எங்கள் இணைய பாதுகாப்பு மையம் வாடிக்கையாளரின் இணைய உள்கட்டமைப்பின் பாதுகாப்பிற்கு பொறுப்பாகும் மற்றும் கிளையன்ட் தளங்களில் தாக்குதல்களை தடுக்கிறது. தாக்குதல்களிலிருந்து பாதுகாக்க, FortiWeb Web Application Firewalls (WAFs) ஐப் பயன்படுத்துகிறோம். ஆனால் சிறந்த WAF கூட ஒரு சஞ்சீவி அல்ல மற்றும் இலக்கு தாக்குதல்களில் இருந்து "பெட்டிக்கு வெளியே" பாதுகாக்காது.
எனவே, WAF க்கு கூடுதலாக, நாங்கள் பயன்படுத்துகிறோம் . இது அனைத்து நிகழ்வுகளையும் ஒரே இடத்தில் சேகரிக்க உதவுகிறது, புள்ளிவிவரங்களைக் குவிக்கிறது, அதை காட்சிப்படுத்துகிறது மற்றும் இலக்கு தாக்குதலை சரியான நேரத்தில் பார்க்க அனுமதிக்கிறது.
WAF உடன் கிறிஸ்துமஸ் மரத்தை எவ்வாறு கடந்தோம், அதனால் என்ன வந்தது என்பதை இன்று நான் உங்களுக்கு விரிவாக கூறுவேன்.
ஒரு தாக்குதலின் கதை: ELK க்கு மாறுவதற்கு முன்பு அனைத்தும் எவ்வாறு செயல்பட்டன
எங்கள் கிளவுட்டில், வாடிக்கையாளர் எங்கள் WAF க்குப் பின்னால் பயன்பாட்டைப் பயன்படுத்தியுள்ளார். ஒரு நாளைக்கு 10 முதல் 000 பயனர்கள் வரை தளத்தில் இணைக்கப்பட்டுள்ளனர், இணைப்புகளின் எண்ணிக்கை ஒரு நாளைக்கு 100 மில்லியனை எட்டியது. இதில், 000-20 பயனர்கள் ஊடுருவி, தளத்தை ஹேக் செய்ய முயன்றனர்.
ஒரு ஐபி முகவரியில் இருந்து வழக்கமான வடிவம் ப்ரூட் ஃபோர்ஸ் மிகவும் எளிதாக FortiWeb மூலம் தடுக்கப்பட்டது. முறையான பயனர்களின் எண்ணிக்கையை விட, ஒரு நிமிடத்திற்கு தளத்தின் வெற்றிகளின் எண்ணிக்கை அதிகமாக இருந்தது. ஒரு முகவரியிலிருந்து செயல்பாட்டு வரம்புகளை அமைத்து, தாக்குதலை முறியடித்தோம்.
"மெதுவான தாக்குதல்களை" சமாளிப்பது மிகவும் கடினம், தாக்குபவர்கள் மெதுவாகச் செயல்பட்டு சாதாரண வாடிக்கையாளர்களாக மாறுவேடமிட்டால். அவர்கள் பல தனிப்பட்ட ஐபி முகவரிகளைப் பயன்படுத்துகின்றனர். இத்தகைய செயல்பாடு WAF க்கு பாரிய மிருகத்தனமாகத் தெரியவில்லை, தானாகவே அதைக் கண்காணிப்பது மிகவும் கடினமாக இருந்தது. மேலும் சாதாரண பயனர்களைத் தடுக்கும் அபாயமும் இருந்தது. தாக்குதலின் பிற அறிகுறிகளைத் தேடினோம், மேலும் இந்த அடையாளத்தின் அடிப்படையில் ஐபி முகவரிகளைத் தானாகத் தடுப்பதற்கான கொள்கையை அமைத்துள்ளோம். எடுத்துக்காட்டாக, பல முறைகேடான அமர்வுகள் http கோரிக்கை தலைப்புகளில் பொதுவான புலங்களைக் கொண்டிருந்தன. FortiWeb நிகழ்வுப் பதிவுகளில் நீங்கள் அடிக்கடி அத்தகைய புலங்களை கைமுறையாகத் தேட வேண்டும்.
