Við skulum segja þér flotta sögu um hvernig „þriðju aðilar“ reyndu að trufla vinnu viðskiptavina okkar og hvernig þetta vandamál var leyst.
Hvernig þetta byrjaði allt saman
Þetta byrjaði allt að morgni 31. október, síðasta dag mánaðarins, þegar margir þurfa sárlega að hafa tíma til að leysa brýn og mikilvæg mál.
Einn samstarfsaðilanna, sem geymir nokkrar sýndarvélar viðskiptavinanna sem hann þjónar í skýinu okkar, tilkynnti að frá 9:10 til 9:20 hafi nokkrir Windows netþjónar sem keyrðu á úkraínsku síðunni okkar samþykktu ekki tengingar við fjaraðgangsþjónustuna, notendur gátu ekki að skrá sig inn á skjáborðið sitt, en eftir nokkrar mínútur virtist vandamálið vera að leysast af sjálfu sér.
Við tókum upp tölfræði um rekstur samskiptaleiða en fundum engar umferðarupphlaup eða bilanir. Við skoðuðum tölfræðina um álag á tölvuauðlindir - engin frávik. Og hvað var það?
Þá tilkynnti annar samstarfsaðili, sem hýsir um hundrað netþjóna í viðbót í skýinu okkar, sömu vandamál og sumir viðskiptavinir þeirra bentu á, og það kom í ljós að almennt voru netþjónarnir aðgengilegir (svöruðu rétt við ping prófinu og öðrum beiðnum), en fjaraðgangur þjónustunnar á þessum netþjónum annað hvort tekur við nýjum tengingum eða hafnar þeim, og við vorum að tala um netþjóna á mismunandi stöðum þar sem umferðin kemur frá mismunandi gagnaflutningsleiðum.
Lítum á þessa umferð. Pakki með tengingarbeiðni kemur á netþjóninn:
xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
Miðlarinn fær þennan pakka, en hafnar tengingunni:
xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0
Þetta þýðir að vandamálið stafar greinilega ekki af neinum vandamálum í rekstri innviðanna heldur af einhverju öðru. Kannski eiga allir notendur í vandræðum með leyfisveitingu fyrir fjarskrifborð? Kannski tókst einhvers konar spilliforrit að komast inn í kerfi þeirra og í dag var það virkjað, eins og það var með fyrir nokkrum árum síðan XData и Petya?
Á meðan við vorum að redda þessu fengum við svipaðar beiðnir frá fleiri viðskiptavinum og samstarfsaðilum.
Hvað gerist eiginlega á þessum vélum?
Atburðaskrárnar eru fullar af skilaboðum um tilraunir til að giska á lykilorðið:
Venjulega eru slíkar tilraunir skráðar á alla netþjóna þar sem staðlað tengi (3389) er notað fyrir fjaraðgangsþjónustuna og aðgangur er leyfður alls staðar að. Netið er fullt af vélmennum sem skanna stöðugt alla tiltæka tengipunkta og reyna að giska á lykilorðið (þess vegna mælum við eindregið með því að nota flókin lykilorð í stað „123“). Hins vegar var ákafan í þessum tilraunum um daginn of mikil.
Hvernig á að halda áfram?
Mæli með því að viðskiptavinir eyði miklum tíma í að breyta stillingum fyrir mikinn fjölda notenda til að skipta yfir í aðra höfn? Ekki góð hugmynd, viðskiptavinir verða ekki ánægðir. Mæli með að leyfa aðeins aðgang í gegnum VPN? Í flýti og læti, að hækka IPSec tengingar fyrir þá sem ekki hafa þau upp - kannski brosir slík hamingja ekki heldur til viðskiptavina. Þó ég verð að segja að þetta sé guðdómlegur hlutur í öllum tilvikum, þá mælum við alltaf með því að fela þjóninn í einkaneti og eru tilbúnir til að hjálpa með stillingarnar, og fyrir þá sem vilja finna út úr því sjálfir, deilum við leiðbeiningum til að setja upp IPSec/L2TP í skýinu okkar í site-to-site eða road mode -warrior, og ef einhver vill setja upp VPN þjónustu á eigin Windows netþjóni eru þeir alltaf tilbúnir til að deila ráðleggingum um hvernig eigi að setja upp staðlað RAS eða OpenVPN. En, sama hversu flott við vorum, þá var þetta ekki besti tíminn til að sinna fræðslustarfi meðal viðskiptavina, þar sem við þurftum að laga vandamálið eins fljótt og auðið var með lágmarks álagi fyrir notendur.
