Hebu tuambie hadithi nzuri kuhusu jinsi "watu wa tatu" walijaribu kuingilia kati na kazi ya wateja wetu, na jinsi tatizo hili lilitatuliwa.
Jinsi yote yalianza
Yote ilianza asubuhi ya Oktoba 31, siku ya mwisho ya mwezi, wakati wengi wanahitaji sana kuwa na wakati wa kutatua masuala ya haraka na muhimu.
Mmoja wa washirika, ambaye huhifadhi mashine kadhaa za kawaida za wateja anaowahudumia katika wingu letu, aliripoti kwamba kutoka 9:10 hadi 9:20 seva kadhaa za Windows zinazoendesha kwenye tovuti yetu ya Kiukreni hazikubali kuunganishwa kwa huduma ya upatikanaji wa kijijini , watumiaji hawakuweza. kuingia kwenye kompyuta zao za mezani, lakini baada ya dakika chache tatizo lilionekana kujitatua lenyewe.
Tuliongeza takwimu za uendeshaji wa njia za mawasiliano, lakini hatukupata ongezeko lolote la trafiki au kushindwa. Tuliangalia takwimu za mzigo kwenye rasilimali za kompyuta - hakuna hitilafu. Na hiyo ilikuwa nini?
Kisha mshirika mwingine, ambaye anakaribisha seva zaidi ya mia moja kwenye wingu letu, aliripoti shida zile zile ambazo baadhi ya wateja wao walibaini, na ikawa kwamba kwa ujumla seva zilipatikana (kujibu ipasavyo mtihani wa ping na maombi mengine), lakini. huduma ya ufikiaji wa mbali kwenye seva hizi ama inakubali miunganisho mipya au inakataa, na tulikuwa tunazungumza juu ya seva kwenye tovuti tofauti, trafiki ambayo hutoka kwa njia tofauti za upitishaji data.
Wacha tuangalie trafiki hii. Pakiti iliyo na ombi la muunganisho hufika kwenye seva:
xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
Seva inapokea pakiti hii, lakini inakataa muunganisho:
xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0
Hii ina maana kwamba tatizo ni wazi si unasababishwa na matatizo yoyote katika uendeshaji wa miundombinu, lakini kwa kitu kingine. Labda watumiaji wote wana shida na leseni ya kompyuta ya mbali? Labda aina fulani ya programu hasidi imeweza kupenya mifumo yao, na leo iliamilishwa, kama ilivyokuwa miaka michache iliyopita. XData ΠΈ Petya?
Tulipokuwa tukiipanga, tulipokea maombi sawa kutoka kwa wateja na washirika kadhaa zaidi.
Ni nini hasa hufanyika kwenye mashine hizi?
Kumbukumbu za matukio zimejaa ujumbe kuhusu majaribio ya kukisia nenosiri:
Kwa kawaida, majaribio hayo yanasajiliwa kwenye seva zote ambapo bandari ya kawaida (3389) inatumiwa kwa huduma ya upatikanaji wa kijijini na ufikiaji unaruhusiwa kutoka kila mahali. Mtandao umejaa roboti ambazo huchanganua kila mara sehemu zote za muunganisho zinazopatikana na kujaribu kubahatisha nenosiri (ndio maana tunapendekeza sana kutumia nywila ngumu badala ya "123"). Walakini, nguvu ya majaribio haya siku hiyo ilikuwa ya juu sana.
Jinsi ya kuendelea?
Je, unapendekeza wateja watumie muda mwingi kubadilisha mipangilio ili idadi kubwa ya watumiaji wa mwisho wabadilishe hadi mlango tofauti? Si wazo zuri, wateja hawatafurahi. Je, unapendekeza kuruhusu ufikiaji kupitia VPN pekee? Kwa haraka na hofu, kuinua miunganisho ya IPSec kwa wale ambao hawajaiinua - labda furaha kama hiyo haitabasamu kwa wateja pia. Ingawa, lazima niseme, hii ni jambo la kimungu kwa hali yoyote, tunapendekeza kila wakati kuficha seva kwenye mtandao wa kibinafsi na tuko tayari kusaidia na mipangilio, na kwa wale ambao wanapenda kuigundua peke yao, tunashiriki maagizo. kwa kusanidi IPSec/L2TP katika wingu yetu katika hali ya tovuti-kwa-tovuti au njia ya barabara -warrior, na ikiwa mtu yeyote anataka kusanidi huduma ya VPN kwenye seva yake ya Windows, yuko tayari kila wakati kushiriki vidokezo vya jinsi ya kusanidi kiwango cha RAS au OpenVPN. Lakini, haijalishi tulikuwa wazuri kiasi gani, huu haukuwa wakati mzuri zaidi wa kufanya kazi ya elimu kati ya wateja, kwani tulihitaji kurekebisha tatizo haraka iwezekanavyo na mkazo mdogo kwa watumiaji.