இது நீண்ட மற்றும் சங்கடமானதாக இருந்தது. FortiWeb இன் நிலையான செயல்பாட்டில், நிகழ்வுகள் 3 வெவ்வேறு பதிவுகளில் உரையில் பதிவு செய்யப்படுகின்றன: கண்டறியப்பட்ட தாக்குதல்கள், கோரிக்கைகள் பற்றிய தகவல்கள் மற்றும் WAF செயல்பாடு பற்றிய கணினி செய்திகள். ஒரு நிமிடத்தில் டஜன் கணக்கான அல்லது நூற்றுக்கணக்கான தாக்குதல் நிகழ்வுகள் வரலாம்.
அதிகம் இல்லை, ஆனால் நீங்கள் பல பதிவுகள் வழியாக கைமுறையாக ஏறி பல வரிகளை மீண்டும் செய்ய வேண்டும்:
தாக்குதல் பதிவில், பயனர் முகவரிகள் மற்றும் செயல்பாட்டின் தன்மை ஆகியவற்றைக் காண்கிறோம்.
பதிவு அட்டவணையை ஸ்கேன் செய்தால் மட்டும் போதாது. தாக்குதலின் தன்மையைப் பற்றி மிகவும் சுவாரஸ்யமான மற்றும் பயனுள்ளவற்றைக் கண்டறிய, நீங்கள் ஒரு குறிப்பிட்ட நிகழ்வின் உள்ளே பார்க்க வேண்டும்:
முன்னிலைப்படுத்தப்பட்ட புலங்கள் "மெதுவான தாக்குதலை" கண்டறிய உதவுகின்றன. ஆதாரம்: ஸ்கிரீன்ஷாட் .
சரி, முக்கிய பிரச்சனை என்னவென்றால், ஒரு FortiWeb நிபுணர் மட்டுமே அதைக் கண்டுபிடிக்க முடியும். வணிக நேரத்தின் போது, சந்தேகத்திற்குரிய செயல்பாட்டை நிகழ்நேரத்தில் கண்காணிக்க முடிந்தால், இரவு நேர சம்பவங்கள் பற்றிய விசாரணை தாமதமாகலாம். FortiWeb கொள்கைகள் சில காரணங்களால் வேலை செய்யாதபோது, WAF-ஐ அணுகாமல் இரவு ஷிப்ட் பொறியாளர்களால் நிலைமையை மதிப்பிட முடியவில்லை மற்றும் FortiWeb நிபுணரை எழுப்பினர். நாங்கள் பல மணி நேரம் பதிவுகளை ஆராய்ந்து தாக்குதல் நடந்த தருணத்தைக் கண்டுபிடித்தோம்.
இத்தகைய தகவல்களின் எண்ணிக்கையால், பெரிய படத்தை ஒரே பார்வையில் புரிந்துகொண்டு செயலில் ஈடுபடுவது கடினம். எல்லாவற்றையும் காட்சி வடிவத்தில் பகுப்பாய்வு செய்யவும், தாக்குதலின் தொடக்கத்தைக் கண்டறியவும், அதன் திசையையும் தடுக்கும் முறையையும் அடையாளம் காண ஒரே இடத்தில் தரவைச் சேகரிக்க முடிவு செய்தோம்.
நீங்கள் எதை தேர்ந்தெடுத்தீர்கள்
முதலில், ஏற்கனவே பயன்பாட்டில் உள்ள தீர்வுகளைப் பார்த்தோம், இதனால் தேவையில்லாமல் பொருட்களைப் பெருக்க வேண்டாம்.
முதல் விருப்பங்களில் ஒன்று Nagiosநாங்கள் கண்காணிக்கப் பயன்படுத்துகிறோம் , , அவசர எச்சரிக்கைகள். சந்தேகத்திற்கிடமான போக்குவரத்து ஏற்பட்டால், உதவியாளர்களுக்குத் தெரிவிக்க பாதுகாப்புக் காவலர்களும் இதைப் பயன்படுத்துகின்றனர், ஆனால் அது வேறுபட்ட பதிவுகளை எவ்வாறு சேகரிப்பது என்று தெரியவில்லை, அதனால் மறைந்துவிடும்.
எல்லாவற்றையும் ஒருங்கிணைக்க ஒரு விருப்பம் இருந்தது MySQL மற்றும் PostgreSQL அல்லது மற்றொரு தொடர்புடைய தரவுத்தளம். ஆனால் தரவை வெளியே இழுக்க, உங்கள் விண்ணப்பத்தை செதுக்க வேண்டியது அவசியம்.