Lausnin sem við innleiddum var eftirfarandi. Við höfum sett upp greiningu á umferðarumferð á þann hátt að fylgjast með öllum tilraunum til að koma á TCP tengingu við port 3389 og velja úr henni heimilisföng sem, innan 150 sekúndna, reyna að koma á tengingum við fleiri en 16 mismunandi netþjóna á netinu okkar - þetta eru uppsprettur árásarinnar (Auðvitað, ef einn af viðskiptavinum eða samstarfsaðilum hefur raunverulega þörf fyrir að koma á tengingum við svo marga netþjóna frá sama uppruna, geturðu alltaf bætt slíkum heimildum við "hvíta listann." Þar að auki, ef fleiri en 150 netföng eru auðkennd í einu C-kerfi í þessar 32 sekúndur, þá er skynsamlegt að loka fyrir allt netið. Lokunin er stillt á 3 daga og ef á þessum tíma voru engar árásir gerðar frá tilteknum uppruna, þessi heimild er sjálfkrafa fjarlægð af „svarta listanum.“ Listinn yfir lokaðar heimildir er uppfærður á 300 sekúndna fresti.
Þessi listi er fáanlegur á þessu heimilisfangi: , þú getur byggt upp ACL þín út frá því.
Við erum tilbúin til að deila frumkóða slíks kerfis; það er ekkert of flókið í því (þetta eru nokkur einföld skriftur sem eru sett saman á bókstaflega nokkrum klukkustundum á hnjánum), og á sama tíma er hægt að aðlaga það og nota ekki aðeins til að verjast slíkri árás, en einnig til að greina og hindra allar tilraunir til að skanna netið:
Að auki höfum við gert nokkrar breytingar á stillingum eftirlitskerfisins, sem fylgist nú betur með viðbrögðum stjórnhóps sýndarþjóna í skýinu okkar við tilraun til að koma á RDP tengingu: ef viðbrögðin fylgja ekki innan í öðru lagi er þetta ástæða til að gefa gaum.
Lausnin reyndist vera mjög áhrifarík: það eru ekki fleiri kvartanir frá bæði viðskiptavinum og samstarfsaðilum og frá eftirlitskerfinu. Ný heimilisföng og heil netkerfi bætast reglulega á svarta listann, sem gefur til kynna að árásin haldi áfram, en hafi ekki lengur áhrif á vinnu viðskiptavina okkar.
Það er öryggi í tölum
Í dag komumst við að því að aðrir rekstraraðilar hafa lent í svipuðu vandamáli. Einhver trúir því enn að Microsoft hafi gert einhverjar breytingar á kóða fjaraðgangsþjónustunnar (ef þú manst, grunaði okkur það sama á fyrsta degi, en við höfnuðum mjög fljótt þessari útgáfu) og lofar að gera allt sem unnt er til að finna lausn fljótt . Sumir hunsa einfaldlega vandamálið og ráðleggja viðskiptavinum að vernda sig á eigin spýtur (skipta um tengigátt, fela netþjóninn í einkaneti osfrv.). Og strax á fyrsta degi leystum við ekki aðeins þetta vandamál heldur sköpuðum við líka grunn fyrir hnattrænnara ógnargreiningarkerfi sem við ætlum að þróa.
Sérstakar þakkir til viðskiptavina og samstarfsaðila sem þögðu ekki og sátu ekki á árbakkanum og biðu þess að lík óvinarins fljóti meðfram því einn daginn, en vöktu strax athygli okkar á vandamálinu sem gaf okkur tækifæri til að útrýma það sama dag.
Heimild: www.habr.com