Ny foibe fiarovana amin'ny cyber dia tompon'andraikitra amin'ny fiarovana ny fotodrafitrasa tranonkalan'ny mpanjifa ary misoroka ny fanafihana amin'ny tranokalan'ny mpanjifa. Mba hiarovana amin'ny fanafihana dia mampiasa FortiWeb Web Application Firewalls (WAFs) izahay. Saingy na ny WAF mangatsiaka indrindra aza dia tsy fanafody ary tsy miaro "tsy anaty boaty" amin'ny fanafihana lasibatra.
Noho izany, ankoatry ny WAF, dia mampiasa izahay . Manampy amin'ny fanangonana ny hetsika rehetra amin'ny toerana iray izy io, manangona antontan'isa, maka sary an-tsaina izany ary mamela antsika hahita fanafihana lasibatra ara-potoana.
Anio aho dia hilaza aminao amin'ny antsipiriany kokoa ny fomba niampitanay ny hazo krismasy niaraka tamin'ny WAF sy ny niaviany.
Ny tantaran'ny fanafihana iray: ny fomba nandehanan'ny zava-drehetra talohan'ny nifindrany tamin'ny ELK
Ao amin'ny rahonay, ny mpanjifa dia nametraka ny fampiharana ao ambadiky ny WAF anay. Avy amin'ny 10 ka hatramin'ny 000 ny mpampiasa mifandray amin'ny tranokala isan'andro, nahatratra 100 tapitrisa isan'andro ny isan'ny fifandraisana. Amin'ireo, mpampiasa 000-20 no niditra an-keriny ary nanandrana nijirika ilay tranokala.
Nosakanan'i FortiWeb mora foana ny hery mahery vaika avy amin'ny adiresy IP iray. Ny isan'ny hitsidika ny tranokala isa-minitra dia ambony noho ny an'ny mpampiasa ara-dalΓ na. Nametraka fetran'ny hetsika avy amin'ny adiresy iray fotsiny izahay ary nolavina ny fanafihana.
Sarotra kokoa ny miatrika ny "fanafihana miadana", rehefa mihetsika miadana ny mpanafika ary manafina ny tenany ho mpanjifa tsotra. Mampiasa adiresy IP miavaka maro izy ireo. Ny hetsika toy izany dia tsy toy ny hery mahery vaika amin'ny WAF, sarotra kokoa ny manara-maso azy ho azy. Ary nisy ihany koa ny mety hanakana ny mpampiasa mahazatra. Nitady famantarana hafa momba ny fanafihana izahay ary nanangana politika hanakanana ny adiresy IP ho azy mifototra amin'ity famantarana ity. Ohatra, fivoriana tsy ara-dalΓ na maro no nanana sehatra iraisana tao amin'ny lohatenin'ny fangatahana http. Matetika ianao no tsy maintsy nitady an-tΓ nana ireo saha toy izany tao amin'ny diarin'ny hetsika FortiWeb.
Naharitra ela sady tsy nahazo aina. Ao amin'ny fampiasa mahazatra an'ny FortiWeb, ny hetsika dia voarakitra an-tsoratra amin'ny diary 3 samy hafa: fanafihana hita, fampahalalana momba ny fangatahana ary hafatra momba ny rafitra momba ny fiasan'ny WAF. Ny hetsika fanafihana am-polony na an-jatony aza dia mety ho tonga ao anatin'ny iray minitra.
Tsy dia be loatra, fa tsy maintsy miakatra amin'ny tananao amin'ny alΓ lan'ny logs maromaro ianao ary mamerina andalana maro:
Ao amin'ny diarin'ny fanafihana, hitantsika ny adiresin'ny mpampiasa sy ny toetry ny hetsika.
Tsy ampy ny mijery fotsiny ny tabilao log. Mba hahitana ny tena mahaliana sy mahasoa momba ny toetry ny fanafihana, dia mila mijery ao anatin'ny hetsika manokana:
Ireo saha misongadina dia manampy amin'ny fahitana ny "fanafihana miadana". Source: pikantsary avy amin'ny .
