Хајде да вам испричамо једну кул причу о томе како су "трећа лица" покушала да ометају рад наших клијената и како је овај проблем решен.
Како је све почело
Све је почело ујутру 31. октобра, последњег дана у месецу, када је многима очајнички потребно време да реше хитна и важна питања.
Један од партнера, који држи неколико виртуелних машина клијената које опслужује у нашем облаку, известио је да од 9:10 до 9:20 неколико Виндовс сервера који раде на нашем украјинском сајту није прихватило везе са услугом удаљеног приступа, корисници нису могли да се пријаве на своје радне површине, али се након неколико минута проблем решио сам од себе.
Подигали смо статистику о раду комуникационих канала, али нисмо затекли скокове или кварове у саобраћају. Погледали смо статистику о оптерећењу рачунарских ресурса - нема аномалија. И шта је то било?
Затим је други партнер, који хостује још стотинак сервера у нашем облаку, пријавио исте проблеме које су приметили неки од њихових клијената и испоставило се да су сервери генерално приступачни (исправно реагујући на пинг тест и друге захтеве), али сервис даљинског приступа на овим серверима или прихвата нове везе или их одбија, а говорили смо о серверима на различитим сајтовима, на које саобраћај долази са различитих канала преноса података.
Погледајмо овај саобраћај. Пакет са захтевом за повезивање стиже на сервер:
xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
Сервер прима овај пакет, али одбија везу:
xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0
То значи да проблем очигледно није узрокован било каквим проблемима у раду инфраструктуре, већ нечим другим. Можда сви корисници имају проблема са лиценцирањем удаљене радне површине? Можда је нека врста малвера успела да продре у њихове системе, а данас је активиран, као и пре пар година КСДата и петиа?
Док смо то решавали, добили смо сличне захтеве још неколико клијената и партнера.
Шта се заправо дешава на овим машинама?
Дневници догађаја су пуни порука о покушајима да се погоди лозинка:
Обично се такви покушаји региструју на свим серверима где се стандардни порт (3389) користи за услугу удаљеног приступа и приступ је дозвољен са свих страна. Интернет је пун ботова који непрестано скенирају све доступне тачке везе и покушавају да погоде лозинку (због тога топло препоручујемо коришћење сложених лозинки уместо „123“). Међутим, интензитет ових покушаја тог дана био је превелик.
Шта да радим?
Препоручите да купци проведу доста времена мењајући подешавања како би велики број крајњих корисника прешао на други порт? Није добра идеја, купци неће бити задовољни. Препоручите да дозволите приступ само преко ВПН-а? У журби и паници, подизање ИПСец веза за оне који их нису подигли - можда се таква срећа не смеши ни клијентима. Иако је, морам рећи, ово је у сваком случају побожна ствар, ми увек препоручујемо скривање сервера у приватној мрежи и спремни смо да помогнемо око подешавања, а за оне који воле да то сами схвате, делимо упутства за подешавање ИПСец/Л2ТП у нашем облаку у режиму од локације до локације или на путу - ратник, и ако неко жели да подеси ВПН услугу на свом Виндовс серверу, увек је спреман да подели савете о томе како да подеси стандардни РАС или ОпенВПН. Али, колико год да смо били кул, ово није био најбољи тренутак за вођење едукативног рада међу клијентима, јер смо проблем морали да решимо што је пре могуће уз минималан стрес за кориснике.
Решење које смо применили било је следеће. Поставили смо анализу пролазног саобраћаја на начин да пратимо све покушаје успостављања ТЦП везе са портом 3389 и са ње бирамо адресе које у року од 150 секунди покушавају да успоставе везе са више од 16 различитих сервера на нашој мрежи - ово су извори напада (Наравно, ако неко од клијената или партнера има стварну потребу да успостави везе са толико сервера из истог извора, такве изворе увек можете додати на „белу листу”. Штавише, ако се у једној мрежи класе Ц за ових 150 секунди идентификује више од 32 адресе, има смисла блокирати целу мрежу.Блокирање се поставља на 3 дана, а ако за то време није извршен ниједан напад са датог извора, овај извор се аутоматски уклања са „црне листе“. Листа блокираних извора се ажурира сваких 300 секунди.
Ова листа је доступна на овој адреси: , можете да направите своје АЦЛ-ове на основу тога.
Спремни смо да поделимо изворни код таквог система; у њему нема ничег претерано сложеног (ово је неколико једноставних скрипти састављених буквално за пар сати на колену), а истовремено се може прилагодити и користити не само за заштиту од таквог напада, али и за откривање и блокирање било каквих покушаја скенирања мреже:
Поред тога, извршили смо неке измене у подешавањима система за праћење, који сада пажљивије прати реакцију контролне групе виртуелних сервера у нашем облаку на покушај успостављања РДП везе: ако реакција не уследи унутар друго, ово је разлог за обраћање пажње.
Решење се показало прилично ефикасним: више нема притужби ни од стране клијената и партнера, ни од система за праћење. Нове адресе и читаве мреже редовно се додају на црну листу, што указује да се напад наставља, али да више не утиче на рад наших клијената.
Сигурност је у бројкама
Данас смо сазнали да су други оператери наишли на сличан проблем. Неко и даље верује да је Мајкрософт направио неке измене у коду услуге удаљеног приступа (ако се сећате, први дан смо посумњали на исту ствар, али смо ову верзију врло брзо одбацили) и обећава да ће учинити све да брзо нађемо решење . Неки људи једноставно игноришу проблем и саветују клијенте да се сами заштите (промени порт за везу, сакрију сервер у приватној мрежи и тако даље). И већ првог дана, не само да смо решили овај проблем, већ смо и створили неке основе за глобалнији систем откривања претњи, који планирамо да развијемо.
Посебно захваљујемо клијентима и партнерима који нису ћутали и нису седели на обали реке чекајући да једног дана њоме плута леш непријатеља, већ су нам одмах скренули пажњу на проблем, који нам је дао прилику да отклонимо то истог дана.
Извор: ввв.хабр.цом