අපගේ සයිබර් ආරක්ෂණ මධ්යස්ථානය සේවාදායකයාගේ වෙබ් යටිතල ව්යුහයේ ආරක්ෂාව සඳහා වගකිව යුතු අතර සේවාදායක අඩවි වලට එල්ල වන ප්රහාර මැඩපවත්වයි. ප්රහාර වලින් ආරක්ෂා වීමට, අපි FortiWeb Web Application Firewalls (WAFs) භාවිතා කරමු. නමුත් සිසිල් WAF පවා කෝකටත් තෛලයක් නොවන අතර ඉලක්කගත ප්රහාර වලින් "පෙට්ටියෙන් පිටත" ආරක්ෂා නොකරයි.
එබැවින්, WAF වලට අමතරව, අපි භාවිතා කරමු . එය සියලුම සිදුවීම් එක තැනක එකතු කිරීමට, සංඛ්යාලේඛන රැස් කිරීමට, එය දෘශ්යමාන කිරීමට සහ නියමිත වේලාවට ඉලක්කගත ප්රහාරයක් දැකීමට අපට ඉඩ සලසයි.
අද මම ඔබට වඩාත් විස්තරාත්මකව කියන්නම් අපි WAF සමඟ නත්තල් ගස තරණය කළ ආකාරය සහ එයින් සිදු වූ දේ.
එක් ප්රහාරයක කතාව: ELK වෙත මාරු වීමට පෙර සියල්ල ක්රියාත්මක වූ ආකාරය
අපගේ WAF පිටුපස ඇති අපගේ වලාකුළෙහි යෙදුමක් පාරිභෝගිකයා සතුව ඇත. දිනකට වෙබ් අඩවියට සම්බන්ධ වන පරිශීලකයින් 10 සිට 000 දක්වා, දිනකට සම්බන්ධතා සංඛ්යාව මිලියන 100 දක්වා ළඟා විය. මෙයින් 000-20 පරිශීලකයින් ප්රහාරකයන් වන අතර වෙබ් අඩවිය හැක් කිරීමට උත්සාහ කළහ.
එක් IP ලිපිනයකින් සුපුරුදු ආකාරයේ තිරිසන් බලය FortiWeb විසින් ඉතා පහසුවෙන් අවහිර කරන ලදී. නීත්යානුකූල පරිශීලකයින්ගේ සංඛ්යාවට වඩා විනාඩියකට අඩවියට පහරවල් ගණන වැඩි විය. අපි හුදෙක් එක් ලිපිනයකින් ක්රියාකාරකම් සීමාවන් සකසා ප්රහාරය පලවා හැරියෙමු.
ප්රහාරකයන් සෙමින් ක්රියාකර සාමාන්ය සේවාදායකයින් ලෙස වෙස්වලාගෙන සිටින විට, "මන්දගාමී ප්රහාර" සමඟ කටයුතු කිරීම වඩා දුෂ්කර ය. ඔවුන් බොහෝ අද්විතීය IP ලිපින භාවිතා කරයි. එවැනි ක්රියාකාරකම් WAF වෙත දැවැන්ත තිරිසන් බලයක් ලෙස පෙනුනේ නැත, එය ස්වයංක්රීයව ලුහුබැඳීම වඩා දුෂ්කර විය. ඒ වගේම සාමාන්ය පරිශීලකයන් අවහිර කිරීමේ අවදානමකුත් තිබුණා. අපි ප්රහාරයක වෙනත් සලකුණු සෙවූ අතර මෙම සලකුණ මත පදනම්ව IP ලිපින ස්වයංක්රීයව අවහිර කිරීම සඳහා ප්රතිපත්තියක් සකස් කළෙමු. උදාහරණයක් ලෙස, බොහෝ නීත්යානුකූල නොවන සැසිවල http ඉල්ලීම් ශීර්ෂයන් තුළ පොදු ක්ෂේත්ර තිබුණි. ඔබට බොහෝ විට FortiWeb සිදුවීම් ලොග වල එවැනි ක්ෂේත්ර අතින් සෙවීමට සිදු විය.
එය දිගු හා අපහසුතාවයට පත් විය. FortiWeb හි සම්මත ක්රියාකාරීත්වය තුළ, සිදුවීම් විවිධ ලඝු 3 කින් පෙළෙහි සටහන් කර ඇත: හඳුනාගත් ප්රහාර, ඉල්ලීම් පිළිබඳ තොරතුරු සහ WAF මෙහෙයුම පිළිබඳ පද්ධති පණිවිඩ. දුසිම් ගනනක් හෝ සිය ගණනක් ප්රහාරක සිදුවීම් මිනිත්තුවකින් පැමිණිය හැක.
