Сізге «үшінші тараптардың» клиенттеріміздің жұмысына қалай кедергі келтіруге тырысқаны және бұл мәселенің қалай шешілгені туралы керемет әңгіме айтып берейік.
Бәрі қалай басталды
Мұның бәрі қазанның 31-і, айдың соңғы күні таңертең басталды, бұл кезде көптеген адамдар шұғыл және маңызды мәселелерді шешуге уақыт табу керек.
Біздің бұлтта қызмет көрсететін клиенттердің бірнеше виртуалды машиналарын сақтайтын серіктестердің бірі 9:10-дан 9:20-ға дейін біздің украиндық сайтымызда жұмыс істейтін бірнеше Windows серверлері қашықтан қол жеткізу қызметіне қосылымдарды қабылдамағанын, пайдаланушылар мүмкін болмағанын хабарлады. жұмыс үстеліне кіруге болады, бірақ бірнеше минуттан кейін мәселе өздігінен шешілгендей болды.
Біз байланыс арналарының жұмысы бойынша статистиканы көтердік, бірақ трафиктің көтерілуін немесе ақауларын таппадық. Біз есептеу ресурстарына жүктеме бойынша статистиканы қарадық - ауытқулар жоқ. Ал бұл не болды?
Содан кейін бұлтымызда тағы жүзге жуық серверлерді орналастыратын басқа серіктес олардың кейбір клиенттері атап өткен проблемалар туралы хабарлады және жалпы серверлер қол жетімді болды (пинг-тестіге және басқа сұрауларға дұрыс жауап береді), бірақ осы серверлердегі қашықтан қол жеткізу қызметі жаңа қосылымдарды қабылдайды немесе оларды қабылдамайды және біз трафик әртүрлі деректерді беру арналарынан келетін әртүрлі сайттардағы серверлер туралы айттық.
Мына трафикті қарастырайық. Қосылым сұрауы бар пакет серверге келеді:
xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
Сервер бұл пакетті алады, бірақ қосылымды қабылдамайды:
xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0
Бұл мәселе инфрақұрылымның жұмысындағы ақаулардан емес, басқа нәрседен туындайтыны анық. Мүмкін, барлық пайдаланушылар қашықтағы жұмыс үстелін лицензиялауда қиындықтарға тап болуы мүмкін бе? Мүмкін қандай да бір зиянды бағдарлама олардың жүйелеріне еніп үлгерді және бүгінде ол бірнеше жыл бұрынғыдай белсендірілді. XData и Петя?
Біз оны сұрыптап жатқанда, бізге тағы бірнеше клиенттер мен серіктестерден осындай сұраныстар түсті.
Бұл машиналарда шын мәнінде не болады?
Оқиғалар журналдары құпия сөзді табу әрекеттері туралы хабарламаларға толы:
Әдетте мұндай әрекеттер стандартты порт (3389) қашықтан қол жеткізу қызметі үшін пайдаланылатын және барлық жерден кіруге рұқсат етілген барлық серверлерде тіркеледі. Интернет барлық қолжетімді қосылым нүктелерін үнемі сканерлеп, құпия сөзді табуға тырысатын боттарға толы (сондықтан біз «123» орнына күрделі құпия сөздерді пайдалануды ұсынамыз). Алайда, сол күні бұл талпыныстардың қарқындылығы тым жоғары болды.
Не істеу керек?
Тұтынушылар басқа портқа ауысу үшін көптеген соңғы пайдаланушылар үшін параметрлерді өзгертуге көп уақыт жұмсауды ұсынасыз ба? Жақсы идея емес, тұтынушылар риза болмайды. Тек VPN арқылы кіруге рұқсат беруді ұсынасыз ба? Асығыс және дүрбелең, IPSec қосылымдарын көтермегендер үшін көтеру - мүмкін мұндай бақыт клиенттерді де күлдірмейтін шығар. Айта кету керек, бұл кез келген жағдайда құдайға ұнайтын нәрсе, біз әрқашан серверді жеке желіде жасыруға кеңес береміз және параметрлерге көмектесуге дайынбыз, ал оны өз бетінше анықтағысы келетіндер үшін біз нұсқаулармен бөлісеміз. сайттан сайтқа немесе жол режимінде бұлтымызда IPSec/L2TP орнату үшін -warrior және егер кез келген адам өзінің Windows серверінде VPN қызметін орнатқысы келсе, олар әрқашан желіні орнату туралы кеңестермен бөлісуге дайын. стандартты RAS немесе OpenVPN. Бірақ, біз қаншалықты салқын болсақ та, бұл клиенттер арасында ағарту жұмыстарын жүргізу үшін ең жақсы уақыт емес еді, өйткені біз пайдаланушылар үшін ең аз күйзеліспен мәселені мүмкіндігінше тезірек шешуіміз керек еді.
