எங்கள் வாடிக்கையாளர்களின் வேலையில் "மூன்றாம் தரப்பினர்" எவ்வாறு தலையிட முயன்றனர் மற்றும் இந்த பிரச்சனை எவ்வாறு தீர்க்கப்பட்டது என்பது பற்றிய ஒரு அருமையான கதையை உங்களுக்கு கூறுவோம்.
இது எப்படி தொடங்கியது
இது அனைத்தும் மாதத்தின் கடைசி நாளான அக்டோபர் 31 ஆம் தேதி காலையில் தொடங்கியது, பலருக்கு அவசர மற்றும் முக்கியமான பிரச்சினைகளைத் தீர்க்க நேரம் தேவைப்படுகிறது.
எங்கள் கிளவுட்டில் அவர் சேவை செய்யும் வாடிக்கையாளர்களின் பல மெய்நிகர் இயந்திரங்களை வைத்திருக்கும் கூட்டாளர்களில் ஒருவர், 9:10 முதல் 9:20 வரை எங்கள் உக்ரேனிய தளத்தில் இயங்கும் பல விண்டோஸ் சேவையகங்கள் தொலைநிலை அணுகல் சேவைக்கான இணைப்புகளை ஏற்கவில்லை, பயனர்கள் இயலவில்லை என்று தெரிவித்தார். அவர்களின் டெஸ்க்டாப்பில் உள்நுழைய, ஆனால் சில நிமிடங்களுக்குப் பிறகு சிக்கல் தானாகவே தீர்க்கப்பட்டது.
தகவல்தொடர்பு சேனல்களின் செயல்பாடு குறித்த புள்ளிவிவரங்களை நாங்கள் எழுப்பினோம், ஆனால் போக்குவரத்து நெரிசல்கள் அல்லது தோல்விகள் எதுவும் கண்டறியப்படவில்லை. கம்ப்யூட்டிங் வளங்களின் சுமை குறித்த புள்ளிவிவரங்களைப் பார்த்தோம் - முரண்பாடுகள் இல்லை. அது என்ன?
எங்கள் கிளவுட்டில் நூற்றுக்கும் மேற்பட்ட சேவையகங்களை வழங்கும் மற்றொரு கூட்டாளர், அவர்களின் வாடிக்கையாளர்களில் சிலர் குறிப்பிட்ட அதே சிக்கல்களைப் புகாரளித்தார், மேலும் பொதுவாக சேவையகங்கள் அணுகக்கூடியதாக மாறியது (பிங் சோதனை மற்றும் பிற கோரிக்கைகளுக்கு சரியாக பதிலளிக்கிறது), ஆனால் இந்த சேவையகங்களில் உள்ள சேவை தொலைநிலை அணுகல் புதிய இணைப்புகளை ஏற்றுக்கொள்கிறது அல்லது அவற்றை நிராகரிக்கிறது, மேலும் நாங்கள் வெவ்வேறு தளங்களில் உள்ள சேவையகங்களைப் பற்றி பேசுகிறோம், வெவ்வேறு தரவு பரிமாற்ற சேனல்களில் இருந்து வரும் போக்குவரத்து.
இந்த போக்குவரத்தைப் பார்ப்போம். இணைப்பு கோரிக்கையுடன் ஒரு பாக்கெட் சேவையகத்திற்கு வருகிறது:
xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
சேவையகம் இந்த பாக்கெட்டைப் பெறுகிறது, ஆனால் இணைப்பை நிராகரிக்கிறது:
xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0
இதன் பொருள் என்னவென்றால், உள்கட்டமைப்பின் செயல்பாட்டில் உள்ள எந்தவொரு பிரச்சனையாலும் பிரச்சனை ஏற்படவில்லை, ஆனால் வேறு ஏதோவொன்றால் பிரச்சனை ஏற்படுகிறது. தொலைநிலை டெஸ்க்டாப் உரிமம் வழங்குவதில் அனைத்து பயனர்களுக்கும் சிக்கல்கள் இருக்கலாம்? சில வகையான தீம்பொருள் அவர்களின் கணினிகளில் ஊடுருவ முடிந்தது, இன்று அது இரண்டு ஆண்டுகளுக்கு முன்பு போலவே செயல்படுத்தப்பட்டது. XData и Petya?
நாங்கள் அதை வரிசைப்படுத்தும் போது, மேலும் பல வாடிக்கையாளர்கள் மற்றும் கூட்டாளர்களிடமிருந்து இதே போன்ற கோரிக்கைகளைப் பெற்றோம்.
இந்த இயந்திரங்களில் உண்மையில் என்ன நடக்கிறது?