එතරම් නොවේ, නමුත් ඔබට ලඝු-සටහන් කිහිපයක් හරහා අතින් නැඟී බොහෝ රේඛා හරහා පුනරාවර්තනය කළ යුතුය:
ප්රහාර ලොගය තුළ, අපි පරිශීලක ලිපින සහ ක්රියාකාරකම්වල ස්වභාවය දකිමු.
ලොග් වගුව ස්කෑන් කිරීම පමණක් ප්රමාණවත් නොවේ. ප්රහාරයේ ස්වභාවය පිළිබඳ වඩාත් රසවත් හා ප්රයෝජනවත් දේ සොයා ගැනීමට, ඔබ නිශ්චිත සිදුවීමක් ඇතුළත බැලිය යුතුය:
උද්දීපනය කරන ලද ක්ෂේත්ර "මන්දගාමී ප්රහාරය" හඳුනා ගැනීමට උපකාරී වේ. මූලාශ්රය: තිර රුවක් .
හොඳයි, ප්රධාන ගැටළුව වන්නේ එය හඳුනාගත හැක්කේ FortiWeb විශේෂඥයෙකුට පමණි. ව්යාපාරික වේලාවන් තුළ අපට තවමත් සැක කටයුතු ක්රියාකාරකම් තත්ය කාලීනව නිරීක්ෂණය කළ හැකි නම්, රාත්රී සිදුවීම් පිළිබඳ විමර්ශනය ප්රමාද විය හැකිය. FortiWeb ප්රතිපත්ති කිසියම් හේතුවක් නිසා ක්රියා නොකළ විට, රාජකාරියේ යෙදී සිටින රාත්රී මුර ඉංජිනේරුවන්ට WAF වෙත ප්රවේශ නොවී තත්වය තක්සේරු කිරීමට නොහැකි වූ අතර FortiWeb විශේෂඥයා අවදි කළේය. අපි පැය කිහිපයක් ලඝු-සටහන් දෙස බැලූ අතර ප්රහාරයේ මොහොත සොයා ගත්තෙමු.
එවැනි තොරතුරු වෙළුම් සමඟ, බැලූ බැල්මට විශාල පින්තූරය තේරුම් ගැනීමට සහ ක්රියාශීලීව ක්රියා කිරීමට අපහසුය. එවිට අපි සෑම දෙයක්ම දෘශ්ය ස්වරූපයෙන් විශ්ලේෂණය කිරීම, ප්රහාරයේ ආරම්භය සොයා ගැනීම, එහි දිශාව සහ අවහිර කිරීමේ ක්රමය හඳුනා ගැනීම සඳහා එක තැනක දත්ත රැස් කිරීමට තීරණය කළෙමු.
තෝරාගත් දේ
පළමුවෙන්ම, අපි දැනටමත් භාවිතයේ ඇති විසඳුම් දෙස බැලුවෙමු, එබැවින් ආයතන අනවශ්ය ලෙස ගුණ නොකිරීමට.
පළමු විකල්පයන්ගෙන් එකක් විය නයිජීස්අපි නිරීක්ෂණය කිරීමට භාවිතා කරන , , හදිසි අනතුරු ඇඟවීම්. සැකකටයුතු වාහන තදබදයක් ඇති වූ විට ආරක්ෂකයින් විසින් සේවක සේවිකාවන් දැනුවත් කිරීමට ද එය භාවිතා කරයි, නමුත් එය විසිරුණු දැව කඳන් එකතු කරන්නේ කෙසේදැයි නොදන්නා අතර එම නිසා අතුරුදහන් වේ.
සෑම දෙයක්ම එකතු කිරීමට විකල්පයක් විය MySQL සහ PostgreSQL හෝ වෙනත් සම්බන්ධතා දත්ත සමුදායක්. නමුත් දත්ත පිටතට ඇද ගැනීම සඳහා, ඔබගේ අයදුම්පත මූර්තිමත් කිරීමට අවශ්ය විය.
අපගේ සමාගමේ ලොග් එකතු කරන්නෙකු ලෙසද ඔවුන් භාවිතා කරයි FortiAnalyzer Fortinet වෙතින්. නමුත් එය මෙම නඩුවට ද නොගැලපේ. පළමුව, එය ෆයර්වෝලයක් සමඟ වැඩ කිරීමට වඩාත් ගැලපෙන පරිදි සකස් කර ඇත ෆෝටිගේට්. දෙවනුව, බොහෝ සැකසුම් අතුරුදහන් වූ අතර, එය සමඟ අන්තර්ක්රියා කිරීම සඳහා SQL විමසුම් පිළිබඳ විශිෂ්ට දැනුමක් අවශ්ය විය. තෙවනුව, එහි භාවිතය පාරිභෝගිකයා සඳහා සේවාවේ පිරිවැය වැඩි කරයි.
