Hayu urang nyarioskeun ka anjeun carita anu saé ngeunaan kumaha "pihak katilu" nyobian ngaganggu pagawéan klien kami, sareng kumaha masalah ieu direngsekeun.
Kumaha eta sadayana dimimitian
Éta sadayana dimimitian dina énjing 31 Oktober, dinten terakhir bulan, nalika seueur anu peryogi pisan gaduh waktos pikeun ngabéréskeun masalah anu penting sareng penting.
Salah sahiji mitra, anu ngajaga sababaraha mesin virtual tina klien anjeunna dilayanan dina awan kami, ngalaporkeun yén ti 9:10 ka 9:20 sababaraha server Windows ngajalankeun on situs Ukraina urang teu narima sambungan kana layanan aksés jauh , pamaké éta teu bisa. pikeun asup kana desktops maranéhanana, tapi sanggeus sababaraha menit masalah seemed ngabéréskeun sorangan.
Urang ngangkat statistik dina operasi saluran komunikasi, tapi teu manggihan naon surge lalulintas atawa gagal. Kami ningali statistik ngeunaan beban sumber daya komputasi - henteu aya anomali. Sareng naon éta?
Lajeng pasangan sejen, anu sarwa ngeunaan saratus leuwih server dina awan urang, ngalaporkeun masalah anu sarua yén sababaraha klien maranéhanana nyatet, sarta tétéla yén sacara umum server éta diaksés (bener ngabales test ping na requests séjén), tapi. aksés jauh ladenan dina server ieu boh narima sambungan anyar atawa rejects aranjeunna, sarta kami ngobrol ngeunaan server dina situs béda, lalulintas nu asalna ti saluran transmisi data béda.
Hayu urang nempo lalulintas ieu. Hiji pakét sareng pamundut sambungan sumping ka server:
xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
Server nampi pakét ieu, tapi nolak sambunganna:
xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0
Ieu ngandung harti yén masalah ieu jelas teu disababkeun ku sagala masalah dina operasi infrastruktur, tapi ku hal sejenna. Panginten sadaya pangguna gaduh masalah sareng lisénsi desktop jauh? Panginten sababaraha jinis malware tiasa nembus sistemna, sareng ayeuna diaktipkeun, sapertos sababaraha taun ka pengker XData и Petya?
Nalika kami nyortir, kami nampi pamundut anu sami ti sababaraha deui klien sareng mitra.
Naon sabenerna kajadian dina mesin ieu?
Log acara pinuh ku pesen ngeunaan usaha nebak sandi:
Biasana, usaha sapertos kadaptar dina sadaya server dimana port standar (3389) dianggo pikeun jasa aksés jauh sareng aksés diidinan ti mana waé. Internét pinuh ku bot anu terus-terusan nyeken sadaya titik sambungan anu sayogi sareng nyobian nebak kecap konci (éta naha urang nyarankeun pisan ngagunakeun kecap konci anu kompleks tinimbang "123"). Sanajan kitu, inténsitas usaha ieu poé éta teuing tinggi.
Kumaha neruskeun?
Nyarankeun yén konsumén méakkeun loba waktu ngarobah setelan pikeun sajumlah badag pamaké tungtung pindah ka port béda? Henteu saé, para nasabah moal bagja. Nyarankeun ngawenangkeun aksés ngan liwat VPN? Puguh sareng panik, ngangkat sambungan IPSec pikeun anu henteu ngagaduhan aranjeunna diangkat - panginten kabagjaan sapertos kitu ogé henteu seuri dina klien. Sanaos, kuring kedah nyarios, ieu mangrupikeun hal anu sah dina sagala hal, kami salawasna nyarankeun nyumputkeun server dina jaringan pribadi sareng siap ngabantosan setélan, sareng pikeun anu resep terang éta nyalira, kami bagikeun petunjuk. pikeun nyetél IPSec / L2TP dina awan urang dina situs-ka-situs atawa jalan mode -warrior, sarta lamun saha hayang nyetél layanan VPN dina server Windows sorangan, aranjeunna salawasna siap babagi tips tentang kumaha carana nyetél a standar RAS atanapi OpenVPN. Tapi, euweuh urusan kumaha tiis kami éta, ieu teu wayah pangalusna pikeun ngalakonan pagawean atikan diantara klien, sabab urang diperlukeun pikeun ngalereskeun masalah gancang-gancang kalayan stress minimal keur pamaké.