Біз іске асырған шешім келесідей болды. Біз 3389 портына TCP қосылымын орнатудың барлық әрекеттерін бақылайтын және оның ішінен 150 секунд ішінде желідегі 16-дан астам әртүрлі серверлермен байланыс орнатуға әрекет ететін мекенжайларды таңдайтындай трафиктің өту талдауын орнаттық. - бұл шабуылдың көздері (Әрине, егер клиенттердің немесе серіктестердің біреуі бір көзден сонша көп серверлермен байланыс орнатуға нақты қажеттілік болса, мұндай көздерді әрқашан «ақ тізімге» қосуға болады. Сонымен қатар, егер бір С класындағы желіде осы 150 секунд ішінде 32-ден астам мекенжай анықталса, бүкіл желіні бұғаттау мағынасы бар.Блоктау 3 күнге орнатылады және осы уақыт ішінде берілген көзден ешқандай шабуыл жасалмаса, бұл көз автоматты түрде «қара тізімнен» жойылады. Блокталған көздердің тізімі әр 300 секунд сайын жаңартылып отырады.
Бұл тізім мына мекенжайда қолжетімді: , оның негізінде ACL құра аласыз.
Біз мұндай жүйенің бастапқы кодын бөлісуге дайынбыз, онда тым күрделі ештеңе жоқ (бұл тізеде бірнеше сағат ішінде құрастырылған бірнеше қарапайым сценарийлер), сонымен бірге оны бейімдеуге және қолдануға болмайды. тек осындай шабуылдан қорғау үшін, сонымен қатар желіні сканерлеу әрекеттерін анықтау және блоктау үшін:
Бұған қоса, біз мониторинг жүйесінің параметрлеріне кейбір өзгерістер енгіздік, ол енді бұлттағы виртуалды серверлердің басқару тобының RDP қосылымын орнату әрекетіне реакциясын мұқият бақылайды: егер реакция бір уақытта орындалмаса. екіншіден, бұл назар аударуға себеп.
Шешім өте тиімді болып шықты: клиенттерден де, серіктестерден де, мониторинг жүйесінен де шағымдар жоқ. Қара тізімге жаңа мекенжайлар мен тұтас желілер үнемі қосылып отырады, бұл шабуылдың жалғасып жатқанын, бірақ бұдан былай біздің клиенттеріміздің жұмысына әсер етпейтінін көрсетеді.
Өрістің бірі - жауынгер емес
Бүгін біз басқа операторлардың осындай проблемаға тап болғанын білдік. Біреу әлі күнге дейін Microsoft корпорациясы қашықтан қол жеткізу қызметінің кодына кейбір өзгерістер енгізді деп санайды (егер есіңізде болса, біз бірінші күні осындай нәрсеге күдіктенген едік, бірақ біз бұл нұсқаны тез қабылдадық) және шешімді тез табу үшін қолдан келгеннің бәрін жасауға уәде береді. . Кейбір адамдар мәселені елемейді және клиенттерге өздерін қорғауға кеңес береді (қосылу портын өзгерту, серверді жеке желіде жасыру және т.б.). Алғашқы күні біз бұл мәселені шешіп қана қоймай, сонымен бірге біз әзірлеуді жоспарлап отырған жаһандық қауіптерді анықтау жүйесіне негіз жасадық.
Үнсіз қалмай, өзен жағасында жаудың мәйітін бір күні қалқып келе жатқанын күтіп отырмай, біздің назарымызды бірден жоюға мүмкіндік берген мәселеге аударған клиенттер мен серіктестерге ерекше алғыс айтамыз. сол күні.
Ақпарат көзі: www.habr.com