Kituo chetu cha ulinzi wa mtandao kinawajibika kwa usalama wa miundombinu ya wavuti ya mteja na huzuia mashambulizi kwenye tovuti za mteja. Ili kulinda dhidi ya mashambulizi, tunatumia FortiWeb Web Application Firewalls (WAFs). Lakini hata WAF ya baridi zaidi sio panacea na haina kulinda "nje ya boksi" kutokana na mashambulizi yaliyolengwa.
Kwa hiyo, pamoja na WAF, tunatumia . Inasaidia kukusanya matukio yote katika sehemu moja, kukusanya takwimu, kuiona taswira na huturuhusu kuona mashambulizi yanayolengwa kwa wakati.
Leo nitakuambia kwa undani zaidi jinsi tulivyovuka mti wa Krismasi na WAF na kile kilichotokea.
Hadithi ya shambulio moja: jinsi kila kitu kilifanya kazi kabla ya kubadili ELK
Katika wingu letu, mteja ametuma programu nyuma ya WAF yetu. Kutoka kwa watumiaji 10 hadi 000 waliounganishwa kwenye tovuti kwa siku, idadi ya miunganisho ilifikia milioni 100 kwa siku. Kati ya hawa, watumiaji 000-20 walikuwa wavamizi na walijaribu kudukua tovuti.
Nguvu ya kawaida ya kikatili kutoka kwa anwani moja ya IP ilizuiwa na FortiWeb kwa urahisi kabisa. Idadi ya vibao kwenye tovuti kwa dakika ilikuwa kubwa kuliko ile ya watumiaji halali. Tuliweka tu vizingiti vya shughuli kutoka kwa anwani moja na kuzima shambulio hilo.
Ni vigumu zaidi kukabiliana na "mashambulizi ya polepole", wakati washambuliaji wanatenda polepole na kujificha kama wateja wa kawaida. Wanatumia anwani nyingi za kipekee za IP. Shughuli kama hiyo haikuonekana kama nguvu kubwa ya kinyama kwa WAF, ilikuwa ngumu zaidi kuifuatilia kiotomatiki. Na pia kulikuwa na hatari ya kuzuia watumiaji wa kawaida. Tulitafuta ishara zingine za shambulio na tukaweka sera ya kuzuia kiotomatiki anwani za IP kulingana na ishara hii. Kwa mfano, vipindi vingi visivyo halali vilikuwa na sehemu za kawaida katika vichwa vya ombi vya http. Mara nyingi ulilazimika kutafuta sehemu kama hizo kwa mikono kwenye kumbukumbu za tukio la FortiWeb.
Ilipata muda mrefu na wasiwasi. Katika utendakazi wa kawaida wa FortiWeb, matukio yanarekodiwa kwa maandishi katika kumbukumbu 3 tofauti: mashambulizi yaliyogunduliwa, taarifa kuhusu maombi, na ujumbe wa mfumo kuhusu uendeshaji wa WAF. Kadhaa au hata mamia ya matukio ya shambulio yanaweza kutokea kwa dakika moja.
Sio sana, lakini lazima upanda kwa mikono kupitia magogo kadhaa na kurudia juu ya mistari mingi:
Katika kumbukumbu ya mashambulizi, tunaona anwani za watumiaji na asili ya shughuli.
Haitoshi tu kuchanganua jedwali la kumbukumbu. Ili kupata ya kuvutia zaidi na muhimu kuhusu asili ya shambulio hilo, unahitaji kuangalia ndani ya tukio maalum:
Sehemu zilizoangaziwa husaidia kugundua "shambulio la polepole". Chanzo: picha ya skrini kutoka .
Kweli, shida kuu ni kwamba mtaalamu wa FortiWeb pekee ndiye anayeweza kuigundua. Ikiwa wakati wa saa za kazi bado tunaweza kufuatilia shughuli zinazotiliwa shaka kwa wakati halisi, basi uchunguzi wa matukio ya usiku unaweza kuchelewa. Wakati sera za FortiWeb hazikufanya kazi kwa sababu fulani, wahandisi wa zamu ya usiku waliokuwa zamu hawakuweza kutathmini hali bila kufikia WAF na kumwamsha mtaalamu wa FortiWeb. Tuliangalia magogo kwa saa kadhaa na tukapata wakati wa shambulio hilo.
Kwa wingi wa habari kama hizi, ni vigumu kuelewa picha kubwa kwa mtazamo na kuchukua hatua kwa makini. Kisha tuliamua kukusanya data katika sehemu moja ili kuchambua kila kitu kwa fomu ya kuona, kupata mwanzo wa mashambulizi, kutambua mwelekeo wake na njia ya kuzuia.
Ulichagua nini
Awali ya yote, tuliangalia ufumbuzi tayari kutumika, ili si kuzidisha vyombo bila ya lazima.