எங்கள் நிறுவனத்தில் பதிவு சேகரிப்பாளராகவும் அவர்கள் பயன்படுத்துகிறார்கள் FortiAnalyzer Fortinet இலிருந்து. ஆனால் இந்த விஷயத்தில் அவரும் பொருந்தவில்லை. முதலாவதாக, ஃபயர்வாலுடன் வேலை செய்வது மிகவும் கூர்மையாக உள்ளது ஃபோர்டிகேட். இரண்டாவதாக, பல அமைப்புகள் காணவில்லை, அதனுடன் தொடர்புகொள்வதற்கு SQL வினவல்கள் பற்றிய சிறந்த அறிவு தேவை. மூன்றாவதாக, அதன் பயன்பாடு வாடிக்கையாளருக்கான சேவையின் விலையை அதிகரிக்கும்.
இப்படித்தான் முகநூலில் ஓப்பன் சோர்ஸுக்கு வந்தோம் ELK.
ELK ஐ ஏன் தேர்வு செய்ய வேண்டும்
ELK என்பது திறந்த மூல நிரல்களின் தொகுப்பாகும்:
- Elasticsearch - நேரத் தொடரின் தரவுத்தளம், இது பெரிய அளவிலான உரையுடன் வேலை செய்ய உருவாக்கப்பட்டது;
- Logstash - பதிவுகளை விரும்பிய வடிவத்திற்கு மாற்றக்கூடிய தரவு சேகரிப்பு பொறிமுறை;
- Kibana - ஒரு நல்ல காட்சிப்படுத்தல், அத்துடன் மீள் தேடலை நிர்வகிப்பதற்கான மிகவும் நட்பு இடைமுகம். இரவில் பணிபுரியும் பொறியாளர்களால் கண்காணிக்கப்படும் அட்டவணையை உருவாக்க நீங்கள் இதைப் பயன்படுத்தலாம்.
ELKக்கான நுழைவு வரம்பு குறைவாக உள்ளது. அனைத்து அடிப்படை அம்சங்களும் இலவசம். மகிழ்ச்சிக்கு வேறு என்ன வேண்டும்.
எப்படி அனைத்தையும் ஒரே அமைப்பில் சேர்த்தீர்கள்?
குறியீடுகளை உருவாக்கி, தேவையான தகவல்களை மட்டும் விட்டுச் சென்றது. மூன்று FortiWEB பதிவுகளையும் ELK இல் ஏற்றியுள்ளோம் - வெளியீடு குறியீடுகளாகும். இவை ஒரு குறிப்பிட்ட காலத்திற்கு சேகரிக்கப்பட்ட அனைத்து பதிவுகளையும் கொண்ட கோப்புகள், எடுத்துக்காட்டாக, ஒரு நாள். நாம் உடனடியாக அவற்றைக் காட்சிப்படுத்தினால், தாக்குதல்களின் இயக்கவியலை மட்டுமே பார்க்க முடியும். விவரங்களுக்கு, நீங்கள் ஒவ்வொரு தாக்குதலிலும் "விழுந்து" குறிப்பிட்ட புலங்களைப் பார்க்க வேண்டும்.
முதலில் நாம் கட்டமைக்கப்படாத தகவல்களின் பாகுபடுத்தலை அமைக்க வேண்டும் என்பதை உணர்ந்தோம். "செய்தி" மற்றும் "URL" போன்ற நீண்ட புலங்களை சரங்களாக எடுத்து, முடிவெடுப்பதற்கான கூடுதல் தகவலைப் பெற அவற்றைப் பாகுபடுத்தினோம்.
எடுத்துக்காட்டாக, பாகுபடுத்தலைப் பயன்படுத்தி, பயனரின் இருப்பிடத்தைத் தனித்தனியாக எடுத்தோம். ரஷ்ய பயனர்களுக்கான தளங்களில் வெளிநாட்டிலிருந்து தாக்குதல்களை உடனடியாக முன்னிலைப்படுத்த இது உதவியது. மற்ற நாடுகளின் அனைத்து இணைப்புகளையும் தடுப்பதன் மூலம், தாக்குதல்களின் எண்ணிக்கையை 2 மடங்கு குறைத்தோம், மேலும் ரஷ்யாவிற்குள் தாக்குதல்களை எளிதாக சமாளிக்க முடியும்.
பாகுபடுத்திய பிறகு, என்ன தகவல்களைச் சேமித்து காட்சிப்படுத்துவது என்று தேடத் தொடங்கினர். பதிவில் உள்ள அனைத்தையும் விட்டுவிடுவது பொருத்தமற்றது: ஒரு குறியீட்டின் அளவு பெரியது - 7 ஜிபி. ELK கோப்பைச் செயலாக்க நீண்ட நேரம் எடுத்தது. இருப்பினும், அனைத்து தகவல்களும் பயனுள்ளதாக இல்லை. ஏதோ நகல் எடுக்கப்பட்டு கூடுதல் இடத்தைப் பிடித்தது - மேம்படுத்துவது அவசியம்.
