Xaruntayada difaaca interneedku waxay mas'uul ka tahay amniga kaabayaasha shabakada macaamiisha waxayna iska celisaa weerarrada goobaha macaamiisha. Waxaan isticmaalnaa FortiWeb web application firewalls (WAF) si aan uga ilaalino weerarada. Laakin xitaa WAF-ga ugu qabow ma aha dawo kamana ilaalinayso meel ka baxsan sanduuqa weerarrada la beegsanayo.
Sidaa darteed, marka lagu daro WAF waxaan isticmaalnaa . Waxay ka caawisaa in la ururiyo dhammaan dhacdooyinka hal meel, ururiyo tirakoobka, sawiro iyaga oo noo ogolaanaya inaan aragno weerar la beegsaday waqti.
Maanta waxaan si faahfaahsan kuu sheegi doonaa sida aan uga gudubnay "geedka Christmas" ee WAF iyo waxa ka soo baxay.
Sheekada hal weerar: sida wax walba u shaqeeyeen ka hor u wareejinta ELK
Macmiilku waxa uu haystaa arjiga lagu shubay daruurahayaga kaas oo ka dambeeya WAF. Laga soo bilaabo 10 ilaa 000 isticmaalayaasha ku xidhan goobta maalintii, tirada isku xidhka ayaa gaadhay 100 milyan maalintii. Kuwaas, 000-20 isticmaale ayaa ahaa weeraryahano waxayna isku dayeen inay jabsadaan goobta.
FortiWeb waxay si sahal ah u xannibtay qaabkii caadiga ahaa ee xoogga caarada hal ciwaanka IP. Tirada hits daqiiqadii ee goobta ayaa ka sareysay isticmaalayaasha sharciga ah. Waxaan si fudud uga dhignay marinnada dhaqdhaqaaqa hal ciwaan waananu iska celinnay weerarka.
Aad bay u adag tahay in lala dagaallamo "weerarada qunyar socodka ah," marka weeraryahannadu ay si tartiib ah u dhaqmaan oo ay iska dhigaan macaamiil caadi ah. Waxay isticmaalaan ciwaanno badan oo IP gaar ah. Dhaqdhaqaaqa noocan oo kale ah uma eka mid xoog badan oo WAF ah; waxaa aad u adkeyd in si toos ah loola socdo. Waxa kale oo jirtay khatar ah in la xannibo isticmaalayaasha caadiga ah. Waxaan raadinay calaamado kale oo weerar waxaanan dejinay siyaasad si toos ah loo xannibo ciwaannada IP-ga iyadoo lagu salaynayo calaamadan. Tusaale ahaan, fadhiyo badan oo aan sharci ahayn waxay lahaayeen meelo ka dhexeeya madaxyada codsiga HTTP. Goobahan inta badan waxay ahayd in gacanta lagu baadho diiwaanka dhacdooyinka FortiWeb.
Waxay noqotay mid dheer oo aan raaxo lahayn. Heerka shaqada FortiWeb, dhacdooyinka waxaa lagu duubay qoraal 3 diiwaan oo kala duwan: weerarrada la ogaaday, macluumaadka codsiga, iyo fariimaha nidaamka ee ku saabsan hawlgalka WAF. Daraasiin ama xitaa boqolaal dhacdo oo weerar ah ayaa ku imaan kara hal daqiiqo gudaheed.
Ma aha wax aad u badan, laakiin waa inaad gacanta ku fuushaa dhowr qoris oo aad ku celcelisid khadadka badan:
Diiwaanka weerarka waxaan ku aragnaa ciwaanada isticmaalaha iyo nooca dhaqdhaqaaqa.
Kuma filna in si fudud loo sawiro miiska looxa. Si aad u hesho macluumaadka ugu xiisaha iyo faa'iidada badan ee ku saabsan dabeecadda weerarka, waxaad u baahan tahay inaad eegto gudaha dhacdo gaar ah:
Goobaha la iftiimiyay waxay caawiyaan in la ogaado "weerar gaabis ah". Xigasho: screenshot ka .
