Navenda meya berevaniya sîber ji ewlehiya binesaziya webê ya xerîdaran berpirsiyar e û êrişên li ser malperên xerîdar radike. Em ji bo parastina li dijî êrîşan dîwarên serîlêdana webê ya FortiWeb (WAF) bikar tînin. Lê tewra WAF-a herî xweş jî ne dermanek e û ji qutiyê ji êrişên armanckirî naparêze.
Ji ber vê yekê, ji bilî WAF em bikar tînin . Ew ji berhevkirina hemî bûyeran li yek cîhek dibe alîkar, statîstîkan berhev dike, wan xuya dike û dihêle ku em di wextê de êrişek armanckirî bibînin.
Îro ez ê bi hûrgulî ji we re vebêjim ka me çawa "dara Krîsmisê" bi WAF re derbas kir û çi jê derket.
Çîroka yek êrîşê: Beriya derbasbûna ELK'ê çawa her tişt xebitî
Xerîdar serîlêdanek di ewra me de heye ku li pişt WAF-a me ye. Ji 10 heta 000 bikarhênerên ku her roj bi malperê ve girêdayî ne, hejmara pêwendiyan gihîştiye 100 mîlyon rojane. Ji van 000-20 bikarhêner êrîşkar bûn û hewl dan malperê hack bikin.
FortiWeb bi hêsanî forma hêza hovane ya ji yek navnîşana IP-yê asteng kir. Hejmara lêdanên di hûrdemê de li malperê ji yên bikarhênerên rewa zêdetir bû. Me tenê ji yek navnîşanek bendên çalakiyê destnîşan kir û êrîş paşve kişand.
Têkoşîna li dijî "êrîşên hêdî" pir dijwartir e, dema ku êrîşkar hêdî tevdigerin û xwe wek xerîdarên asayî vedişêrin. Ew gelek navnîşanên IP-ê yên bêhempa bikar tînin. Çalakiyek wusa ji WAF re mîna hêzek hovane ya mezin nedixuya; şopandina wê bixweber dijwartir bû. Metirsiya astengkirina bikarhênerên normal jî hebû. Me li nîşanên din ên êrîşê geriya û siyasetek mîheng kir ku li ser bingeha vê nîşanê bixweber navnîşanên IP-yê asteng bike. Mînakî, gelek danişînên neqanûnî di sernavên daxwaza HTTP de qadên hevpar hebûn. Van qadan pir caran neçar bûn ku bi destan di têketinên bûyera FortiWeb de werin lêgerîn.
Ew dirêj û nerehet derket. Di fonksiyona standard a FortiWeb de, bûyer di nivîsê de di 3 têketinên cihêreng de têne tomar kirin: Êrîşên tespîtkirî, agahdariya daxwaznameyê, û peyamên pergalê di derbarê operasyona WAF de. Bi dehan an jî bi sedan bûyerên êrîşê dikarin di deqîqeyek de bigihîjin.
Ne ewqas zêde, lê divê hûn bi destan di nav çend têketinan de derbas bibin û di nav gelek rêzan de dubare bikin:
Di têketina êrîşê de em navnîşanên bikarhêner û xwezaya çalakiyê dibînin.
Ne bes e ku meriv tabloya têketinê bi tenê bişopîne. Ji bo ku hûn agahdariya herî balkêş û kêrhatî di derbarê cewherê êrîşê de bibînin, hûn hewce ne ku li hundurê bûyerek taybetî bigerin:
Zeviyên ronîkirî ji bo tespîtkirina "êrîşek hêdî" dibe alîkar. Çavkanî: dîmenek ji .
Welê, pirsgirêka herî girîng ev e ku tenê pisporek FortiWeb dikare vê yekê fêhm bike. Dema ku di demjimêrên karsaziyê de me hîn jî dikaribû çalakiya gumanbar di wextê rast de bişopînin, lêpirsîna li ser bûyerên şevê dikare dirêjtir bibe. Dema ku polîtîkayên FortiWeb ji ber hin sedeman nexebitîn, endezyarên guheztina şevê yên li ser peywirê nekarîn bêyî gihîştina WAF-ê rewşê binirxînin û pisporê FortiWeb hişyar kirin. Me çend saetan li qeydan geriyan û me dema êrîşê dît.
Bi vî rengî agahdarî, dijwar e ku meriv di nihêrîna pêşîn de wêneya mezin fam bike û bi proaktîf tevbigere. Dûv re me biryar da ku em daneyan li cîhek berhev bikin da ku her tiştî bi rengek dîtbar analîz bikin, destpêka êrîşê bibînin, rê û rêbaza wê ya astengkirinê nas bikin.
Te ji çi hilbijart?
Berî her tiştî, me li çareseriyên ku jixwe têne bikar anîn mêze kir da ku nehewceyî saziyan zêde nekin.