ඔන්න ඔහොමයි අපි මූණේ ඕපන් සෝස් එකට ආවේ ELK.
ELK තෝරා ගන්නේ ඇයි?
ELK යනු විවෘත මූලාශ්ර වැඩසටහන් සමූහයකි:
- Elasticsearch - විශාල පෙළ වෙළුම් සමඟ වැඩ කිරීමට විශේෂයෙන් නිර්මාණය කරන ලද කාල ශ්රේණි දත්ත සමුදායක්;
- ලොග්ස්ටැෂ් - ලඝු-සටහන් අපේක්ෂිත ආකෘතියට පරිවර්තනය කළ හැකි දත්ත එකතු කිරීමේ යාන්ත්රණයක්;
- කිබානා - හොඳ දෘශ්යකරණයක් මෙන්ම Elasticsearch කළමනාකරණය කිරීම සඳහා තරමක් මිත්රශීලී අතුරු මුහුණතක්. රාත්රියේදී රාජකාරි ඉංජිනේරුවන් විසින් නිරීක්ෂණය කළ හැකි කාලසටහන් තැනීමට ඔබට එය භාවිතා කළ හැකිය.
ELK වෙත ඇතුල් වීමේ සීමාව අඩුය. සියලුම මූලික විශේෂාංග නොමිලේ. සතුට සඳහා තවත් අවශ්ය වන්නේ කුමක්ද?
කොහොමද ඔය ඔක්කොම එක සිස්ටම් එකකට දැම්මේ?
දර්ශක නිර්මාණය කර අවශ්ය තොරතුරු පමණක් ඉතිරි කර ඇත. අපි FortiWEB ලොග් තුනම ELK වෙත පූරණය කළ අතර ප්රතිදානය වූයේ දර්ශකයි. මේවා කාල සීමාවක් සඳහා එකතු කරන ලද සියලුම ලොග සහිත ගොනු වේ, උදාහරණයක් ලෙස, දිනකට. අපි ඒවා වහාම දෘශ්යමාන කළහොත්, අපට පෙනෙනු ඇත්තේ ප්රහාරවල ගතිකත්වය පමණි. විස්තර සඳහා, ඔබ එක් එක් ප්රහාරයට "වැටීම" සහ විශේෂිත ක්ෂේත්ර දෙස බැලීම අවශ්ය වේ.
මුලින්ම අපි ව්යුහගත නොවන තොරතුරු විග්රහ කිරීම සැකසිය යුතු බව අපට වැටහුණා. අපි "පණිවිඩය" සහ "URL" වැනි දිගු ක්ෂේත්ර තන්තු ලෙස ගෙන තීරණ ගැනීම සඳහා වැඩි විස්තර ලබා ගැනීමට ඒවා විග්රහ කළෙමු.
උදාහරණයක් ලෙස, විග්රහ කිරීම භාවිතා කරමින්, අපි පරිශීලකයාගේ ස්ථානය වෙන වෙනම ලබා ගත්තෙමු. මෙය රුසියානු පරිශීලකයින් සඳහා වන වෙබ් අඩවි වලට පිටරටින් එන ප්රහාර වහාම ඉස්මතු කිරීමට උපකාරී විය. වෙනත් රටවලින් සියලුම සම්බන්ධතා අවහිර කිරීමෙන්, අපි ප්රහාර ගණන 2 ගුණයකින් අඩු කළ අතර රුසියාව තුළ ප්රහාර සමඟ පහසුවෙන් කටයුතු කළ හැකිය.
විග්රහ කිරීමෙන් පසු, ඔවුන් ගබඩා කිරීමට සහ දෘශ්යමාන කළ යුතු තොරතුරු සෙවීමට පටන් ගත්හ. ලොගයේ ඇති සියල්ල අත්හැර දැමීම නුසුදුසු ය: එක් දර්ශකයක විශාලත්වය විශාල විය - 7 GB. ELK ගොනුව සැකසීමට බොහෝ කාලයක් ගත විය. කෙසේ වෙතත්, සියලු තොරතුරු ප්රයෝජනවත් නොවීය. යමක් අනුපිටපත් කර අමතර ඉඩක් ගත්තේය - එය ප්රශස්ත කිරීම අවශ්ය විය.