Moja ya chaguzi za kwanza ilikuwa Nagiosambayo tunatumia kufuatilia , , arifa za dharura. Walinzi pia huitumia kuwaarifu wahudumu iwapo kuna msongamano wa magari unaotiliwa shaka, lakini haijui jinsi ya kukusanya magogo yaliyotawanyika na hivyo kutoweka.
Kulikuwa na chaguo la kujumlisha kila kitu MySQL na PostgreSQL au hifadhidata nyingine ya uhusiano. Lakini ili kutoa data, ilikuwa ni lazima kuchonga programu yako.
Kama mtoza logi katika kampuni yetu pia hutumia FortiAnalyzer kutoka Fortinet. Lakini katika kesi hii, yeye pia hakufaa. Kwanza, inaimarishwa zaidi kufanya kazi na firewall FortiGate. Pili, mipangilio mingi haikuwepo, na mwingiliano nayo ulihitaji ujuzi bora wa maswali ya SQL. Na tatu, matumizi yake yangeongeza gharama ya huduma kwa mteja.
Hivi ndivyo tulivyokuja kufungua chanzo usoni ELK.
Kwa nini uchague ELK
ELK ni seti ya programu za chanzo wazi:
- Elasticsearch - database ya mfululizo wa muda, ambayo iliundwa tu kufanya kazi na kiasi kikubwa cha maandishi;
- Logstash - utaratibu wa kukusanya data ambao unaweza kubadilisha kumbukumbu kwa muundo unaohitajika;
- Kibana - taswira nzuri, pamoja na kiolesura cha kirafiki cha kusimamia Elasticsearch. Unaweza kuitumia kuunda ratiba ambazo zinaweza kufuatiliwa na wahandisi wa zamu usiku.
Kizingiti cha kuingia kwa ELK ni cha chini. Vipengele vyote vya msingi ni bure. Nini kingine inahitajika kwa furaha.
Uliyawekaje yote pamoja katika mfumo mmoja?
Iliunda faharisi na kuacha habari muhimu tu. Tulipakia kumbukumbu zote tatu za FortiWEB kwenye ELK - matokeo yalikuwa faharisi. Hizi ni faili zilizo na kumbukumbu zote zilizokusanywa kwa muda, kwa mfano, siku. Ikiwa tungewaona mara moja, tungeona tu mienendo ya mashambulizi. Kwa maelezo, unahitaji "kuanguka" katika kila shambulio na uangalie nyanja maalum.
Tuligundua kuwa kwanza tunahitaji kusanidi uchanganuzi wa habari isiyo na muundo. Tulichukua sehemu ndefu kama mifuatano, kama vile "Ujumbe" na "URL", na kuzichanganua ili kupata maelezo zaidi ya kufanya maamuzi.
Kwa mfano, kwa kutumia uchanganuzi, tulichukua eneo la mtumiaji kando. Hii ilisaidia mara moja kuonyesha mashambulizi kutoka nje ya nchi kwenye tovuti kwa watumiaji wa Kirusi. Kwa kuzuia miunganisho yote kutoka nchi nyingine, tulipunguza idadi ya mashambulizi kwa mara 2 na tunaweza kukabiliana kwa urahisi na mashambulizi ndani ya Urusi.
Baada ya kuchanganua, walianza kutafuta habari gani wahifadhi na kuibua. Kuacha kila kitu kwenye logi haikuwa sahihi: ukubwa wa index moja ilikuwa kubwa - 7 GB. ELK ilichukua muda mrefu kuchakata faili. Walakini, sio habari zote zilikuwa muhimu. Kitu kilirudiwa na kuchukua nafasi ya ziada - ilikuwa ni lazima kuboresha.
Mwanzoni, tuliangalia tu faharisi na tukaondoa matukio yasiyo ya lazima. Hii iligeuka kuwa ngumu zaidi na ndefu kuliko kufanya kazi na kumbukumbu kwenye FortiWeb yenyewe. Faida pekee kutoka kwa "mti wa Krismasi" katika hatua hii ni kwamba tuliweza kuibua kipindi kikubwa cha muda kwenye skrini moja.
Hatukukata tamaa, tuliendelea kula cactus na kujifunza ELK na tuliamini kwamba tutaweza kutoa taarifa muhimu. Baada ya kusafisha faharisi, tulianza kuibua ni nini. Kwa hivyo tulifika kwenye dashibodi kubwa. Tuliweka vilivyoandikwa - kwa kuibua na kifahari, ΠLKa halisi!
