PastÄstÄ«sim forÅ”u stÄstu par to, kÄ "treÅ”Äs puses" mÄÄ£inÄja iejaukties mÅ«su klientu darbÄ un kÄ Å”Ä« problÄma tika atrisinÄta.
KÄ tas viss sÄkÄs
Viss sÄkÄs 31. oktobra rÄ«tÄ, mÄneÅ”a pÄdÄjÄ dienÄ, kad daudziem ļoti nepiecieÅ”ams laiks, lai atrisinÄtu steidzamus un svarÄ«gus jautÄjumus.
Viens no partneriem, kurÅ” mÅ«su mÄkonÄ« glabÄ vairÄkas viÅa apkalpoto klientu virtuÄlÄs maŔīnas, ziÅoja, ka no pulksten 9:10 lÄ«dz 9:20 vairÄki Windows serveri, kas darbojas mÅ«su Ukrainas vietnÄ, nepieÅÄma savienojumus ar attÄlÄs piekļuves pakalpojumu, lietotÄji nevarÄja lai pieteiktos savos galddatoros, taÄu pÄc dažÄm minÅ«tÄm problÄma, Ŕķiet, atrisinÄs pati no sevis.
PaaugstinÄjÄm statistiku par sakaru kanÄlu darbÄ«bu, taÄu nekonstatÄjÄm satiksmes pieaugumu vai kļūmes. ApskatÄ«jÄm statistiku par skaitļoÅ”anas resursu noslogojumu ā nekÄdu anomÄliju. Un kas tas bija?
Tad cits partneris, kurÅ” mÅ«su mÄkonÄ« mitina vÄl aptuveni simts serveru, ziÅoja par tÄm paÅ”Äm problÄmÄm, ko atzÄ«mÄja daži viÅu klienti, un izrÄdÄ«jÄs, ka kopumÄ serveri bija pieejami (pareizi reaÄ£Äjot uz ping testu un citiem pieprasÄ«jumiem), taÄu pakalpojumu attÄlinÄtÄ piekļuve Å”ajos serveros vai nu pieÅem jaunus savienojumus, vai tos noraida, un mÄs runÄjÄm par serveriem dažÄdÄs vietnÄs, kuru trafika nÄk no dažÄdiem datu pÄrraides kanÄliem.
xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
Serveris saÅem Å”o paketi, bet noraida savienojumu:
xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0
Tas nozÄ«mÄ, ka problÄmu nepÄrprotami rada nevis kÄdas problÄmas infrastruktÅ«ras darbÄ«bÄ, bet gan kas cits. VarbÅ«t visiem lietotÄjiem ir problÄmas ar attÄlÄs darbvirsmas licencÄÅ”anu? VarbÅ«t kÄda veida ļaunprogrammatÅ«ra spÄja iekļūt viÅu sistÄmÄs, un Å”odien tÄ tika aktivizÄta, tÄpat kÄ pirms pÄris gadiem XData Šø Petja?
KamÄr to kÄrtojÄm, saÅÄmÄm lÄ«dzÄ«gus pieprasÄ«jumus no vÄl vairÄkiem klientiem un partneriem.
Kas patiesÄ«bÄ notiek Å”ajÄs maŔīnÄs?
Notikumu žurnÄli ir pilni ar ziÅojumiem par mÄÄ£inÄjumiem uzminÄt paroli:
Parasti Å”Ädi mÄÄ£inÄjumi tiek reÄ£istrÄti visos serveros, kur attÄlÄs piekļuves pakalpojumam tiek izmantots standarta ports (3389) un piekļuve ir atļauta no jebkuras vietas. Internets ir pilns ar robotprogrammatÅ«ru, kas pastÄvÄ«gi skenÄ visus pieejamos savienojuma punktus un mÄÄ£ina uzminÄt paroli (tÄpÄc mÄs ļoti iesakÄm izmantot sarežģītas paroles, nevis ā123ā). TomÄr Å”o mÄÄ£inÄjumu intensitÄte tajÄ dienÄ bija pÄrÄk augsta.
KÄ turpinÄt?
Vai ieteikt klientiem pavadÄ«t daudz laika, mainot iestatÄ«jumus, lai liels skaits galalietotÄju pÄrslÄgtos uz citu portu? Nav laba ideja, klienti nebÅ«s apmierinÄti. Vai ieteikt atļaut piekļuvi tikai caur VPN? SteigÄ un panikÄ audzinot IPSec savienojumus tiem, kam tie nav audzinÄti - iespÄjams, tÄda laime nesmaida arÄ« klientiem. Lai gan, jÄsaka, tas jebkurÄ gadÄ«jumÄ ir dievbijÄ«ga lieta, mÄs vienmÄr iesakÄm paslÄpt serveri privÄtajÄ tÄ«klÄ un esam gatavi palÄ«dzÄt ar iestatÄ«jumiem, un tiem, kam patÄ«k to izdomÄt paÅ”iem, mÄs dalÄmies instrukcijÄs IPSec/L2TP iestatÄ«Å”anai mÅ«su mÄkonÄ« starp vietni vai ceļu režīmÄ -warrior, un, ja kÄds vÄlas iestatÄ«t VPN pakalpojumu savÄ Windows serverÄ«, viÅÅ” vienmÄr ir gatavs dalÄ«ties ar padomiem, kÄ iestatÄ«t standarta RAS vai OpenVPN. TaÄu, lai arÄ« cik forÅ”i mÄs bijÄm, Å”is nebija labÄkais laiks, lai veiktu izglÄ«tojoÅ”u darbu klientu vidÅ«, jo problÄma bija jÄnovÄrÅ” pÄc iespÄjas ÄtrÄk ar minimÄlu stresu lietotÄjiem.