මුලදී, අපි සරලව දර්ශකය හරහා බැලූ අතර අනවශ්ය සිදුවීම් ඉවත් කළෙමු. FortiWeb හි ලොග් සමඟ වැඩ කිරීමට වඩා මෙය වඩාත් අපහසු සහ දිගු විය. මෙම අදියරේදී "නත්තල් ගස" වෙතින් ඇති එකම ප්ලස් එක වන්නේ එක් තිරයක් මත විශාල කාල පරිච්ඡේදයක් දෘශ්යමාන කිරීමට අපට හැකි වීමයි.
අපි බලාපොරොත්තු සුන් නොවී, අපි දිගටම පතොක් අනුභව කර ELK අධ්යයනය කළ අතර අවශ්ය තොරතුරු උකහා ගැනීමට අපට හැකි වනු ඇතැයි විශ්වාස කළෙමු. දර්ශක පිරිසිදු කිරීමෙන් පසුව, අපි කුමක්දැයි සිතීමට පටන් ගත්තෙමු. ඉතින් අපි විශාල උපකරණ පුවරු වෙත පැමිණියෙමු. අපි විජට් පොක් කළා - දෘශ්යමය වශයෙන් සහ අලංකාර ලෙස, සැබෑ එල්කා එකක්!
පහරදීමේ මොහොත සටහන් විය. ප්රහාරයේ ආරම්භය ප්රස්ථාරයේ පෙනෙන්නේ කෙසේදැයි දැන් තේරුම් ගැනීමට අවශ්ය විය. එය හඳුනා ගැනීම සඳහා, අපි පරිශීලකයාට සේවාදායකයේ ප්රතිචාර (ප්රතිලාභ කේත) දෙස බැලුවෙමු. එවැනි කේත (rc) සහිත සේවාදායක ප්රතිචාර ගැන අපි උනන්දු වෙමු:
කේතය (rc)
මාතෘකාව
විස්තර
0
බින්දුව
සේවාදායකය වෙත ඉල්ලීම අවහිර කර ඇත
200
Ok
ඉල්ලීම සාර්ථකව සකසන ලදී
400
නරක ඉල්ලීම
නරක ඉල්ලීම
403
තහනම් කර ඇත
අවසරය ප්රතික්ෂේප විය
500
අභ්යන්තර සේවාදායක දෝෂයකි
සේවාව ලබා ගත නොහැක
යමෙකු වෙබ් අඩවියට පහර දීමට පටන් ගත්තේ නම්, කේත අනුපාතය වෙනස් විය:
- කේතය 400 සමඟ තවත් වැරදි ඉල්ලීම් සහ කේතය 200 සමඟ සමාන සාමාන්ය ඉල්ලීම් තිබේ නම්, යමෙකු වෙබ් අඩවිය හැක් කිරීමට උත්සාහ කරයි.
- ඒ සමගම, 0 කේතය සහිත ඉල්ලීම් ද වර්ධනය වූයේ නම්, FortiWeb දේශපාලනඥයන් ද ප්රහාරය "දැක" එයට අවහිර කිරීම් යෙදීය.
- 500 කේතය සහිත පණිවිඩ ගණන වැඩි වී ඇත්නම්, මෙම IP ලිපින සඳහා වෙබ් අඩවිය ලබා ගත නොහැක - එය එක්තරා ආකාරයක අවහිර කිරීමකි.
තුන්වන මාසය වන විට, අපි මෙම ක්රියාකාරකම නිරීක්ෂණය කිරීමට උපකරණ පුවරුවක් සකසා ඇත.
සියල්ල හස්තීයව නිරීක්ෂණය නොකිරීමට, අපි නිශ්චිත කාල පරාසයන් තුළ ELK මත විමසූ Nagios සමඟ ඒකාබද්ධ වීම පිහිටුවමු. එය කේත මගින් එළිපත්ත අගයන් සාක්ෂාත් කර ගැනීම සටහන් කර ඇත්නම්, එය සැක කටයුතු ක්රියාකාරකම් පිළිබඳව රාජකාරි නිලධාරීන්ට දැනුම් දීමක් යවන ලදී.
අධීක්ෂණ පද්ධතියේ ප්රස්ථාර 4 ක් ඒකාබද්ධ කර ඇත. දැන් එය ප්රස්ථාරවල දැකීම වැදගත් වූයේ ප්රහාරය අවහිර නොවන අතර ඉංජිනේරුවෙකුගේ මැදිහත්වීම අවශ්ය වන මොහොතයි. විවිධ ප්රස්ථාර 4ක, අපගේ ඇස බොඳ විය. එමනිසා, අපි ප්රස්ථාර ඒකාබද්ධ කර එක් තිරයක සියල්ල නිරීක්ෂණය කිරීමට පටන් ගත්තෙමු.