Eny, ny olana lehibe dia ny manam-pahaizana manokana amin'ny FortiWeb ihany no afaka mamantatra izany. Raha mbola afaka manara-maso hetsika mampiahiahy amin'ny fotoana tena izy mandritra ny ora fiasana, dia mety hahemotra ny fanadihadiana momba ny zava-nitranga tamin'ny alina. Rehefa tsy nandeha ny politikan'ny FortiWeb noho ny antony iray, dia tsy afaka nanombantombana ny zava-misy ireo injeniera amin'ny fifindran'ny alina miasa raha tsy mahazo ny WAF ary namoha ny manam-pahaizana manokana FortiWeb. Nijery ny hazo izahay nandritra ny ora maromaro ary nahita ny fotoana nitrangan'ny fanafihana.
Miaraka amin'ny fampahalalana be dia be toy izany, dia sarotra ny mahazo ny sary lehibe amin'ny fijerena indray mandeha ary mihetsika am-pahavitrihana. Avy eo dia nanapa-kevitra ny hanangona angon-drakitra amin'ny toerana iray izahay mba handinihana ny zava-drehetra amin'ny endrika hita maso, hahitana ny fiandohan'ny fanafihana, hamantatra ny lalana sy ny fomba fanakanana azy.
Inona no nofidinao
Voalohany indrindra, nijery vahaolana efa ampiasaina izahay, mba tsy hampitombo ny orinasa tsy amin'antony.
Ny iray amin'ireo safidy voalohany dia Nagiosizay ampiasainay hanaraha-maso , , fanairana maika. Ampiasainβny mpitandro ny filaminana ihany koa izany mba hampandrenesana ny mpiasanβny fiara raha sendra misy fifamoivoizana mampiahiahy, saingy tsy hainy ny manangona hazo miparitaka ka tsy hita intsony.
Nisy safidy hanambatra ny zava-drehetra MySQL sy PostgreSQL na angon-drakitra mifandraika hafa. Fa mba hisintonana ny angon-drakitra, dia ilaina ny sculpt ny fampiharana.
Amin'ny maha mpanangona hazo ao amin'ny orinasanay dia ampiasain'izy ireo ihany koa FortiAnalyzer avy any Fortinet. Saingy amin'ity tranga ity dia tsy mety koa izy. Voalohany, maranitra kokoa ny miasa amin'ny firewall FortiGate. Faharoa, maro ny toe-javatra tsy hita, ary ny fifandraisana aminy dia mila fahalalana tsara momba ny fanontaniana SQL. Ary fahatelo, ny fampiasana azy dia hampitombo ny vidin'ny serivisy ho an'ny mpanjifa.
Toy izao no nahatongavantsika tamin'ny open source Elk.
Nahoana no mifidy ELK
ELK dia andiana programa open source:
- Elasticsearch - angon-drakitra misy andiam-potoana, izay vao noforonina mba hiasa amin'ny lahatsoratra marobe;
- logstash - rafitra fanangonam-baovao afaka mamadika ny diary amin'ny endrika tiana;
- kibana - mpijery tsara tarehy, ary koa interface tsara ho an'ny fitantanana Elasticsearch. Azonao atao ny mampiasa azy io mba hananganana fandaharam-potoana izay azon'ireo injeniera adidy amin'ny alina.
Ny fe-potoana fidirana ho an'ny ELK dia ambany. Ny endri-javatra fototra rehetra dia maimaim-poana. Inona koa no ilaina amin'ny fahasambarana.
Ahoana no nampiarahanao izany rehetra izany tao anatin'ny rafitra iray?
Namorona indexes ary tsy namela afa-tsy ny fampahalalana ilaina. Nampidirinay tao amin'ny ELK daholo ny logs FortiWEB telo - ny vokatra dia index. Ireo dia rakitra miaraka amin'ny diary voaangona mandritra ny fe-potoana iray, ohatra, andro iray. Raha mijery azy ireo avy hatrany isika, dia ho hitantsika ny fihetsehan'ny fanafihana. Ho an'ny antsipiriany, mila "milatsaka" amin'ny fanafihana tsirairay ianao ary mijery sehatra manokana.
