કાઢ્યું હતું) અને ઝડપથી ઉકેલ શોધવા માટે શક્ય તેટલું બધું કરવાનું વચન આપ્યું હતું. . કેટલાક લોકો સમસ્યાની અવગણના કરે છે અને ક્લાયન્ટને તેમની જાતે જ પોતાને સુરક્ષિત રાખવા માટે સલાહ આપે છે (કનેક્શન પોર્ટ બદલો, સર્વરને ખાનગી નેટવર્કમાં છુપાવો, વગેરે). અને પહેલા જ દિવસે, અમે માત્ર આ સમસ્યાનું નિરાકરણ કર્યું નથી, પરંતુ અમે વિકસાવવાની યોજના બનાવીએ છીએ તે વધુ વૈશ્વિક જોખમ શોધ પ્રણાલી માટે પણ કેટલાક પાયાનું નિર્માણ કર્યું છે.
ગ્રાહકો અને ભાગીદારોનો ખાસ આભાર કે જેઓ શાંત ન રહ્યા અને એક દિવસ દુશ્મનના શબની સાથે તરતા રહેવાની રાહ જોતા નદી કિનારે બેઠા ન હતા, પરંતુ તરત જ આ સમસ્યા તરફ અમારું ધ્યાન દોર્યું, જેણે અમને દૂર કરવાની તક આપી. તે જ દિવસે.
સોર્સ: www.habr.com