Манай кибер довтолгооноос хамгаалах төв нь үйлчлүүлэгчийн вэб дэд бүтцийн аюулгүй байдлыг хариуцаж, үйлчлүүлэгчийн сайт руу чиглэсэн халдлагыг няцаадаг. Бид халдлагаас хамгаалахын тулд FortiWeb Web Application Firewall (WAFs) ашигладаг. Гэхдээ хамгийн гайхалтай WAF ч гэсэн эм биш бөгөөд зорилтот халдлагаас "хайрцагнаас" хамгаалдаггүй.
Тиймээс бид WAF-аас гадна ашигладаг . Энэ нь бүх үйл явдлыг нэг дор цуглуулж, статистик мэдээллийг цуглуулж, дүрслэн харуулах, зорилтот халдлагыг цаг тухайд нь харах боломжийг олгодог.
Өнөөдөр би зул сарын гацуур модыг WAF-ээр хэрхэн гаталж, үүнээс юу гарсан талаар илүү дэлгэрэнгүй ярих болно.
Нэг халдлагын түүх: ELK рүү шилжихээс өмнө бүх зүйл хэрхэн ажилладаг байсан
Манай клоуд дээр үйлчлүүлэгч манай WAF-ийн ард програмыг байршуулсан. Өдөрт 10-аас 000 хүртэл хэрэглэгч сайтад холбогддог байсан бол холболтын тоо өдөрт 100 саяд хүрсэн байна. Үүнээс 000-20 хэрэглэгч нэвтэрч, сайтыг хакердахыг оролдсон байна.
Нэг IP хаягийн ердийн хэлбэрийн харгис хүчийг FortiWeb маш амархан хаасан. Нэг минутад сайтад хандсан тоо нь хууль ёсны хэрэглэгчдийнхээс өндөр байсан. Бид зүгээр л нэг хаягаас үйл ажиллагааны босго тогтоож, дайралтыг няцаав.
Халдагчид аажим аажим аажим аажим аажим аажим аажим аажим аажим аажим аажим аажим аажим аажим аажим аажим аажим аажим аажим аажим аажим халдлага хийж, энгийн үйлчлүүлэгчийн дүрд хувирсан үед "удаан довтолгоо"-той тэмцэх нь илүү хэцүү байдаг. Тэд олон өвөрмөц IP хаягийг ашигладаг. Ийм үйл ажиллагаа WAF-д асар их харгис хүч мэт харагдахгүй байсан тул үүнийг автоматаар хянах нь илүү хэцүү байв. Мөн энгийн хэрэглэгчдийг хаах эрсдэлтэй байсан. Бид халдлагын бусад шинж тэмдгийг хайж, энэ тэмдэг дээр үндэслэн IP хаягийг автоматаар хаах бодлогыг тогтоосон. Жишээлбэл, олон хууль бус сессүүд http хүсэлтийн толгой хэсэгт нийтлэг талбаруудтай байсан. Та FortiWeb үйл явдлын бүртгэлээс ийм талбаруудыг гараар хайх шаардлагатай болдог.
Энэ нь удаан бөгөөд эвгүй болсон. FortiWeb-ийн стандарт функцэд үйл явдлуудыг 3 өөр бүртгэлд бичдэг: илэрсэн халдлага, хүсэлтийн талаарх мэдээлэл, WAF үйлдлийн системийн мессежүүд. Хэдэн арван эсвэл бүр хэдэн зуун халдлага нэг минутын дотор тохиолдож болно.
Тийм ч их биш, гэхдээ та хэд хэдэн гуалин дундуур гараар авирч, олон мөрийг давтах хэрэгтэй:
Довтолгооны бүртгэлд бид хэрэглэгчийн хаяг, үйл ажиллагааны мөн чанарыг хардаг.
Бүртгэлийн хүснэгтийг зүгээр л сканнердах нь хангалтгүй юм. Довтолгооны мөн чанарын талаар хамгийн сонирхолтой, хэрэгтэй зүйлийг олохын тулд та тодорхой үйл явдлын доторхыг харах хэрэгтэй.
Тодруулсан талбарууд нь "удаан халдлага" илрүүлэхэд тусалдаг. Эх сурвалж: дэлгэцийн агшин .