Alitekwa wakati wa shambulio hilo. Sasa ilikuwa ni lazima kuelewa jinsi mwanzo wa mashambulizi inaonekana kwenye chati. Ili kuigundua, tuliangalia majibu ya seva kwa mtumiaji (rejesha misimbo). Tulivutiwa na majibu ya seva na misimbo kama hii (rc):
Msimbo (rc)
Jina
Description
0
DHAMBI
Ombi kwa seva limezuiwa
200
Ok
Ombi limechakatwa
400
Ombi Mbaya
Ombi baya
403
Haramu
Uidhinishaji umekataliwa
500
Hitilafu ya Siri ya ndani
Huduma haipatikani
Ikiwa mtu alianza kushambulia tovuti, uwiano wa misimbo ulibadilika:
- Ikiwa kulikuwa na maombi yenye makosa zaidi yenye msimbo 400, na idadi sawa ya maombi ya kawaida yenye msimbo 200, basi mtu alikuwa akijaribu kudukua tovuti.
- Ikiwa, wakati huo huo, maombi yenye nambari 0 pia yalikua, basi wanasiasa wa FortiWeb pia "waliona" shambulio hilo na kutumia vitalu kwake.
- Ikiwa idadi ya ujumbe na msimbo wa 500 iliongezeka, basi tovuti haipatikani kwa anwani hizi za IP - pia aina ya kuzuia.
Kufikia mwezi wa tatu, tulikuwa tumeweka dashibodi kufuatilia shughuli hii.
Ili si kufuatilia kila kitu kwa mikono, tulianzisha ushirikiano na Nagios, ambayo ilipiga kura kwa ELK kwa vipindi fulani. Ikiwa ilirekodi mafanikio ya viwango vya juu kwa misimbo, ilituma arifa kwa maafisa wa zamu kuhusu shughuli za kutiliwa shaka.
Imechanganya chati 4 katika mfumo wa ufuatiliaji. Sasa ilikuwa muhimu kuona kwenye grafu wakati ambapo shambulio halijazuiwa na kuingilia kati kwa mhandisi inahitajika. Kwenye grafu 4 tofauti, jicho letu lilikuwa na ukungu. Kwa hivyo, tuliunganisha chati na tukaanza kutazama kila kitu kwenye skrini moja.
Katika ufuatiliaji, tuliangalia jinsi grafu za rangi tofauti zinavyobadilika. Mlipuko wa rangi nyekundu ulionyesha kuwa shambulio limeanza, wakati grafu za machungwa na bluu zilionyesha majibu ya FortiWeb:
Kila kitu kiko sawa hapa: kulikuwa na kuongezeka kwa shughuli "nyekundu", lakini FortiWeb ilistahimili na ratiba ya shambulio ikawa bure.
Pia tulijichorea mfano wa grafu ambayo inahitaji uingiliaji kati:
Hapa tunaweza kuona kwamba FortiWeb imeongeza shughuli, lakini grafu nyekundu ya mashambulizi haijapungua. Unahitaji kubadilisha mipangilio ya WAF.
Kuchunguza matukio ya usiku pia imekuwa rahisi. Grafu mara moja inaonyesha wakati ni wakati wa kuja kutetea tovuti.
Hiyo ndivyo wakati mwingine hutokea usiku. Grafu nyekundu - shambulio limeanza. Bluu - Shughuli ya FortiWeb. Shambulio hilo halikuzuiliwa kabisa, ilibidi tuingilie kati.
Tunaenda wapi
Sasa tunawafundisha wasimamizi wa wajibu kufanya kazi na ELK. Wahudumu hujifunza kutathmini hali kwenye dashibodi na kufanya uamuzi: ni wakati wa kuongezeka kwa mtaalamu wa FortiWeb, au sera kwenye WAF zitatosha kuzima shambulio moja kwa moja. Kwa hivyo tunapunguza mzigo kwa wahandisi wa usalama wa habari usiku na kugawanya majukumu katika usaidizi katika kiwango cha mfumo. Ufikiaji wa FortiWeb unasalia tu na kituo cha ulinzi wa mtandao, na wao pekee hufanya mabadiliko kwenye mipangilio ya WAF inapohitajika haraka.
Pia tunashughulikia kuripoti kwa wateja. Tunapanga kwamba data juu ya mienendo ya kazi ya WAF itapatikana katika akaunti ya kibinafsi ya mteja. ELK itafanya hali iwe wazi zaidi bila hitaji la kurejelea WAF yenyewe.
Ikiwa mteja anataka kufuatilia ulinzi wao wenyewe kwa wakati halisi, ELK pia itakusaidia. Hatuwezi kutoa ufikiaji wa WAF, kwa kuwa kuingilia kati kwa mteja katika kazi kunaweza kuathiri wengine. Lakini unaweza kuchukua ELK tofauti na kuwapa "kucheza karibu".
Haya ni matukio ya kutumia mti wa Krismasi ambao tumekusanya hivi karibuni. Shiriki mawazo yako juu ya hili na usisahau ili kuzuia uvujaji wa hifadhidata.
Chanzo: mapenzi.com