நிகழ்வு பதிவுகள் கடவுச்சொல்லை யூகிக்க முயற்சிகள் பற்றிய செய்திகள் நிறைந்துள்ளன:
பொதுவாக, தொலைநிலை அணுகல் சேவைக்கு நிலையான போர்ட் (3389) பயன்படுத்தப்படும் மற்றும் எல்லா இடங்களிலிருந்தும் அணுகல் அனுமதிக்கப்படும் அனைத்து சேவையகங்களிலும் இத்தகைய முயற்சிகள் பதிவு செய்யப்படுகின்றன. கிடைக்கக்கூடிய அனைத்து இணைப்பு புள்ளிகளையும் தொடர்ந்து ஸ்கேன் செய்து கடவுச்சொல்லை யூகிக்க முயற்சிக்கும் போட்களால் இணையம் நிரம்பியுள்ளது (இதனால்தான் “123” க்குப் பதிலாக சிக்கலான கடவுச்சொற்களைப் பயன்படுத்த பரிந்துரைக்கிறோம்). இருப்பினும், அன்று இந்த முயற்சிகளின் தீவிரம் மிக அதிகமாக இருந்தது.
நான் என்ன செய்ய வேண்டும்?
வாடிக்கையாளர்கள் அதிக எண்ணிக்கையிலான இறுதிப் பயனர்கள் வேறு போர்ட்டுக்கு மாறுவதற்கு அமைப்புகளை மாற்றுவதற்கு அதிக நேரம் செலவிடுவதைப் பரிந்துரைக்கிறீர்களா? நல்ல யோசனை இல்லை, வாடிக்கையாளர்கள் மகிழ்ச்சியாக இருக்க மாட்டார்கள். VPN வழியாக மட்டுமே அணுகலை அனுமதிக்க பரிந்துரைக்கிறீர்களா? அவசரத்திலும் பீதியிலும், IPSec இணைப்புகளை உயர்த்தாதவர்களுக்காக உயர்த்துவது - ஒருவேளை அத்தகைய மகிழ்ச்சி வாடிக்கையாளர்களைப் பார்த்து புன்னகைக்காது. எப்படியிருந்தாலும், இது ஒரு தெய்வீகமான விஷயம் என்று நான் சொல்ல வேண்டும் என்றாலும், சேவையகத்தை ஒரு தனியார் நெட்வொர்க்கில் மறைக்க நாங்கள் எப்போதும் பரிந்துரைக்கிறோம் மற்றும் அமைப்புகளுக்கு உதவ தயாராக இருக்கிறோம், மேலும் அதை சொந்தமாக கண்டுபிடிக்க விரும்புவோருக்கு, நாங்கள் வழிமுறைகளைப் பகிர்ந்து கொள்கிறோம். எங்கள் கிளவுட்டில் IPSec/L2TP ஐ சைட்-டு-சைட் அல்லது ரோட் மோட்-வார்ரியரில் அமைப்பதற்கு, மேலும் யாராவது தங்கள் சொந்த விண்டோஸ் சர்வரில் VPN சேவையை அமைக்க விரும்பினால், அதை எவ்வாறு அமைப்பது என்பது குறித்த உதவிக்குறிப்புகளைப் பகிர்ந்து கொள்ள அவர்கள் எப்போதும் தயாராக இருப்பார்கள். நிலையான RAS அல்லது OpenVPN. ஆனால், நாங்கள் எவ்வளவு குளிர்ச்சியாக இருந்தாலும், வாடிக்கையாளர்களிடையே கல்விப் பணிகளை மேற்கொள்ள இது சிறந்த நேரம் அல்ல, ஏனெனில் பயனர்களுக்கு குறைந்த மன அழுத்தத்துடன் கூடிய விரைவில் சிக்கலை சரிசெய்ய வேண்டும்.
நாங்கள் செயல்படுத்திய தீர்வு பின்வருமாறு. போர்ட் 3389 க்கு TCP இணைப்பை நிறுவுவதற்கான அனைத்து முயற்சிகளையும் கண்காணிக்கும் வகையில் டிராஃபிக்கைக் கடந்து செல்லும் ஒரு பகுப்பாய்வை நாங்கள் அமைத்துள்ளோம், மேலும் 150 வினாடிகளுக்குள் எங்கள் நெட்வொர்க்கில் 16 க்கும் மேற்பட்ட வெவ்வேறு சேவையகங்களுடன் இணைப்புகளை உருவாக்க முயற்சிக்கும் முகவரிகளைத் தேர்ந்தெடுக்கிறோம். - இவை தாக்குதலின் ஆதாரங்கள் ( நிச்சயமாக, வாடிக்கையாளர்கள் அல்லது கூட்டாளர்களில் ஒருவருக்கு ஒரே மூலத்திலிருந்து பல சேவையகங்களுடன் இணைப்புகளை நிறுவ வேண்டிய உண்மையான தேவை இருந்தால், நீங்கள் எப்போதும் அத்தகைய ஆதாரங்களை "வெள்ளை பட்டியலில்" சேர்க்கலாம். இந்த 150 வினாடிகளுக்கு ஒரு கிளாஸ் C நெட்வொர்க்கில், 32 முகவரிகளுக்கு மேல் அடையாளம் காணப்பட்டால், முழு நெட்வொர்க்கையும் தடுப்பது அர்த்தமுள்ளதாக இருக்கும்.தடுத்தல் 3 நாட்களுக்கு அமைக்கப்பட்டுள்ளது, மேலும் இந்த நேரத்தில் கொடுக்கப்பட்ட மூலத்திலிருந்து தாக்குதல் எதுவும் நடத்தப்படவில்லை என்றால், இந்த ஆதாரம் தானாகவே "கருப்பு பட்டியலில் இருந்து அகற்றப்படும்." தடுக்கப்பட்ட ஆதாரங்களின் பட்டியல் ஒவ்வொரு 300 வினாடிகளுக்கும் புதுப்பிக்கப்படும்.