Хамгийн гол асуудал бол зөвхөн FortiWeb-ийн мэргэжилтэн л үүнийг тодорхойлж чадна. Хэрэв бид ажлын цагаар сэжигтэй үйлдлийг бодит цаг хугацаанд хянаж чадвал шөнийн ослын мөрдөн байцаалт хойшлогдож магадгүй юм. FortiWeb-ийн бодлого тодорхой шалтгааны улмаас ажиллахгүй байх үед шөнийн ээлжийн инженерүүд WAF-д хандахгүйгээр нөхцөл байдлыг үнэлж чадаагүй тул FortiWeb-ийн мэргэжилтэнг сэрээв. Бид хэд хэдэн цагийн турш гуалиныг харж байгаад дайралт болох мөчийг олсон.
Ийм их хэмжээний мэдээлэлтэй байхад том дүр зургийг нэг дор ойлгож, идэвхтэй ажиллахад хэцүү байдаг. Дараа нь бид бүх зүйлийг визуал хэлбэрээр шинжлэх, халдлагын эхлэлийг олох, түүний чиглэл, хаах аргыг тодорхойлохын тулд нэг дор мэдээлэл цуглуулахаар шийдсэн.
Та юунаас сонгов
Юуны өмнө аж ахуйн нэгжүүдийг шаардлагагүй үржүүлэхгүйн тулд аль хэдийн ашиглагдаж байгаа шийдлүүдийг авч үзсэн.
Эхний сонголтуудын нэг байсан NagiosҮүнийг бид хянахад ашигладаг , , яаралтай сэрэмжлүүлэг. Хамгаалагч нар ч мөн үүгээрээ сэжигтэй түгжрэл үүссэн тохиолдолд үйлчлэгч нарт мэдэгддэг ч тархай бутархай гуалин цуглуулахаа мэдэхгүй, алга болдог.
Бүх зүйлийг нэгтгэх сонголт байсан MySQL болон PostgreSQL эсвэл өөр харилцааны мэдээллийн сан. Гэхдээ өгөгдлийг гаргаж авахын тулд таны өргөдлийг сийлбэрлэх шаардлагатай байв.
Манай компанид дүнз цуглуулагчийн хувьд тэд бас ашигладаг FortiAnalyzer Fortinet-ээс. Гэхдээ энэ тохиолдолд тэр бас тохирохгүй байв. Нэгдүгээрт, галт ханатай ажиллахад илүү хурц болсон FortiGate. Хоёрдугаарт, олон тохиргоо дутуу байсан бөгөөд түүнтэй харилцах нь SQL асуулгын талаар маш сайн мэдлэг шаарддаг. Гуравдугаарт, үүнийг ашиглах нь үйлчлүүлэгчдэд үзүүлэх үйлчилгээний өртөгийг нэмэгдүүлэх болно.
Ингэж бид нүүрэн дээр нь нээлттэй эх сурвалжтай болсон ELK.
Яагаад ELK сонгох вэ?
ELK нь нээлттэй эхийн програмуудын багц юм:
- Elasticsearch - их хэмжээний тексттэй ажиллахын тулд дөнгөж бий болсон цаг хугацааны цуврал мэдээллийн сан;
- Logstash – бүртгэлийг хүссэн формат руу хөрвүүлэх боломжтой өгөгдөл цуглуулах механизм;
- Кибана - сайн дүрслэгч, мөн Elasticsearch-ийг удирдахад тохиромжтой интерфейс. Та үүнийг ашиглан шөнийн цагаар жижүүрийн инженерүүд хянаж болох хуваарь гаргах боломжтой.
ELK-ийн элсэлтийн босго бага байна. Бүх үндсэн функцууд үнэ төлбөргүй байдаг. Аз жаргалд өөр юу хэрэгтэй вэ.
Энэ бүгдийг нэг системд хэрхэн нэгтгэсэн бэ?
Индекс үүсгэж, зөвхөн шаардлагатай мэдээллийг үлдээсэн. Бид бүх гурван FortiWEB бүртгэлийг ELK-д ачаалсан - гаралт нь индекс байв. Эдгээр нь тодорхой хугацаанд, жишээлбэл, нэг өдрийн турш цуглуулсан бүх бүртгэлтэй файлууд юм. Хэрэв бид тэдгээрийг шууд дүрслэн харвал бид зөвхөн халдлагын динамикийг харах болно. Дэлгэрэнгүй мэдээллийг авахын тулд та халдлага болгонд "унаж", тодорхой талбаруудыг үзэх хэрэгтэй.