Solusi anu kami laksanakeun nyaéta kieu. Kami parantos nyetél analisa lalu lintas anu lulus ku cara pikeun ngawas sadaya usaha pikeun ngadamel sambungan TCP ka port 3389 sareng pilih alamatna anu, dina 150 detik, nyobian ngadamel sambungan sareng langkung ti 16 server anu béda dina jaringan kami. - Ieu mangrupikeun sumber serangan ( Tangtosna, upami salah sahiji klien atanapi mitra gaduh kabutuhan nyata pikeun ngadegkeun sambungan sareng seueur server ti sumber anu sami, anjeun tiasa salawasna nambihan sumber sapertos kana "daftar bodas." Sumawona, Upami dina hiji jaringan kelas C salami 150 detik ieu, langkung ti 32 alamat diidentifikasi, éta masuk akal pikeun meungpeuk sadaya jaringan, Bloking diatur salami 3 dinten, sareng upami salami ieu teu aya serangan ti sumber anu ditangtukeun, sumber ieu otomatis dipiceun tina "daptar hideung." Daptar sumber diblokir diropéa unggal 300 detik.
Daptar ieu sayogi di alamat ieu: , Anjeun tiasa ngawangun ACLs Anjeun dumasar kana eta.
Kami siap ngabagikeun kodeu sumber sistem sapertos kitu; teu aya anu rumit teuing di jerona (ieu sababaraha naskah saderhana anu disusun sacara harfiah sababaraha jam dina tuur), sareng dina waktos anu sami tiasa diadaptasi sareng henteu dianggo. ngan pikeun ngajagi tina serangan sapertos kitu, tapi ogé pikeun ngadeteksi sareng ngahalangan usaha pikeun nyeken jaringan:
Sajaba ti éta, kami geus nyieun sababaraha parobahan dina setélan sistem ngawaskeun, nu ayeuna leuwih raket ngawas réaksi grup kontrol server maya dina awan urang kana usaha pikeun nyieun sambungan RDP: lamun réaksina teu nuturkeun dina a kadua, ieu alesan pikeun nengetan.
Solusina tétéla rada mujarab: teu aya deui keluhan ti klien sareng mitra, sareng ti sistem ngawaskeun. Alamat anyar jeung sakabéh jaringan nu rutin ditambahkeun kana blacklist, nu nunjukkeun yén serangan terus, tapi euweuh mangaruhan karya klien kami.
Aya kaamanan di angka
Dinten ieu kami diajar yén operator sanés ngalaman masalah anu sami. Aya anu masih percaya yén Microsoft ngadamel sababaraha parobihan kana kodeu jasa aksés jauh (upami anjeun émut, kami nyangka hal anu sami dina dinten kahiji, tapi kami gancang pisan nampik versi ieu) sareng janji bakal ngalakukeun sagala rupa anu mungkin pikeun mendakan solusi gancang. . Sababaraha urang ngan saukur malire masalah jeung mamatahan klien ngajaga diri sorangan (ngarobah port sambungan, nyumputkeun server dina jaringan pribadi, jeung saterusna). Sareng dina dinten anu munggaran, urang henteu ngan ukur ngarengsekeun masalah ieu, tapi ogé nyiptakeun sababaraha landasan pikeun sistem deteksi ancaman anu langkung global anu urang rencanakeun pikeun ngembangkeun.
Hatur nuhun khusus ka klien sareng mitra anu henteu cicingeun sareng henteu calik di tepi walungan ngantosan mayit musuh ngambang sapanjang éta hiji dinten, tapi langsung narik perhatian urang kana masalah, anu masihan kami kasempetan pikeun ngaleungitkeun. éta dina dinten anu sami.
sumber: www.habr.com