Ispričajmo vam jednu cool priču o tome kako su se "treće strane" pokušale umiješati u rad naših klijenata i kako je taj problem riješen.
Kako je sve počelo
Sve je počelo ujutro 31. listopada, posljednjeg dana u mjesecu, kada je mnogima prijeko potrebno vrijeme za rješavanje hitnih i važnih pitanja.
Jedan od partnera, koji drži nekoliko virtualnih strojeva klijenata koje opslužuje u našem oblaku, izvijestio je da od 9:10 do 9:20 nekoliko Windows poslužitelja koji rade na našoj ukrajinskoj stranici nije prihvaćalo veze s uslugom daljinskog pristupa, korisnici nisu mogli da se prijave na svoje radne površine, ali nakon nekoliko minuta činilo se da se problem riješio sam od sebe.
Podigli smo statistiku o radu komunikacijskih kanala, ali nismo pronašli skokove ili kvarove u prometu. Pogledali smo statistiku opterećenja računalnih resursa - nema anomalija. I što je to bilo?
Zatim je drugi partner, koji u našem oblaku ima još stotinjak poslužitelja, prijavio iste probleme koje su zamijetili neki od njihovih klijenata, te se pokazalo da su općenito poslužitelji bili pristupačni (ispravno su odgovarali na ping test i druge zahtjeve), ali usluga udaljenog pristupa na tim poslužiteljima ili prihvaća nove veze ili ih odbija, a govorili smo o poslužiteljima na različitim stranicama, na koje promet dolazi iz različitih kanala prijenosa podataka.
Pogledajmo ovaj promet. Paket sa zahtjevom za povezivanjem stiže na poslužitelj:
xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
Poslužitelj prima ovaj paket, ali odbija vezu:
xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0
To znači da problem očito nije uzrokovan problemima u radu infrastrukture, već nečim drugim. Možda svi korisnici imaju problema s licenciranjem udaljene radne površine? Možda im je neki malware uspio ući u sustave, pa se danas aktivirao, kao i prije par godina XData и Petya?
Dok smo to rješavali, dobili smo slične zahtjeve od još nekoliko klijenata i partnera.
Što se zapravo događa na tim strojevima?
Dnevnici događaja puni su poruka o pokušajima pogađanja lozinke:
Obično se takvi pokušaji bilježe na svim poslužiteljima gdje se standardni port (3389) koristi za uslugu daljinskog pristupa i pristup je dopušten sa svih strana. Internet je prepun robota koji neprestano skeniraju sve dostupne točke povezivanja i pokušavaju pogoditi lozinku (zbog toga preporučujemo korištenje složenih lozinki umjesto "123"). Međutim, intenzitet tih pokušaja toga dana bio je prevelik.
Kako nastaviti?
Preporučate da korisnici provode puno vremena mijenjajući postavke za veliki broj krajnjih korisnika kako bi se prebacili na drugi priključak? Nije dobra ideja, kupci neće biti zadovoljni. Preporučate dopuštanje pristupa samo putem VPN-a? U žurbi i panici dizati IPSec veze za one koji ih nemaju dignute - možda se takva sreća ne smiješi ni klijentima. Iako je to, moram reći, božanstvena stvar u svakom slučaju, uvijek preporučamo skrivanje poslužitelja u privatnoj mreži i spremni smo pomoći s postavkama, a za one koji to vole sami shvatiti dijelimo upute za postavljanje IPSec/L2TP u našem oblaku u site-to-site ili cestovnom načinu -warrior, a ako netko želi postaviti VPN uslugu na vlastitom Windows poslužitelju, uvijek je spreman podijeliti savjete o tome kako postaviti standardni RAS ili OpenVPN. No, koliko god mi bili cool, ovo nije bio najbolji trenutak za edukaciju klijenata, jer smo problem trebali riješiti što je moguće brže uz minimalan stres za korisnike.
Rješenje koje smo implementirali bilo je sljedeće. Postavili smo analizu prolaznog prometa na način da pratimo sve pokušaje uspostave TCP veze na port 3389 i iz nje odabiremo adrese koje unutar 150 sekundi pokušavaju uspostaviti vezu s više od 16 različitih poslužitelja na našoj mreži - ovo su izvori napada (Naravno, ako netko od klijenata ili partnera ima stvarnu potrebu za uspostavljanjem veze s tolikim brojem poslužitelja iz istog izvora, takve izvore uvijek možete dodati na “bijelu listu”. Štoviše, ako se u jednoj mreži klase C za tih 150 sekundi identificira više od 32 adrese, ima smisla blokirati cijelu mrežu. Blokada je postavljena na 3 dana, a ako za to vrijeme nije izvršen napad s određenog izvora, ovaj se izvor automatski uklanja s "crne liste". Popis blokiranih izvora ažurira se svakih 300 sekundi.
Ovaj popis je dostupan na ovoj adresi: , možete izgraditi svoje ACL-ove na temelju njega.
Spremni smo podijeliti izvorni kod takvog sustava; u njemu nema ništa pretjerano složeno (radi se o nekoliko jednostavnih skripti sastavljenih u doslovno nekoliko sati na koljenu), a istovremeno se može prilagoditi i koristiti ne samo za zaštitu od takvog napada, ali i za otkrivanje i blokiranje svih pokušaja skeniranja mreže:
Osim toga, unijeli smo neke promjene u postavke nadzornog sustava, koji sada pomnije prati reakciju kontrolne grupe virtualnih poslužitelja u našem oblaku na pokušaj uspostavljanja RDP veze: ako reakcija ne uslijedi unutar drugo, ovo je razlog za pozornost.
Rješenje se pokazalo prilično učinkovitim: više nema pritužbi ni od strane klijenata ni od partnera, ni od sustava nadzora. Nove adrese i cijele mreže redovito se dodaju na crnu listu, što ukazuje da se napad nastavlja, ali više ne utječe na rad naših klijenata.
Sigurnost je u brojevima
Danas smo saznali da su se i drugi operateri susreli sa sličnim problemom. Netko još uvijek vjeruje da je Microsoft napravio neke promjene u kodu usluge daljinskog pristupa (ako se sjećate, sumnjali smo na istu stvar prvog dana, ali smo vrlo brzo odbacili ovu verziju) i obećava da će učiniti sve da se brzo pronađe rješenje . Neki ljudi jednostavno ignoriraju problem i savjetuju klijentima da se sami zaštite (promijene priključak za vezu, sakriju poslužitelj u privatnoj mreži i tako dalje). I već prvog dana ne samo da smo riješili ovaj problem, već smo i stvorili temelje za globalniji sustav otkrivanja prijetnji, koji planiramo razviti.
Posebno hvala klijentima i partnerima koji nisu šutjeli i nisu sjedili na obali rijeke čekajući da njome jednog dana ispliva leš neprijatelja, već su nam odmah skrenuli pozornost na problem, što nam je dalo priliku da otklonimo to istog dana.
Izvor: www.habr.com