Биздин киберкоргонуу борбору кардарлардын веб-инфраструктурасынын коопсуздугуна жооп берет жана кардар сайттарына чабуулдардын мизин кайтарат. Кол салуулардан коргоо үчүн FortiWeb веб-тиркеме брандмауэрлерин (WAF) колдонобуз. Бирок эң сонун WAF да панацея эмес жана максаттуу чабуулдардан коргой албайт.
Ошондуктан, WAF кошумча биз колдонобуз . Бул бардык окуяларды бир жерге чогултууга жардам берет, статистиканы чогултат, аларды визуализациялайт жана максаттуу чабуулду өз убагында көрүүгө мүмкүнчүлүк берет.
Бүгүн мен WAF менен "Рождество" багын кантип кесип өткөнбүз жана андан эмне чыкканын кененирээк айтып берем.
Бир чабуулдун окуясы: ELKке өткөнгө чейин баары кантип иштеген
Кардардын биздин WAF артындагы булутубузда орнотулган колдонмосу бар. Сайтка күнүнө 10 000ден 100 000ге чейин колдонуучу кошулса, кошулгандардын саны күнүнө 20 миллионго жетти. Алардын ичинен 3-5 колдонуучу чабуулчулар болуп, сайтты бузуп кирүүгө аракет кылышкан.
FortiWeb бир IP даректен кадимки катаал күч формасын оңой эле бөгөттөп койду. Мүнөтүнө сайтка киргендердин саны мыйзамдуу колдонуучуларга караганда жогору болгон. Биз жөн гана бир даректен активдүүлүк босогосун коюп, чабуулдун мизин кайтардык.
Чабуулчулар жай аракеттенип, кадимки кардарлардын кейпин кийгенде, "жай чабуулдар" менен күрөшүү бир топ кыйыныраак. Алар көптөгөн уникалдуу IP даректерди колдонушат. Мындай иш-аракеттер WAF үчүн массалык катаал күч сыяктуу көрүнгөн жок; аны автоматтык түрдө көзөмөлдөө кыйыныраак. Кадимки колдонуучуларга бөгөт коюу коркунучу да бар болчу. Биз чабуулдун башка белгилерин издедик жана ушул белгинин негизинде IP даректерин автоматтык түрдө бөгөттөө саясатын конфигурацияладык. Мисалы, көптөгөн мыйзамсыз сеанстар HTTP сурамынын аталыштарында жалпы талааларга ээ болгон. Бул талааларды көбүнчө FortiWeb окуялар журналынан кол менен издөө керек болчу.
Бул узак жана ыңгайсыз болуп чыкты. Стандарттык FortiWeb функционалында окуялар 3 түрдүү журналда текстке жазылат: аныкталган чабуулдар, суроо-талап маалыматы жана WAF иши жөнүндө системалык билдирүүлөр. Ондогон, атүгүл жүздөгөн чабуул окуялары бир мүнөттө келиши мүмкүн.
Анчалык көп эмес, бирок сиз кол менен бир нече журналдарды басып өтүп, көптөгөн саптарды кайталашыңыз керек:
Кол салуу журналында биз колдонуучунун даректерин жана иш-аракеттин мүнөзүн көрөбүз.
Жөн гана журнал таблицасын сканерлөө жетишсиз. Чабуулдун мүнөзү жөнүндө эң кызыктуу жана пайдалуу маалыматты табуу үчүн белгилүү бир окуянын ичин карап чыгышыңыз керек:
Белгиленген талаалар "жай чабуулду" аныктоого жардам берет. Булак: скриншот .
Эң негизги маселе, муну FortiWeb адиси гана аныктай алат. Иш убактысында биз шектүү аракеттерди реалдуу убакыт режиминде көзөмөлдөй алганыбыз менен, түнкү инциденттерди иликтөө узакка созулушу мүмкүн. FortiWeb саясаты кандайдыр бир себептерден улам иштебей калганда, түнкү нөөмөттөгү нөөмөттөгү инженерлер WAFке кирбестен кырдаалга баа бере албай, FortiWeb адисин ойготушкан. Биз бир нече сааттык журналдарды карап чыгып, кол салуу учурун таптык.
Мындай көлөмдөгү маалымат менен бир караганда чоң сүрөттү түшүнүү жана активдүү аракеттенүү кыйын. Андан кийин биз бардыгын визуалдык түрдө талдоо, чабуулдун башталышын табуу, анын багытын жана бөгөт коюу ыкмасын аныктоо үчүн маалыматтарды бир жерде чогултууну чечтик.
Сиз эмнени тандадыңыз?
Биринчиден, биз объекттерди керексиз көбөйтпөө үчүн буга чейин колдонулган чечимдерди карап чыктык.