Hagaag, dhibaatada ugu muhiimsan waa in khabiirka FortiWeb kaliya uu ogaan karo tan. Iyadoo inta lagu jiro saacadaha shaqada aan wali la socon karno dhaqdhaqaaqa shakiga leh waqtiga dhabta ah, baaritaanka shilalka habeenkii waxay qaadan kartaa waqti dheer. Marka siyaasadaha FortiWeb ay shaqayn waayeen sabab qaar ka mid ah, injineerada shaqada habeenkii ee shaqada ku jiray way awoodi waayeen inay qiimeeyaan xaalada iyaga oo aan marin WAF waxayna toosiyeen khabiirka FortiWeb. Waxaan eegnay dhowr saacadood oo qoryo ah, waxaanan helnay xilliga weerarka.
Iyada oo tiradan xogta ah, way adag tahay in la fahmo sawirka weyn jaleecada hore oo u dhaqmo si firfircoon. Kadibna waxaan go'aansanay inaan aruurino xogta hal meel si aan wax walba u falanqeyno qaab muuqaal ah, hel bilowga weerarka, u aqoonsanno jihada iyo habka loo xannibo.
Maxaad ka dooratay?
Ugu horreyntii, waxaan eegnay xalalka horay loo isticmaalay si aan loo badin qaybaha si aan loo baahnayn.
Mid ka mid ah fursadaha ugu horreeya ayaa ahaa NagiosKaas oo aanu u isticmaalno la socodka , , digniino ku saabsan xaaladaha degdega ah. Ilaalada ammaanku waxay sidoo kale u isticmaalaan inay ogeysiiyaan saraakiisha heeganka ah haddii ay dhacdo in gaadiidka laga shakiyo, laakiin ma yaqaanaan sida loo ururiyo geedo kala firirsan sidaas darteedna looma baahna.
Waxaa jirtay ikhtiyaar ah in la isku daro wax walba iyadoo la isticmaalayo MySQL iyo PostgreSQL ama xog kale oo xidhiidh ah. Laakiin si aad xogta uga soo saarto, waa in aad samaysato codsi kuu gaar ah.
Shirkadeena sidoo kale way isticmaashaa FortiAnalyzer ka Fortinet. Laakiin kuma aysan habooneyn kiiskan sidoo kale. Marka hore, aad bay ugu habboon tahay in lagu shaqeeyo firewall FortiGate. Marka labaad, goobo badan ayaa maqan, la falgalkeedana waxay u baahnayd aqoon heersare ah oo ku saabsan weydiimaha SQL. Marka saddexaadna, adeegsigeedu wuxuu kordhin doonaa qiimaha adeegga macaamiisha.
Tani waa sida aan u nimid in aan furno ilaha qaab ahaan Elk.
Waa maxay sababta ay u doorteen ELK
ELK waa barnaamijyo il furan:
- Elasticsearch - xog ururin waqti-xilliyeed ah, kaas oo si gaar ah loo abuuray si loogu shaqeeyo tiro badan oo qoraal ah;
- Logstash - habka xog ururinta oo u rogi kara diiwaannada qaabka la rabo;
- Kibana - muuqaal wanaagsan, iyo sidoo kale is-dhexgal saaxiibtinimo oo caddaalad ah oo lagu maareeyo Elasticsearch. Waxaad u isticmaali kartaa si aad u dhisto garaafyo ay injineerada shaqada ku jira ay la socon karaan habeenkii.
Xadka gelitaanka ELK waa hooseeyaa. Dhammaan sifooyinka aasaasiga ah waa bilaash. Maxaa kale oo looga baahan yahay farxad?
Sideen isugu geynay hal nidaam?
Waxaan abuurnay tilmaamo waxaanan ka tagnay kaliya macluumaadka lagama maarmaanka ah. Waxaan ku shubnay dhammaan seddexda FortiWEB diiwaannada ELK wax soo saarkuna wuxuu ahaa tusmooyin. Kuwani waa faylal ay ku jiraan dhammaan diiwaannada la ururiyay muddo, tusaale ahaan, maalin. Haddii aan isla markiiba aragno iyaga, waxaan arki lahayn oo kaliya dhaqdhaqaaqyada weerarrada. Faahfaahinta, waxaad u baahan tahay inaad "ku dhacdo" weerar kasta oo aad eegto meelo gaar ah.