නිරීක්ෂණය කිරීමේදී, විවිධ වර්ණවල ප්රස්ථාර වෙනස් වන ආකාරය අපි නිරීක්ෂණය කළෙමු. රතු පැහැ පිපිරීමක් ප්රහාරය ආරම්භ වූ බව පෙන්නුම් කරන අතර තැඹිලි සහ නිල් ප්රස්ථාර FortiWeb හි ප්රතික්රියාව පෙන්නුම් කරයි:
මෙහි සෑම දෙයක්ම හොඳයි: "රතු" ක්රියාකාරිත්වයේ වැඩිවීමක් ඇති විය, නමුත් FortiWeb එයට මුහුණ දුන් අතර ප්රහාර කාලසටහන නිෂ්ඵල විය.
මැදිහත්වීමක් අවශ්ය වන ප්රස්ථාරයක උදාහරණයක් ද අපි අප විසින්ම ඇඳ ගත්තෙමු:
මෙහිදී FortiWeb හි ක්රියාකාරීත්වය වැඩි වී ඇති නමුත් රතු ප්රහාරක ප්රස්තාරය අඩු වී නොමැති බව අපට දැකගත හැකිය. ඔබ WAF සැකසුම් වෙනස් කළ යුතුය.
රාත්රී සිදුවීම් විමර්ශනය කිරීම ද පහසු වී ඇත. වෙබ් අඩවියේ ආරක්ෂාවට පැමිණීමට කාලය පැමිණ ඇති මොහොත ප්රස්ථාරය වහාම පෙන්වයි.
ඒක තමයි සමහර වෙලාවට රෑට වෙන්නේ. රතු ප්රස්ථාරය - ප්රහාරය ආරම්භ වී ඇත. නිල් - FortiWeb ක්රියාකාරකම්. ප්රහාරය සම්පූර්ණයෙන්ම අවහිර නොකළ අතර, අපට මැදිහත් වීමට සිදු විය.
අපි කොහෙද යන්නේ
දැන් අපි ELK සමඟ වැඩ කිරීමට රාජකාරි පරිපාලකයින් පුහුණු කරනවා. සහායකයින් උපකරණ පුවරුවේ තත්ත්වය තක්සේරු කර තීරණයක් ගැනීමට ඉගෙන ගනී: FortiWeb විශේෂඥයෙකු වෙත යාමට කාලයයි, නැතහොත් WAF හි ප්රතිපත්ති ප්රහාරය ස්වයංක්රීයව මැඩපැවැත්වීමට ප්රමාණවත් වේ. එබැවින් අපි රාත්රියේදී තොරතුරු ආරක්ෂණ ඉංජිනේරුවන් මත බර අඩු කර පද්ධති මට්ටමින් ආධාරකයේ භූමිකාවන් බෙදන්නෙමු. FortiWeb වෙත ප්රවේශය පවතින්නේ සයිබර් ආරක්ෂණ මධ්යස්ථානය සමඟ පමණක් වන අතර, ඔවුන් හදිසි අවශ්ය වූ විට පමණක් WAF සැකසුම් වලට වෙනස්කම් සිදු කරයි.
අපි පාරිභෝගිකයින් සඳහා වාර්තා කිරීමට ද කටයුතු කරමින් සිටිමු. WAF කාර්යයේ ගතිකත්වය පිළිබඳ දත්ත සේවාදායකයාගේ පුද්ගලික ගිණුමෙන් ලබා ගත හැකි බව අපි සැලසුම් කරමු. ELK විසින් WAF වෙත යොමු වීමේ අවශ්යතාවයකින් තොරව තත්වය වඩාත් පැහැදිලි කරනු ඇත.
පාරිභෝගිකයාට තම ආරක්ෂාව තථ්ය කාලය තුළ නිරීක්ෂණය කිරීමට අවශ්ය නම්, ELK ද ප්රයෝජනවත් වනු ඇත. අපට WAF වෙත ප්රවේශය ලබා දිය නොහැක, මන්ද පාරිභෝගිකයාගේ කාර්යයට මැදිහත් වීම ඉතිරියට බලපෑ හැකිය. නමුත් ඔබට වෙනම ELK එකක් ගෙන එය "වටේ සෙල්ලම් කිරීමට" ලබා දිය හැකිය.
මේ අපි මෑතකදී එකතු කරගත් නත්තල් ගස භාවිතා කිරීම සඳහා වූ අවස්ථා වේ. මේ ගැන ඔබේ අදහස් බෙදාගන්න අමතක කරන්න එපා දත්ත සමුදාය කාන්දු වීම වළක්වා ගැනීමට.
මූලාශ්රය: www.habr.com