Ајде да ви раскажеме една кул приказна за тоа како „трети страни“ се обидоа да се мешаат во работата на нашите клиенти и како овој проблем беше решен.
Како сето тоа започна
Сè започна утрото на 31 октомври, последниот ден од месецот, кога на многумина очајно им треба време да ги решат итните и важни прашања.
Еден од партнерите, кој чува неколку виртуелни машини на клиентите што ги опслужува во нашиот облак, објави дека од 9:10 до 9:20 неколку сервери на Windows што работат на нашата украинска страница не прифаќале врски со услугата за далечински пристап, корисниците не можеле да се логираат на нивните десктоп компјутери, но по неколку минути се чинеше дека проблемот се реши сам.
Ја подигнавме статистиката за функционирањето на комуникациските канали, но не најдовме пренапони или дефекти во сообраќајот. Ја разгледавме статистиката за оптоварувањето на компјутерските ресурси - нема аномалии. И што беше тоа?
Потоа, друг партнер, кој е домаќин на уште стотина сервери во нашиот облак, ги пријави истите проблеми што ги забележаа некои од нивните клиенти, и се покажа дека генерално серверите биле достапни (правилно одговараат на тестот за пинг и други барања), но услугата далечински пристап на овие сервери или прифаќа нови конекции или ги одбива, а зборувавме за сервери на различни сајтови, сообраќајот до кој доаѓа од различни канали за пренос на податоци.
Ајде да го погледнеме овој сообраќај. Пакет со барање за поврзување пристигнува на серверот:
xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
Серверот го прима овој пакет, но ја отфрла врската:
xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0
Тоа значи дека проблемот очигледно не е предизвикан од некакви проблеми во работењето на инфраструктурата, туку од нешто друго. Можеби сите корисници имаат проблеми со лиценцирање на далечинска работна површина? Можеби некој вид на малициозен софтвер успеал да навлезе во нивните системи, а денес е активиран, како што беше пред неколку години XData и Петја?
Додека го средувавме, добивме слични барања од уште неколку клиенти и партнери.
Што всушност се случува на овие машини?
Дневниците на настани се полни со пораки за обиди да се погоди лозинката:
Вообичаено, таквите обиди се регистрираат на сите сервери каде стандардната порта (3389) се користи за услугата за далечински пристап и пристапот е дозволен од секаде. Интернетот е полн со ботови кои постојано ги скенираат сите достапни точки за поврзување и се обидуваат да ја погодат лозинката (ова е причината зошто силно препорачуваме да користите сложени лозинки наместо „123“). Сепак, интензитетот на овие обиди тој ден беше превисок.
Што треба да направам?
Препорачуваме клиентите да трошат многу време менувајќи ги поставките за огромен број крајни корисници да се префрлат на друга порта? Не е добра идеја, клиентите нема да бидат задоволни. Дали препорачувате да дозволите пристап само преку VPN? Во брзање и паника, подигање на IPSec конекции за оние кои ги немаат подигнато - можеби таквата среќа не им се насмевнува ниту на клиентите. Иако, морам да кажам, ова е побожна работа во секој случај, ние секогаш препорачуваме да го скриете серверот во приватна мрежа и сме подготвени да помогнеме со поставките, а за оние кои сакаат сами да го сфатат тоа, споделуваме упатства за поставување IPSec/L2TP во нашиот облак во режим од локација до локација или пат - Warrior, и ако некој сака да постави VPN услуга на сопствен Windows сервер, секогаш е подготвен да сподели совети за тоа како да поставите стандарден RAS или OpenVPN. Но, колку и да бевме кул, ова не беше најдобро време да се спроведе едукативна работа меѓу клиентите, бидејќи требаше да го решиме проблемот што е можно побрзо со минимален стрес за корисниците.
Решението што го имплементиравме беше следново. Поставивме анализа на проодниот сообраќај на таков начин што ќе ги следиме сите обиди за воспоставување TCP конекција со портата 3389 и од неа избираме адреси кои во рок од 150 секунди се обидуваат да воспостават врски со повеќе од 16 различни сервери на нашата мрежа - ова се изворите на нападот ( Се разбира, ако некој од клиентите или партнерите има реална потреба да воспостави врски со толку многу сервери од истиот извор, секогаш можете да додадете такви извори на „белата листа“. ако во една мрежа од класа C за овие 150 секунди се идентификуваат повеќе од 32 адреси, има смисла да се блокира целата мрежа. Блокирањето е поставено на 3 дена и ако за тоа време не биле извршени напади од даден извор, овој извор автоматски се отстранува од „црната листа“. Списокот на блокирани извори се ажурира на секои 300 секунди.
Оваа листа е достапна на оваа адреса: , можете да ги изградите вашите ACL врз основа на тоа.
Подготвени сме да го споделиме изворниот код на таков систем; нема ништо претерано сложено во него (ова се неколку едноставни скрипти составени буквално за неколку часа на колена), а во исто време може да се прилагоди и да се користи не само за заштита од таков напад, но и за откривање и блокирање на сите обиди за скенирање на мрежата:
Дополнително, направивме некои промени во поставките на системот за следење, кој сега повнимателно ја следи реакцијата на контролната група на виртуелни сервери во нашиот облак на обидот да се воспостави врска RDP: ако реакцијата не следи во рамките на второ, ова е причина да се обрне внимание.
Решението се покажа како доста ефикасно: нема повеќе поплаки и од клиентите и од партнерите и од системот за следење. На црната листа редовно се додаваат нови адреси и цели мрежи, што укажува дека нападот продолжува, но повеќе не влијае на работата на нашите клиенти.
Има безбедност во бројки
Денеска дознавме дека и други оператори наишле на сличен проблем. Некој сè уште верува дека Мајкрософт направи некои промени во кодот на услугата за далечински пристап (ако се сеќавате, се сомневавме во истото првиот ден, но многу брзо ја отфрливме оваа верзија) и ветува дека ќе направи се што е можно за брзо да се најде решение . Некои луѓе едноставно го игнорираат проблемот и ги советуваат клиентите сами да се заштитат (променете го приклучокот за поврзување, скријте го серверот во приватна мрежа итн.). И на првиот ден, не само што го решивме овој проблем, туку создадовме и одредена основа за поглобален систем за откривање закани што планираме да го развиеме.
Посебна благодарност до клиентите и партнерите кои не молчеа и не седнаа на брегот на реката чекајќи труп на непријател да исплива по неа еден ден, туку веднаш ни го свртеа вниманието на проблемот, кој ни даде можност да го елиминираме истиот ден.
Извор: www.habr.com