RisinÄjums, ko ieviesÄm, bija Å”Äds. MÄs esam izveidojuÅ”i caurlaidÄ«gÄs trafika analÄ«zi tÄ, lai pÄrraudzÄ«tu visus mÄÄ£inÄjumus izveidot TCP savienojumu ar portu 3389 un atlasÄ«tu no tÄ adreses, kas 150 sekunžu laikÄ mÄÄ£ina izveidot savienojumus ar vairÄk nekÄ 16 dažÄdiem serveriem mÅ«su tÄ«klÄ. - tie ir uzbrukuma avoti (Protams, ja kÄdam no klientiem vai partneriem ir reÄla vajadzÄ«ba izveidot savienojumus ar tik daudziem serveriem no viena avota, jÅ«s vienmÄr varat pievienot Å”Ädus avotus ābaltajam sarakstamā. TurklÄt, ja vienÄ C klases tÄ«klÄ Å”ajÄs 150 sekundÄs tiek identificÄtas vairÄk nekÄ 32 adreses, ir jÄga bloÄ·Ät visu tÄ«klu. BloÄ·ÄÅ”ana tiek iestatÄ«ta uz 3 dienÄm, un, ja Å”ajÄ laikÄ netika veikts neviens uzbrukums no noteikta avota, Å”is avots tiek automÄtiski noÅemts no āmelnÄ sarakstaā. BloÄ·Äto avotu saraksts tiek atjauninÄts ik pÄc 300 sekundÄm.
Å is saraksts ir pieejams Å”ajÄ adresÄ:
MÄs esam gatavi dalÄ«ties ar Å”Ädas sistÄmas pirmkodu, tajÄ nav nekÄ pÄrÄk sarežģīta (tie ir vairÄki vienkÄrÅ”i skripti, kas apkopoti burtiski pÄris stundu laikÄ), un tajÄ paÅ”Ä laikÄ to var pielÄgot un izmantot ne. tikai, lai aizsargÄtu pret Å”Ädu uzbrukumu, bet arÄ« atklÄtu un bloÄ·Ätu visus mÄÄ£inÄjumus skenÄt tÄ«klu:
TurklÄt esam veikuÅ”i dažas izmaiÅas uzraudzÄ«bas sistÄmas iestatÄ«jumos, kas tagad stingrÄk uzrauga mÅ«su mÄkonÄ« esoÅ”o virtuÄlo serveru kontroles grupas reakciju uz mÄÄ£inÄjumu izveidot LAP savienojumu: ja reakcija neseko otrkÄrt, tas ir iemesls pievÄrst uzmanÄ«bu.
RisinÄjums izrÄdÄ«jÄs diezgan efektÄ«vs: vairs nav sÅ«dzÄ«bu ne no klientiem, ne partneriem, ne no uzraudzÄ«bas sistÄmas. Melnajam sarakstam regulÄri tiek pievienotas jaunas adreses un veseli tÄ«kli, kas norÄda, ka uzbrukums turpinÄs, bet vairs neietekmÄ mÅ«su klientu darbu.
DroŔība ir skaitļos
Å odien uzzinÄjÄm, ka citi operatori ir saskÄruÅ”ies ar lÄ«dzÄ«gu problÄmu. KÄds joprojÄm uzskata, ka Microsoft veica dažas izmaiÅas attÄlÄs piekļuves pakalpojuma kodÄ (ja atceraties, mums jau pirmajÄ dienÄ bija aizdomas par to paÅ”u, bet mÄs ļoti Ätri noraidÄ«jÄm Å”o versiju) un sola darÄ«t visu iespÄjamo, lai Ätri atrastu risinÄjumu. . Daži cilvÄki vienkÄrÅ”i ignorÄ problÄmu un iesaka klientiem paÅ”iem sevi aizsargÄt (mainÄ«t savienojuma portu, paslÄpt serveri privÄtajÄ tÄ«klÄ utt.). Un jau pirmajÄ dienÄ mÄs ne tikai atrisinÄjÄm Å”o problÄmu, bet arÄ« izveidojÄm pamatu globÄlÄkai draudu noteikÅ”anas sistÄmai, kuru plÄnojam izstrÄdÄt.
ÄŖpaÅ”s paldies klientiem un sadarbÄ«bas partneriem, kuri neklusÄja un nesÄdÄja upes krastÄ, gaidot, kad kÄdu dienu pa to uzpeldÄs ienaidnieka lÄ«Ä·is, bet gan uzreiz vÄrsa mÅ«su uzmanÄ«bu uz problÄmu, kas deva iespÄju novÄrst to tajÄ paÅ”Ä dienÄ.
Avots: www.habr.com