Yek ji vebijarkên yekem bû Nagiosku em ji bo çavdêriyê bikar tînin , , di derbarê rewşên awarte de hişyar dike. Nobedarên ewlehiyê jî wê bikar tînin da ku di bûyera seyrûsefera gumanbar de efserên peywirê agahdar bikin, lê ew nizane ka çawa têlên belavbûyî berhev dike û ji ber vê yekê êdî hewce nake.
Vebijarkek hebû ku meriv her tiştî bi kar bîne MySQL û PostgreSQL an databasa pêwendiya din. Lê ji bo ku hûn daneyan derxînin, divê hûn serlêdana xwe biafirînin.
Pargîdaniya me jî bikar tîne FortiAnalyzer ji Fortinet. Lê di vê rewşê de jî bi cih nebû. Pêşîn, ew ji bo xebata bi dîwarê agir ve bêtir hatî çêkirin FortiGate. Ya duyemîn, gelek mîheng winda bûn, û pêwendiya bi wê re zanîna hêja ya pirsên SQL hewce dike. Û ya sêyemîn, karanîna wê dê lêçûna karûbarê ji bo xerîdar zêde bike.
Bi vî rengî em di forma çavkaniya vekirî de hatin ELK.
Çima ELK hilbijêrin
ELK komek bernameyên çavkaniya vekirî ye:
- Elasticsearch - databasek rêzikên demê, ku bi taybetî ji bo xebitandina cildên mezin ên nivîsê hatî çêkirin;
- Logstash - mekanîzmayek berhevkirina daneyan ku dikare têketin bi forma xwestî veguherîne;
- Kibana - dîtbarek baş, û her weha navbeynkarek pir heval ji bo birêvebirina Elasticsearch. Hûn dikarin wê bikar bînin da ku grafikên ku endezyarên peywirdar dikarin bi şev çavdêrî bikin ava bikin.
Bendavê ketina ELK'ê kêm e. Hemî taybetmendiyên bingehîn belaş in. Ji bo bextewariyê çi din hewce ye?
Çawa me ew hemû di nava sîstemeke yekbûyî de danî ser hev?
Me navnîşek çêkir û tenê agahdariya pêwîst hiştin. Me her sê têketinên FortiWEB li ELK bar kir û encam index bûn. Ev pelên bi hemî têketinên berhevkirî yên ji bo heyamekê ne, mînakî rojek. Ger me tavilê wan dîmen bikira, em ê tenê dînamîkên êrîşan bibînin. Ji bo hûrguliyan, hûn hewce ne ku "bikevin" her êrîşê û li qadên taybetî binihêrin.
Me fêm kir ku pêşî hewce ye ku em analîza agahdariya nesazkirî saz bikin. Me zeviyên dirêj di forma rêzan de, wek "Peyam" û "URL" girt û wan parz kir da ku ji bo biryargirtinê bêtir agahdarî bistînin.
Mînakî, parsing bikar tînin, me cîhê bikarhêner ji hev cuda nas kir. Vê yekê alîkarî da ku tavilê êrişên ji derve li ser malperên ji bo bikarhênerên rûsî were ronî kirin. Bi astengkirina hemû girêdanên ji welatên din re, me hejmara êrîşan bi nîvî kêm kir û karî bi aramî bi êrîşên li hundurê Rûsyayê re rûbirû bibin.
Piştî parskirinê, me dest pê kir ku li kîjan agahdariyê hilînin û xuyang bikin. Ne pratîk bû ku meriv her tiştî di rojnameyê de bihêle: mezinahiya yek nîşanek mezin bû - 7 GB. ELK'ê demek dirêj dosyayê bi dest xist. Lêbelê, ne hemî agahdarî bikêr bû. Tiştek dubare bû û cîhek zêde girt - pêdivî bû ku ew were xweşbîn kirin.
Di destpêkê de me bi tenê îndeks skenand û bûyerên nepêwîst rakirin. Ev derket holê ku ji xebata bi têketinên li ser FortiWeb bixwe jî nerehettir û dirêjtir bû. Di vê qonaxê de yekane avantaja "dara Krîsmisê" ev e ku me karîbû demek mezin li ser ekranek xuyang bikin.
Em bêhêvî nebûn, me kaktus xwarin, ELK lêkolîn kir û me bawer kir ku em ê karibin agahiyên pêwîst derxin. Piştî paqijkirina îndeksan, me dest bi dîtina tiştên ku me bûn kir. Bi vî rengî em gihîştin tabloyên mezin. Me hin widgetan ceriband - bi dîtbarî û xweşik, dara Sersalê ya rastîn!