Tsapanay fa mila manangana ny fanaparitahana vaovao tsy voarafitra aloha izahay. Naka saha lava ho toy ny tady izahay, toy ny "Message" sy "URL", ary nozarainay mba hahazoana fampahalalana bebe kokoa momba ny fandraisana fanapahan-kevitra.
Ohatra, amin'ny fampiasana parsing, nesorinay misaraka ny toerana misy ny mpampiasa. Izany dia nanampy tamin'ny fanasongadinana avy hatrany ny fanafihana avy any ivelany amin'ny tranokala ho an'ny mpampiasa Rosiana. Tamin'ny fanakanana ny fifandraisana rehetra avy amin'ny firenena hafa, dia nampihena in-2 ny isan'ny fanafihana ary afaka niatrika mora foana ny fanafihana tao Rosia.
Rehefa avy namaky izy ireo dia nanomboka nitady izay vaovao hotehirizina sy hojerena. Tsy nety ny namela ny zava-drehetra tao anaty log: lehibe ny haben'ny index iray - 7 GB. Naharitra ela ny ELK nanodinana ny rakitra. Na izany aza, tsy ny fampahalalana rehetra no nahasoa. Nisy zavatra nadika ary naka toerana fanampiny - ilaina ny manatsara.
Tamin'ny voalohany, nijery fotsiny ny fanondroana izahay ary nanala hetsika tsy ilaina. Vao mainka nahasarotra sy lava kokoa noho ny miasa amin'ny logs ao amin'ny FortiWeb mihitsy izany. Ny hany tombony azo avy amin'ny "hazo Krismasy" amin'ity dingana ity dia ny nahafahako nijery sary an-tsaina nandritra ny fotoana maharitra tamin'ny efijery iray.
Tsy kivy izahay, nanohy nihinana ny cactus sy nianatra ny ELK ary nino fa ho afaka haka ny vaovao ilaina. Rehefa avy nanadio ny fanondroana izahay, dia nanomboka naka sary an-tsaina hoe inona izany. Noho izany dia tonga teo amin'ny dashboard lehibe izahay. Nandefa widgets izahay - amin'ny fomba fijery sy kanto, tena ΠLKa!
Naka ny fotoana nitrangan'ny fanafihana. Ankehitriny dia ilaina ny mahatakatra ny fomba fijery ny fiandohan'ny fanafihana eo amin'ny tabilao. Mba hamantarana izany dia nijery ny valintenin'ny mpizara tamin'ny mpampiasa izahay (kaody miverina). Liana tamin'ny valintenin'ny mpizara misy kaody toy izany izahay (rc):
Kaody (rc)
anarana
famaritana
0
Drop
Voasakana ny fangatahana amin'ny mpizara
200
Ok
Vita soa aman-tsara ny fangatahana
400
Fangatahana tsy mety
Fangatahana tsy mety
403
voarara
Nolavina ny fanomezan-dΓ lana
500
Olana amin'ny servera anatiny
Tsy misy serivisy
Raha nisy olona nanomboka nanafika ny tranokala dia niova ny tahan'ny kaody:
- Raha misy fangatahana diso kokoa miaraka amin'ny kaody 400, ary mitovy ny isan'ny fangatahana mahazatra amin'ny kaody 200, dia nisy olona nanandrana nijirika ilay tranokala.
- Raha toa ka nitombo ihany koa ny fangatahana miaraka amin'ny kaody 0, dia "nahita" ny fanafihana koa ny mpanao politika FortiWeb ary nampihatra sakana tamin'izany.
- Raha nitombo ny isan'ny hafatra misy kaody 500, dia tsy misy ny tranokala ho an'ireo adiresy IP ireo - karazana fanakanana ihany koa.
Tamin'ny volana fahatelo dia nanangana dashboard izahay hanaraha-maso ity hetsika ity.