Биринчи варианттардын бири болгон Nagiosмониторинг жүргүзүү үчүн колдонобуз , , өзгөчө кырдаалдар жөнүндө эскертүүлөр. Күзөтчүлөр аны шектүү жол кыймылы болгондо нөөмөтчүлөргө кабарлоо үчүн да колдонушат, бирок ал чачылган дөңгөлөктөрдү кантип чогултууну билбейт, ошондуктан кереги жок.
Колдонуу менен бардыгын бириктирүү мүмкүнчүлүгү бар болчу MySQL жана PostgreSQL же башка реляциялык маалымат базасы. Бирок маалыматтарды чыгарып алуу үчүн, өзүңүздүн тиркемеңизди түзүшүңүз керек болчу.
Биздин компания дагы колдонот FortiAnalyzer Fortinetтен. Бирок бул учурда да туура келген жок. Биринчиден, ал брандмауэр менен иштөөгө көбүрөөк ылайыкташтырылган FortiGate. Экинчиден, көптөгөн орнотуулар жок болгон жана аны менен өз ара аракеттенүү үчүн SQL сурамдарын мыкты билүү талап кылынат. Үчүнчүдөн, аны колдонуу кардар үчүн кызматтын баасын жогорулатат.
Ошентип, биз ачык булак түрүндө келдик ELK.
Эмне үчүн ELK тандашат
ELK ачык булактуу программалардын жыйындысы:
- ElasticSearch – чоң көлөмдөгү тексттер менен иштөө үчүн атайын түзүлгөн убакыт серияларынын маалымат базасы;
- logstash – журналдарды керектүү форматка айландыра ала турган маалыматтарды чогултуу механизми;
- Кибана – жакшы визуализатор, ошондой эле Elasticsearchти башкаруу үчүн ыңгайлуу интерфейс. Аны нөөмөттөгү инженерлер түнкүсүн көзөмөлдөй турган графиктерди куруу үчүн колдоно аласыз.
ELKга кирүү босогосу төмөн. Бардык негизги функциялар акысыз. Бакыт үчүн дагы эмне керек?
Мунун баарын кантип бирдиктүү системага чогулттук?
Биз индекстерди түзүп, керектүү маалыматтарды гана калтырдык. Биз үч FortiWEB журналын тең ELKге жүктөгөнбүз жана натыйжа индекстер болду. Бул бир мезгил үчүн, мисалы, бир күн үчүн бардык чогултулган журналдар менен файлдар. Эгерде биз аларды дароо элестетсек, анда кол салуулардын динамикасын гана көрмөкпүз. чоо-жайын билүү үчүн, ар бир кол салууга "түшүп" жана белгилүү бир талааларды карап керек.
Биз адегенде структураланбаган маалыматты талдоону жолго салуу керек экенин түшүндүк. Биз "Кабар" жана "URL" сыяктуу саптар түрүндөгү узун талааларды алып, чечим кабыл алуу үчүн көбүрөөк маалымат алуу үчүн талдап чыктык.
Мисалы, талдоо аркылуу биз колдонуучунун жайгашкан жерин өзүнчө аныктадык. Бул орус колдонуучулары үчүн сайттарга чет өлкөдөн келген чабуулдарды дароо белгилөөгө жардам берди. Башка өлкөлөрдөн келген бардык байланыштарга бөгөт коюу менен биз чабуулдардын санын эки эсеге кыскарттык жана Россиянын ичиндеги чабуулдарды сабырдуулук менен чече алдык.
Талдоодон кийин биз кандай маалыматты сактоону жана визуалдаштырууну издей баштадык. Журналга баарын калтыруу мүмкүн эмес болчу: бир индекстин көлөмү чоң болгон - 7 ГБ. ELK файлды иштетүүгө көп убакытты талап кылды. Бирок, бардык маалымат пайдалуу болгон эмес. Бир нерсе кайталанып, кошумча орун ээледи - аны оптималдаштыруу керек болчу.
Башында биз жөн гана индексти сканерлеп, керексиз окуяларды алып салдык. Бул FortiWebдин өзүндө журналдар менен иштөөдөн да ыңгайсыз жана узак болуп чыкты. Бул этапта "Рождествонун" бирден-бир артыкчылыгы - биз бир экранда чоң убакытты элестете алдык.
Биз үмүтүбүздү үзгөн жокпуз, кактус жей бердик, ELKти изилдеп, керектүү маалыматты ала алабыз деп ишендик. Индекстерди тазалагандан кийин бизде эмне бар экенин элестете баштадык. Мына ошентип биз чоң панелдерге келдик. Биз кээ бир виджеттерди сынап көрдүк - визуалдык жана көрктүү, чыныгы Рождество дарагы!