Dema êrîşê hat qeydkirin. Naha hewce bû ku em fêm bikin ka destpêka êrîşê li ser grafîkê çawa xuya dike. Ji bo tespîtkirina wê, me li bersivên serverê ji bikarhêner re (kodên vegerê) mêze kir. Em bi bersivên serverê yên bi kodên jêrîn (rc) re eleqedar bûn:
Kod (rc)
Sernav
description
0
DILOPKIRIN
Daxwaza pêşkêşkarê tê asteng kirin
200
Ok
Daxwaz bi serkeftî hate pêvajo kirin
400
Daxwaza xirab
Daxwaza nederbasdar
403
Qedexekirî
Destûr red kirin
500
Xeletiya Navxweyî ya Navxweyî
Xizmet tune ye
Ger kesek dest pê kir ku êrîşî malperê bike, rêjeya kodan guherî:
- Ger bi koda 400-ê bêtir daxwazên xelet hebin, lê heman hejmara daxwazên normal ên bi koda 200-ê bimîne, ev tê vê wateyê ku kesek hewl dida ku malperê hack bike.
- Ger di heman demê de daxwazên bi koda 0 jî zêde bibin, wê hingê siyasetmedarên FortiWeb jî êrîş "dît" û blokan jê re sepandin.
- Ger hejmara peyamên bi koda 500 zêde bibe, ev tê vê wateyê ku malper ji bo van navnîşanên IP-yê tune ye - di heman demê de celebek astengkirinê ye.
Heya meha sêyem, me tabloyek damezrand da ku çalakiya weha bişopîne.
Ji bo ku em her tiştî bi destan neşopînin, me entegrasyonek bi Nagios re saz kir, ku di hin navberan de ELK anket kir. Ger min nirxên sînor ên ku ji hêla kodan ve hatî gihîştin tesbît kir, min ji efserên peywirdar re di derbarê çalakiya gumanbar de agahdariyek şand.
Di pergala çavdêriyê de 4 grafikên hevgirtî. Naha girîng bû ku li ser grafikan ew kêliya ku êrîş nehat asteng kirin û destwerdana endezyarek hewce bû were dîtin. Li ser 4 tabloyên cuda çavên me şîn bûn. Ji ber vê yekê, me nexşeyan berhev kir û dest bi şopandina her tiştî li ser yek ekranê kir.
Di dema çavdêriyê de, me temaşe kir ku çawa grafikên rengên cûda têne guhertin. Pişkek sor nîşan da ku êrîşê dest pê kiriye, di heman demê de grafikên porteqalî û şîn bersiva FortiWeb nîşan didin:
Li vir her tişt baş e: zêdebûnek çalakiya "sor" hebû, lê FortiWeb bi wê re rû bi rû ma û bernameya êrîşê vala derket.
Me jî ji bo xwe mînakek grafiyek ku destwerdanê hewce dike xêz kir:
Li vir em dibînin ku FortiWeb çalakî zêde kiriye, lê grafika êrîşa sor kêm nebûye. Pêdivî ye ku hûn mîhengên WAF-ê xwe biguherînin.
Lêpirsîna bûyerên şevê jî hêsantir bûye. Grafîk tavilê dema ku dema ku were parastina malperê nîşan dide.
Tiştê ku carinan bi şev diqewime ev e. Grafika sor - êrîşê dest pê kir. Blue - Çalakiya FortiWeb. Êrîş bi tevahî nehat astengkirin, ji ber vê yekê ez neçar bûm ku mudaxele bikim.
Em ber bi ku ve diçin?
Em niha ji bo bi ELK’ê re kar bikin rêveberên erkdar perwerde dikin. Yên ku peywirdar in fêr dibin ku rewşê li ser dashboardê binirxînin û biryarekê bidin: ew dem e ku meriv ji pisporek FortiWeb re zêde bibe, an jî polîtîkayên li ser WAF-ê bes in ku bixweber êrîşek paşde bixin. Bi vî rengî em barkirina li ser endezyarên ewlehiya agahdariyê bi şev kêm dikin û di asta pergalê de rolên piştgiriyê dabeş dikin. Gihîştina FortiWeb tenê bi navenda berevaniya sîber re dimîne, û tenê ew gava ku bêkêmasî hewce be di mîhengên WAF-ê de guhertinan dikin.
Em li ser raporkirina ji bo xerîdaran jî dixebitin. Em plan dikin ku daneyên li ser dînamîkên operasyona WAF dê di hesabê kesane yê xerîdar de peyda bibin. ELK bêyî ku bi WAF bixwe re têkilî dayne dê rewşê zelaltir bike.
Ger xerîdar bixwaze parastina xwe di wextê rast de bişopîne, ELK jî dê bikêr be. Em nekarin destwerdana WAF-ê bidin, ji ber ku destwerdana xerîdar di xebatê de dibe ku bandorê li yên din bike. Lê hûn dikarin ELK-ek cihêreng hildin û bidin ku pê re "lîstin".
Ev senaryoyên bikaranîna "dara Noelê" ya ku me di van demên dawî de berhev kiriye ne. Di vê mijarê de ramanên xwe parve bikin û ji bîr nekin da ku ji leaksên databasê dûr bikevin.
Source: www.habr.com