இந்த பட்டியல் இந்த முகவரியில் கிடைக்கிறது: , அதன் அடிப்படையில் உங்கள் ACLகளை உருவாக்கலாம்.
அத்தகைய அமைப்பின் மூலக் குறியீட்டைப் பகிர்ந்து கொள்ள நாங்கள் தயாராக உள்ளோம்; இதில் சிக்கலான எதுவும் இல்லை (இவை முழங்காலில் இரண்டு மணிநேரங்களில் தொகுக்கப்பட்ட பல எளிய ஸ்கிரிப்டுகள்), அதே நேரத்தில் அதைத் தழுவி பயன்படுத்த முடியாது. அத்தகைய தாக்குதலிலிருந்து பாதுகாப்பதற்கு மட்டுமே, ஆனால் பிணையத்தை ஸ்கேன் செய்வதற்கான எந்தவொரு முயற்சியையும் கண்டறிந்து தடுப்பதற்கும்:
கூடுதலாக, கண்காணிப்பு அமைப்பின் அமைப்புகளில் சில மாற்றங்களைச் செய்துள்ளோம், இது RDP இணைப்பை நிறுவும் முயற்சியில் எங்கள் கிளவுட்டில் உள்ள மெய்நிகர் சேவையகங்களின் கட்டுப்பாட்டுக் குழுவின் எதிர்வினையை இப்போது மிகவும் உன்னிப்பாகக் கண்காணிக்கிறது: எதிர்வினை ஒரு க்குள் பின்பற்றப்படாவிட்டால் இரண்டாவதாக, இது கவனம் செலுத்த ஒரு காரணம்.
தீர்வு மிகவும் பயனுள்ளதாக மாறியது: வாடிக்கையாளர்கள் மற்றும் கூட்டாளர்கள் மற்றும் கண்காணிப்பு அமைப்பிலிருந்து புகார்கள் எதுவும் இல்லை. புதிய முகவரிகள் மற்றும் முழு நெட்வொர்க்குகளும் தொடர்ந்து தடுப்புப்பட்டியலில் சேர்க்கப்படுகின்றன, இது தாக்குதல் தொடர்கிறது என்பதைக் குறிக்கிறது, ஆனால் எங்கள் வாடிக்கையாளர்களின் வேலையை இனி பாதிக்காது.
வயலில் தனியாக ஒரு போர்வீரன் இல்லை
மற்ற ஆபரேட்டர்களும் இதேபோன்ற சிக்கலை எதிர்கொண்டதை இன்று அறிந்தோம். தொலைநிலை அணுகல் சேவையின் குறியீட்டில் மைக்ரோசாப்ட் சில மாற்றங்களைச் செய்ததாக யாரோ ஒருவர் இன்னும் நம்புகிறார் (உங்களுக்கு நினைவிருந்தால், முதல் நாளில் நாங்கள் அதையே சந்தேகித்தோம், ஆனால் இந்த பதிப்பை மிக விரைவாக நிராகரித்தோம்) மேலும் விரைவில் தீர்வு காண முடிந்த அனைத்தையும் செய்வதாக உறுதியளிக்கிறது . சிலர் சிக்கலைப் புறக்கணித்து, வாடிக்கையாளர்களுக்கு தங்களைத் தாங்களே பாதுகாத்துக் கொள்ள அறிவுறுத்துகிறார்கள் (இணைப்பு துறைமுகத்தை மாற்றவும், சேவையகத்தை தனியார் நெட்வொர்க்கில் மறைக்கவும் மற்றும் பல). முதல் நாளிலேயே, இந்தச் சிக்கலைத் தீர்ப்பது மட்டுமல்லாமல், நாங்கள் உருவாக்கத் திட்டமிட்டுள்ள உலகளாவிய அச்சுறுத்தல் கண்டறிதல் அமைப்புக்கான சில அடித்தளங்களையும் உருவாக்கினோம்.
ஆற்றங்கரையில் ஒரு நாள் எதிரியின் சடலம் மிதக்கும் வரை காத்திருக்காமல் அமைதியாக இருந்த வாடிக்கையாளர்களுக்கும் கூட்டாளர்களுக்கும் சிறப்பு நன்றி, ஆனால் உடனடியாக எங்கள் கவனத்தை ஈர்த்தது, இது பிரச்சினையை அகற்ற எங்களுக்கு வாய்ப்பளித்தது. அது அதே நாளில்.
ஆதாரம்: www.habr.com