Кол салуу учуру жазылып алынган. Эми биз чабуулдун башталышы графикте кандай болорун түшүнүшүбүз керек болчу. Аны аныктоо үчүн биз сервердин колдонуучуга берген жоопторун карап чыктык (кайтаруучу коддор). Бизди сервердин төмөнкү коддору менен жооптору кызыктырды (rc):
Код (rc)
ысым
баяндоо
0
DROP
Серверге кайрылуу бөгөттөлгөн
200
Ok
Сурам ийгиликтүү иштетилди
400
Жаман өтүнүч
Жараксыз өтүнүч
403
тыюу салынган
Уруксат берүү четке кагылды
500
Сервердин ички катасы
Кызмат жеткиликсиз
Эгер кимдир бирөө сайтка чабуул жасай баштаса, коддордун катышы өзгөрдү:
- Эгерде 400 коду менен каталуу суроо-талаптар көп болсо, бирок 200 коду бар кадимки суроо-талаптардын саны бирдей бойдон калса, бул кимдир бирөө сайтты бузуп кирүүгө аракет кылганын билдирет.
- Эгерде ошол эле учурда 0 коду бар суроо-талаптар көбөйсө, анда FortiWeb саясатчылары да чабуулду "көрүп", ага блокторду колдонушкан.
- Эгерде 500 коду бар билдирүүлөрдүн саны көбөйсө, бул сайт бул IP даректер үчүн жеткиликтүү эмес дегенди билдирет - ошондой эле бөгөттөөнүн бир түрү.
Үчүнчү айда биз мындай активдүүлүккө көз салуу үчүн башкаруу тактасын орноттук.
Баарын кол менен көзөмөлдөбөш үчүн, биз Nagios менен интеграцияны орноттук, ал ELKти белгилүү бир аралыкта сурамжылоо жүргүзгөн. Эгерде мен коддор менен жеткен чектик маанилерди байкасам, мен нөөмөт кызматкерлерине шектүү иш-аракеттер жөнүндө билдирүү жөнөттүм.
Мониторинг системасында бириктирилген 4 графика. Эми кол салуу бөгөттөлбөгөн жана инженердин кийлигишүүсү зарыл болгон учурду графиктерден көрүү маанилүү болчу. 4 башка диаграммада биздин көзүбүз бүдөмүк. Ошондуктан, биз диаграммаларды бириктирип, баарын бир экрандан көзөмөлдөй баштадык.
Мониторингдин жүрүшүндө биз түрдүү түстөгү графиктердин кандайча өзгөргөнүн көрдүк. Кызыл чачыратуу чабуул башталганын көрсөттү, ал эми кызгылт сары жана көк түстөгү графиктер FortiWebдин жообун көрсөттү:
Бул жерде баары жакшы: "кызыл" активдүүлүк күчөдү, бирок FortiWeb аны жеңип, чабуулдун графиги жокко эсе.
Биз ошондой эле кийлигишүүнү талап кылган графиктин мисалын өзүбүзгө тарттык:
Бул жерде биз FortiWeb активдүүлүгүн жогорулатканын көрөбүз, бирок кызыл чабуул графиги азайган жок. WAF жөндөөлөрүңүздү өзгөртүшүңүз керек.
Түнкү окуяларды иликтөө да жеңилдеди. График дароо сайтты коргоого келген учурду көрсөтөт.
Кээде түн ичинде ушундай болот. Кызыл график – чабуул башталды. Көк – FortiWeb ишмердүүлүгү. Чабуул толук тосулган жок, ошондуктан мен кийлигишүүгө туура келди.
Биз кайда баратабыз?
Учурда биз дежур администраторлорун ELK менен иштөөгө үйрөтүп жатабыз. Нөөмөттө тургандар тактайдагы кырдаалга баа берүүнү жана чечим чыгарууну үйрөнүшөт: FortiWeb адисине кайрылууга убакыт келди, же WAFдагы саясат чабуулду автоматтык түрдө кайтарууга жетиштүү. Ошентип, биз түн ичинде маалыматтык коопсуздук инженерлеринин жүгүн азайтып, система деңгээлинде колдоо ролдорун бөлүштүрөбүз. FortiWeb кибер коргонуу борбору менен гана калат жана алар гана зарыл болгондо WAF жөндөөлөрүнө өзгөртүүлөрдү киргизет.
Биз ошондой эле кардарлар үчүн отчеттуулук боюнча иштеп жатабыз. WAF ишинин динамикасы боюнча маалыматтар кардардын жеке эсебинде болушун пландаштырып жатабыз. ELK WAF менен байланышпастан кырдаалды ачык-айкын кылат.
Эгерде кардар реалдуу убакыт режиминде алардын корголушун көзөмөлдөөнү кааласа, ELK да жардамга келет. Биз WAF мүмкүнчүлүгүн бере албайбыз, анткени кардарлардын ишке кийлигишүүсү башкаларга таасир этиши мүмкүн. Бирок сиз өзүнчө ELK алып, аны менен "ойного" бере аласыз.
Булар биз жакында топтогон "Рождество балыгын" колдонуунун сценарийлери. Бул маселе боюнча өз оюңуз менен бөлүшүңүз жана унутпаңыз маалымат базасынын агып кетишин болтурбоо үчүн.
Source: www.habr.com