Бид эхлээд бүтэцгүй мэдээллийг задлан шинжлэх хэрэгтэй гэдгийг ойлгосон. Бид "Мессеж", "URL" зэрэг урт талбаруудыг мөр болгон авч, шийдвэр гаргахад илүү мэдээлэл авахын тулд задлан шинжилсэн.
Жишээ нь, задлан шинжлэлийн тусламжтайгаар бид хэрэглэгчийн байршлыг тусад нь гаргаж авсан. Энэ нь Оросын хэрэглэгчдэд зориулсан сайтууд руу гадаадаас ирсэн халдлагуудыг нэн даруй тодруулахад тусалсан. Бусад орны бүх холболтыг хааснаар бид халдлагын тоог 2 дахин бууруулж, Оросын доторх халдлагыг амархан даван туулж чадсан.
Шинжилгээ хийснийхээ дараа тэд ямар мэдээллийг хадгалах, дүрслэн харуулахыг хайж эхлэв. Бүртгэлд бүх зүйлийг үлдээх нь зохисгүй байсан: нэг индексийн хэмжээ том байсан - 7 ГБ. ELK файлыг боловсруулахад удаан хугацаа зарцуулсан. Гэсэн хэдий ч бүх мэдээлэл ашигтай байсангүй. Ямар нэг зүйл давхардсан бөгөөд нэмэлт зай эзэлдэг - үүнийг оновчтой болгох шаардлагатай байв.
Эхлээд бид зүгээр л индексийг шалгаж, шаардлагагүй үйл явдлуудыг арилгасан. Энэ нь өөрөө FortiWeb дээр логуудтай ажиллахаас ч илүү тохиромжгүй, удаан байсан юм. Энэ үе шатанд "Зул сарын гацуур мод"-ын цорын ганц давуу тал нь бид нэг дэлгэц дээр их хэмжээний цагийг дүрсэлж чадсан явдал юм.
Бид цөхрөлгүй, кактус идэж, ELK-г үргэлжлүүлэн судалж, шаардлагатай мэдээллийг гаргаж чадна гэдэгт итгэж байсан. Индексүүдийг цэвэрлэсний дараа бид юу болохыг төсөөлж эхлэв. Тиймээс бид том хяналтын самбар дээр ирлээ. Бид виджетүүдийг нүдсэн - нүдээр, гоёмсог байдлаар, жинхэнэ ЁLKa!
Довтолгооны агшинг авсан. Одоо довтолгооны эхлэл график дээр хэрхэн харагдаж байгааг ойлгох шаардлагатай байв. Үүнийг илрүүлэхийн тулд бид серверийн хэрэглэгчдэд өгсөн хариултыг (буцах код) үзсэн. Бид ийм код (rc) бүхий серверийн хариултыг сонирхож байсан:
Код (rc)
Гарчиг
Тайлбар
0
дусал
Сервер рүү илгээх хүсэлтийг хаасан байна
200
Ok
Хүсэлтийг амжилттай боловсрууллаа
400
Муу Санал
Муу Санал
403
Хориотой
Зөвшөөрөл олгохоос татгалзсан
500
Дотоод серверийн алдаа
Үйлчилгээ боломжгүй байна
Хэрэв хэн нэгэн сайт руу дайрч эхэлбэл кодын харьцаа өөрчлөгдөнө.
- Хэрэв 400 кодтой илүү алдаатай хүсэлт, 200 кодтой ижил тооны энгийн хүсэлт байсан бол хэн нэгэн сайтыг хакердах гэж оролдож байна.
- Хэрэв үүнтэй зэрэгцэн 0 кодтой хүсэлтүүд нэмэгдэж байгаа бол FortiWeb-ийн улс төрчид мөн халдлагыг "харж", түүнд блок тавьсан байна.
- Хэрэв 500 кодтой мессежийн тоо нэмэгдсэн бол эдгээр IP хаягуудад сайт ашиглах боломжгүй - бас нэг төрлийн хаалт.
Гурав дахь сар гэхэд бид энэ үйл ажиллагааг хянах хяналтын самбарыг тохируулсан.