Waxaan ogaanay in marka hore loo baahan yahay in la dejiyo falanqaynta macluumaadka aan qaabaysan. Waxaan qaadnay meelo dhaadheer oo ah qaab xargo, sida "Farriin" iyo "URL", waanan kala saarnay si aan u helno macluumaad dheeraad ah oo ku saabsan go'aan qaadashada.
Tusaale ahaan, annagoo adeegsanayna falanqaynta, waxaan si gaar ah u aqoonsannay goobta isticmaalaha. Tani waxay gacan ka gaysatay inay isla markiiba muujiso weerarrada ka imanaya dibadda ee goobaha isticmaalayaasha Ruushka. Markii aan xirnay dhammaan xiriirada dalalka kale, waxaan yareynay tirada weerarrada kala bar waxaana si deggan ula macaamili karnaa weerarrada gudaha Ruushka.
Falanqaynta ka dib, waxaan bilownay inaan raadino macluumaadka aan ku kaydin karno oo aan aragno. Waxay ahayd wax aan macquul ahayn in laga tago wax walba oo ku jira joornaalka: cabbirka hal index wuxuu ahaa mid weyn - 7 GB. ELK waxay qaadatay waqti dheer si loo habeeyo faylka. Si kastaba ha ahaatee, dhammaan macluumaadka ma ahayn mid faa'iido leh. Wax waa la soo koobay oo meel dheeraad ah qaatay - waxay u baahday in la hagaajiyo.
Markii hore waxaan si fudud u sawirnay tusaha oo aan ka saarnay dhacdooyinka aan loo baahnayn. Tani waxay soo baxday inay xitaa ka sii dhib badan tahay oo ka dheer tahay ku shaqeynta logyada FortiWeb lafteeda. Faa'iidada kaliya ee "geedka kirismaska" ee marxaladdan ayaa ah inaan awoodnay inaan ku aragno wakhti ballaaran oo hal shaashad ah.
Ma aanan quusan, sii wad cunista cactus, barato ELK oo aan aaminsanahay inaan awoodno inaan soo saarno macluumaadka lagama maarmaanka ah. Ka dib markii aan nadiifinno tusmooyinka, waxaan bilownay inaan aragno waxa aan haysanno. Sidan ayaan ku nimid dashboards waaweyn. Waxaan isku daynay qaar ka mid ah widgets - muuqaal iyo xarrago leh, geed kirismas oo dhab ah!
Xilliga weerarka ayaa la duubay. Hadda waxaan u baahanahay inaan fahamno sida bilowga weerarku u eg yahay garaafka. Si aan u ogaano, waxaan eegnay jawaabaha server-ka ee isticmaalaha (koodka soo celinta). Waxaan xiisaynay jawaabaha server-ka ee leh summada soo socda (rc):
Koodhka (rc)
Title
Description
0
DAADI
Codsiga server-ka waa la xannibay
200
Ok
Codsiga si guul leh ayaa looga shaqeeyay
400
Codsi xun
Codsi aan sax ahayn
403
Reebay
Oggolaanshaha waa la diiday
500
Xalinta Gudaha Gudaha
Adeeggu lama heli karo
Haddii qof uu bilaabo inuu weeraro goobta, saamiga koodka ayaa isbeddelay:
- Haddii ay jiraan codsiyo khaldan oo badan oo leh koodka 400, laakiin tiro la mid ah codsiyada caadiga ah ee koodka 200 ayaa hadhay, waxay la macno tahay qof ayaa isku dayayay inuu jabsado goobta.
- Haddii isla mar ahaantaana codsiyada koodka 0 ay sidoo kale kordheen, markaa siyaasiyiinta FortiWeb waxay sidoo kale "arkeen" weerarka oo ay ku dhejiyeen blocks.
- Haddii tirada fariimaha leh koodka 500 ay kordheen, waxay la macno tahay in goobta aan laga heli karin cinwaannada IP-yada - sidoo kale nooc xannibaad ah.