Mba tsy hanaraha-maso ny zava-drehetra amin'ny tanana, dia nametraka ny fampidirana miaraka amin'i Nagios, izay nandinika ny ELK tamin'ny fotoana sasany. Raha voarakitra an-tsoratra ny zava-bitan'ny soatoavin'ny tokonam-baravarana amin'ny alΓ lan'ny kaody, dia nandefa fampahafantarana ho an'ny tompon'andraikitra momba ny asa mampiahiahy.
Taratasy 4 mitambatra ao amin'ny rafitra fanaraha-maso. Ankehitriny dia zava-dehibe ny mahita amin'ny grafika ny fotoana tsy voasakana ny fanafihana ary ilaina ny fitsabahan'ny injeniera. Amin'ny kisary 4 samy hafa dia manjavozavo ny masonay. Noho izany, nanambatra ny tabilao izahay ary nanomboka nandinika ny zava-drehetra tamin'ny efijery iray.
Tamin'ny fanaraha-maso dia nijery ny fiovan'ny sary misy loko samihafa izahay. Ny fipoahana mena dia manondro fa nanomboka ny fanafihana, raha ny sary voasary sy manga kosa dia mampiseho ny fihetsik'i FortiWeb:
Tsara ny zava-drehetra eto: nisy firongatry ny hetsika "mena", saingy niatrika ny FortiWeb ary tonga tsinontsinona ny fandaharam-potoana fanafihana.
Nanao sary ho an'ny tenantsika ihany koa izahay amin'ny grafika iray izay mitaky fitsabahana:
Hitantsika eto fa nampitombo ny hetsika ny FortiWeb, saingy tsy nihena ny kisary fanafihana mena. Mila manova ny toe-javatra WAF ianao.
Lasa mora kokoa ihany koa ny fanadihadiana ny zava-nitranga taminβny alina. Ny tabilao dia mampiseho avy hatrany ny fotoana hahatongavana amin'ny fiarovana ny tranokala.
Izany no mitranga indraindray amin'ny alina. Saripika mena - nanomboka ny fanafihana. Blue - hetsika FortiWeb. Tsy voasakana tanteraka ny fanafihana, ka voatery niditra an-tsehatra aho.
Ho aiza isika
Ankehitriny dia manofana mpitantana adidy hiara-miasa amin'ny ELK izahay. Mianatra manombantombana ny toe-draharaha eo amin'ny solaitrabe ny mpanatrika ary mandray fanapahan-kevitra: tonga ny fotoana hikarohana amin'ny manam-pahaizana manokana amin'ny FortiWeb, na ny politika ao amin'ny WAF dia ho ampy hanalana ho azy ny fanafihana. Izany no fomba fampihenana ny enta-mavesatry ny injeniera amin'ny fiarovana amin'ny alina ary mizara ny andraikitry ny fanohanana eo amin'ny sehatry ny rafitra. Ny fidirana amin'ny FortiWeb dia tsy mijanona afa-tsy amin'ny foibe fiarovana an-tserasera, ary izy ireo ihany no manao fanovana amin'ny toe-javatra WAF rehefa ilaina maika.
Miasa amin'ny tatitra momba ny mpanjifa ihany koa izahay. Mikasa izahay fa ho hita ao amin'ny kaontin'ny mpanjifa ny angon-drakitra momba ny dinamikan'ny asa WAF. Ny ELK dia hanazava ny toe-javatra tsy mila miantso ny WAF mihitsy.
Raha te hanara-maso ny fiarovany manokana amin'ny fotoana tena izy ny mpanjifa, dia ho azo ampiasaina ihany koa ny ELK. Tsy afaka manome fahafahana miditra amin'ny WAF izahay, satria mety hisy fiantraikany amin'ny ambiny ny fitsabahan'ny mpanjifa amin'ny asa. Saingy afaka maka ELK mitokana ianao ary omenao "milalao".
Ireo no scenario amin'ny fampiasana ny hazo krismasy izay nangonintsika tato ho ato. Zarao ny hevitrao momba izany ary aza adino mba hisorohana ny fiparitahan'ny database.
Source: www.habr.com