Suluhisho tulilotekeleza lilikuwa kama ifuatavyo. Tumeweka uchanganuzi wa trafiki inayopita kwa njia ya kufuatilia majaribio yote ya kuanzisha muunganisho wa TCP kwenye bandari 3389 na kuchagua kutoka kwayo anwani ambazo, ndani ya sekunde 150, hujaribu kuanzisha miunganisho na seva zaidi ya 16 kwenye mtandao wetu. - hizi ndio vyanzo vya shambulio hilo ( Kwa kweli, ikiwa mmoja wa wateja au washirika ana hitaji la kweli la kuanzisha miunganisho na seva nyingi kutoka kwa chanzo kimoja, unaweza kuongeza vyanzo kama hivyo kwenye "orodha nyeupe." Zaidi ya hayo, ikiwa katika mtandao wa darasa C moja kwa sekunde hizi 150, anwani zaidi ya 32 zinatambuliwa, ni mantiki kuzuia mtandao mzima. Kuzuia ni kuweka kwa siku 3, na ikiwa wakati huu hakuna mashambulizi yaliyofanywa kutoka kwa chanzo fulani, chanzo hiki huondolewa kiotomatiki kutoka kwa "orodha nyeusi." Orodha ya vyanzo vilivyozuiwa husasishwa kila baada ya sekunde 300.
Orodha hii inapatikana katika anwani hii: , unaweza kuunda ACL zako kulingana nayo.
Tuko tayari kushiriki nambari ya chanzo ya mfumo kama huo; hakuna kitu ngumu sana ndani yake (hizi ni maandishi kadhaa rahisi yaliyokusanywa kwa masaa kadhaa kwenye goti), na wakati huo huo inaweza kubadilishwa na kutumiwa sio. kulinda tu dhidi ya shambulio kama hilo, lakini pia kugundua na kuzuia majaribio yoyote ya kukagua mtandao:
Kwa kuongezea, tumefanya mabadiliko kadhaa kwa mipangilio ya mfumo wa ufuatiliaji, ambao sasa unafuatilia kwa karibu zaidi majibu ya kikundi cha udhibiti wa seva za kawaida kwenye wingu wetu kwa jaribio la kuanzisha muunganisho wa RDP: ikiwa majibu hayafuati ndani ya pili, hii ni sababu ya kuzingatia.
Suluhisho liligeuka kuwa la ufanisi kabisa: hakuna malalamiko zaidi kutoka kwa wateja na washirika, na kutoka kwa mfumo wa ufuatiliaji. Anwani mpya na mitandao nzima huongezwa mara kwa mara kwenye orodha iliyoidhinishwa, ambayo inaonyesha kuwa shambulio linaendelea, lakini haliathiri tena kazi ya wateja wetu.
Kuna usalama kwa idadi
Leo tumejifunza kwamba waendeshaji wengine wamekutana na tatizo sawa. Mtu bado anaamini kuwa Microsoft ilifanya mabadiliko fulani kwa nambari ya huduma ya ufikiaji wa mbali (ikiwa unakumbuka, tulishuku jambo lile lile siku ya kwanza, lakini tulikataa toleo hili haraka sana) na kuahidi kufanya kila linalowezekana kupata suluhisho haraka. . Watu wengine hupuuza tu tatizo na kuwashauri wateja kujilinda wenyewe (kubadilisha bandari ya uunganisho, kujificha seva kwenye mtandao wa kibinafsi, na kadhalika). Na katika siku ya kwanza, hatukusuluhisha tatizo hili pekee, bali pia tuliunda msingi wa mfumo wa kimataifa wa kugundua tishio ambao tunapanga kutayarisha.
Shukrani za pekee kwa wateja na washirika ambao hawakukaa kimya na hawakukaa kwenye ukingo wa mto wakingojea maiti ya adui kuelea kando yake siku moja, lakini mara moja walielekeza umakini wetu kwa shida hiyo, ambayo ilitupa fursa ya kuliondoa. siku hiyo hiyo.
Chanzo: mapenzi.com