Bishii saddexaad, waxaanu samaynay dashboard si aanu ula socono hawshan.
Si aan wax walba gacanta loogula socon, waxaan dejinay is dhexgalka Nagios, kaas oo ELK ka helay waqtiyo gaar ah. Haddii aan ogaado qiyamka bilowga ah ee ay gaadheen koodh, waxaan u diray ogaysiis saraakiisha shaqada ee hawsha shakiga leh.
Isku darka 4 garaafyada ee nidaamka la socodka. Hadda waxay ahayd muhiim in garaafyada lagu arko xilliga aan weerarka la xannibin oo loo baahan yahay faragelin injineer. 4 jaantus oo kala duwan ayay indhaheenu qarsoomeen. Sidaa darteed, waxaan isku darnay jaantusyada waxaanan bilownay inaan la socono wax walba hal shaashad.
Intii lagu guda jiray kormeerka, waxaan daawanay sida garaafyada midabada kala duwan ay isu beddeleen. Fasax casaan ah ayaa muujiyay in weerarku bilaabmay, halka garaafyada orange iyo buluuga ay muujiyeen jawaabta FortiWeb:
Wax walba waa ku fiican yihiin halkan: waxaa jiray dhaqdhaqaaq "casaan ah", laakiin FortiWeb way la tacaashay, jadwalka weerarkuna wuu noqday waxba.
Waxaan sidoo kale u sawirnay nafteena tusaale garaaf u baahan faragelin:
Halkan waxaan ku aragnaa in FortiWeb ay kordhisay dhaqdhaqaaqa, laakiin garaafka weerarka cas ma yarayn. Waxaad u baahan tahay inaad beddesho dejimahaaga WAF.
Baaritaanka dhacdooyinka habeenkii ayaa sidoo kale noqday mid sahlan. Garaafku wuxuu isla markiiba tusayaa wakhtiga la joogo waqtigii la iman lahaa si loo ilaaliyo goobta.
Tani waa waxa mararka qaarkood dhaca habeenkii. Garaaf casaan - weerarku wuu bilaabmay. Buluug - Hawlaha FortiWeb. Weerarku si buuxda looma xannibin, markaa waa inaan soo farageliyaa.
xagee u soconaa
Waxaan hadda tababareynaa maamulayaasha shaqada si ay ula shaqeeyaan ELK. Kuwa shaqada ku jira waxay bartaan inay qiimeeyaan xaaladda dashboard-ka oo ay go'aan gaaraan: waa waqtigii loo gudbi lahaa khabiirka FortiWeb, ama siyaasadaha WAF ayaa ku filan inay si toos ah isaga celiyaan weerarka. Sidan ayaanu ku dhimaynaa culayska saaran injineerada amniga macluumaadka habeenkii waxaanan u qaybinaynaa doorarka taageerada heerka nidaamka. Gelitaanka FortiWeb waxay ku hadhsan tahay oo keliya xarunta difaaca internetka, oo keliya waxay isbeddel ku sameeyaan goobaha WAF marka ay lagama maarmaan noqoto.
Waxaan sidoo kale ka shaqeyneynaa u warbixinta macaamiisha. Waxaan qorsheyneynaa in xogta dhaqdhaqaaqa WAF ay ku jirto akoontiga gaarka ah ee macmiilka. ELK waxay xaalada ka dhigi doontaa mid hufan iyadoon la xidhiidhin WAF lafteeda.
Haddii macmiilku rabo inuu la socdo ilaalintooda wakhtiga dhabta ah, ELK sidoo kale waxay ku iman doontaa anfaca. Ma bixin karno gelitaanka WAF, maadaama faragelinta macaamilka ee shaqada ay saameyn karto kuwa kale. Laakin waxaad soo qaadan kartaa ELK gooni ah oo waxaad ku siin kartaa "ku ciyaar"
Kuwani waa xaaladaha isticmaalka "geedka kirismaska" ee aan dhawaan uruurinay. La wadaag fikradahaaga ku saabsan arrintan oo ha iloobin si looga fogaado in database-ka daadato.
Source: www.habr.com