Бүх зүйлийг гараар хянахгүйн тулд бид ELK-ийг тодорхой интервалаар санал асуулга явуулсан Nagios-тай нэгтгэсэн. Хэрэв босго утгыг кодоор тэмдэглэсэн бол сэжигтэй үйл ажиллагааны талаар жижүүрт мэдэгдэл илгээсэн.
Хяналтын систем дэх 4 графикийг нэгтгэсэн. Одоо довтолгоо хаагдаагүй, инженерийн оролцоо шаардлагатай үеийг график дээрээс харах нь чухал байв. 4 өөр график дээр бидний нүд бүдэгэрсэн. Тиймээс бид графикуудыг нэгтгэж, бүх зүйлийг нэг дэлгэц дээр ажиглаж эхлэв.
Хяналт хийхдээ бид янз бүрийн өнгөт график хэрхэн өөрчлөгдөж байгааг ажигласан. Улаан өнгийн тэсрэлт нь халдлага эхэлснийг илтгэсэн бол улбар шар, цэнхэр графикууд нь FortiWeb-ийн хариу үйлдлийг харуулсан:
Энд бүх зүйл хэвийн байна: "улаан" үйл ажиллагаа нэмэгдэж байсан ч FortiWeb даван туулж, халдлагын хуваарь бүтэлгүйтэв.
Бид мөн хөндлөнгийн оролцоо шаарддаг графикийн жишээг өөрсдөө зурсан.
Эндээс бид FortiWeb-ийн үйл ажиллагаа нэмэгдсэнийг харж болно, гэхдээ улаан халдлагын график буураагүй байна. Та WAF тохиргоог өөрчлөх хэрэгтэй.
Шөнийн хэрэг явдлыг шалгах нь ч хялбар болсон. График нь сайтыг хамгаалах цаг болсон мөчийг шууд харуулж байна.
Заримдаа шөнийн цагаар ийм зүйл тохиолддог. Улаан график - халдлага эхэлсэн. Цэнхэр - FortiWeb үйл ажиллагаа. Довтолгоог бүрэн хаагаагүй, бид хөндлөнгөөс оролцох шаардлагатай болсон.
Бид хаашаа явж байгаа юм бэ
Одоо бид ELK-тэй ажиллах жижүүрийн админуудыг сургаж байна. Үйлчлүүлэгчид хяналтын самбар дээрх нөхцөл байдлыг үнэлж, шийдвэр гаргаж сурдаг: FortiWeb-ийн мэргэжилтэн рүү шилжих цаг нь болсон, эс тэгвээс WAF дээрх бодлого нь халдлагыг автоматаар няцаахад хангалттай байх болно. Тиймээс бид шөнийн цагаар мэдээллийн аюулгүй байдлын инженерүүдийн ачааллыг бууруулж, системийн түвшинд дэмжлэг үзүүлэх үүргийг хуваадаг. FortiWeb-д хандах эрх нь зөвхөн кибер хамгаалалтын төвд л үлддэг бөгөөд зөвхөн тэд яаралтай шаардлагатай үед WAF тохиргоонд өөрчлөлт оруулдаг.
Мөн бид үйлчлүүлэгчдэд мэдээлэл өгөхөөр ажиллаж байна. WAF-ийн ажлын динамикийн талаархи мэдээллийг үйлчлүүлэгчийн хувийн дансанд авах боломжтой гэж бид төлөвлөж байна. ELK нь WAF-д хандах шаардлагагүйгээр нөхцөл байдлыг илүү тодорхой болгох болно.
Хэрэв үйлчлүүлэгч өөрийн хамгаалалтыг бодит цаг хугацаанд нь хянахыг хүсвэл ELK бас хэрэг болно. Үйлчлүүлэгчийн оролцоо бусад ажилд нөлөөлж болзошгүй тул бид WAF-д хандах эрх өгөх боломжгүй. Гэхдээ та тусдаа ELK аваад "тоглох" боломжтой.
Эдгээр нь сүүлийн үед бидний хуримтлуулсан гацуур модыг ашиглах хувилбарууд юм. Энэ талаар санал бодлоо хуваалцаж, бүү мартаарай мэдээллийн сан алдагдахаас зайлсхийхийн тулд.
Эх сурвалж: www.habr.com