முதலில், நாங்கள் குறியீட்டைப் பார்த்து, தேவையற்ற நிகழ்வுகளை அகற்றினோம். FortiWeb இல் உள்ள பதிவுகளுடன் வேலை செய்வதை விட இது மிகவும் சிரமமாகவும் நீண்டதாகவும் மாறியது. இந்த கட்டத்தில் "கிறிஸ்துமஸ் மரத்தின்" ஒரே பிளஸ் என்னவென்றால், ஒரு திரையில் அதிக நேரத்தை எங்களால் காட்சிப்படுத்த முடிந்தது.
நாங்கள் விரக்தியடையவில்லை, நாங்கள் தொடர்ந்து கற்றாழை சாப்பிட்டு ELK ஐப் படித்தோம், தேவையான தகவல்களைப் பிரித்தெடுக்க முடியும் என்று நம்பினோம். குறியீடுகளை சுத்தம் செய்த பிறகு, என்ன என்பதை நாங்கள் கற்பனை செய்ய ஆரம்பித்தோம். எனவே நாங்கள் பெரிய டாஷ்போர்டுகளுக்கு வந்தோம். நாங்கள் விட்ஜெட்களை குத்தினோம் - பார்வை மற்றும் நேர்த்தியாக, ஒரு உண்மையான ЁLKa!
தாக்குதலின் தருணத்தை கைப்பற்றியது. தாக்குதலின் ஆரம்பம் விளக்கப்படத்தில் எப்படி இருக்கிறது என்பதை இப்போது புரிந்து கொள்ள வேண்டியது அவசியம். அதைக் கண்டறிய, பயனருக்கான சேவையகத்தின் பதில்களைப் பார்த்தோம் (திரும்பக் குறியீடுகள்). அத்தகைய குறியீடுகளுடன் (rc) சேவையக பதில்களில் நாங்கள் ஆர்வமாக உள்ளோம்:
குறியீடு (ஆர்சி)
பெயர்
விளக்கம்
0
கைவிட
சேவையகத்திற்கான கோரிக்கை தடுக்கப்பட்டது
200
Ok
கோரிக்கை வெற்றிகரமாக செயல்படுத்தப்பட்டது
400
தவறான கோரிக்கை
தவறான கோரிக்கை
403
தடைசெய்யப்பட்ட
அங்கீகாரம் மறுக்கப்பட்டது
500
உள்ளக சர்வர் பிழை
சேவை கிடைக்கவில்லை
யாராவது தளத்தைத் தாக்கத் தொடங்கினால், குறியீடுகளின் விகிதம் மாறியது:
- குறியீடு 400 உடன் அதிகமான தவறான கோரிக்கைகளும், குறியீடு 200 உடன் அதே எண்ணிக்கையிலான சாதாரண கோரிக்கைகளும் இருந்தால், யாரோ ஒருவர் தளத்தை ஹேக் செய்ய முயற்சிக்கிறார்.
- அதே நேரத்தில், குறியீடு 0 கொண்ட கோரிக்கைகளும் அதிகரித்தால், FortiWeb அரசியல்வாதிகளும் தாக்குதலை "பார்த்து" அதற்குத் தடைகளைப் பயன்படுத்துகின்றனர்.
- குறியீடு 500 உடன் செய்திகளின் எண்ணிக்கை அதிகரித்தால், இந்த ஐபி முகவரிகளுக்கு தளம் கிடைக்காது - ஒரு வகையான தடுப்பு.
மூன்றாவது மாதத்தில், இந்தச் செயல்பாட்டைக் கண்காணிக்க டாஷ்போர்டை அமைத்துள்ளோம்.
எல்லாவற்றையும் கைமுறையாகக் கண்காணிக்காமல் இருக்க, நாகியோஸுடன் ஒருங்கிணைப்பை அமைத்துள்ளோம், இது குறிப்பிட்ட இடைவெளியில் ELK-ஐ வாக்களித்தது. குறியீடுகள் மூலம் வரம்பு மதிப்புகளின் சாதனையைப் பதிவுசெய்தால், சந்தேகத்திற்கிடமான செயல்பாடு குறித்து கடமை அதிகாரிகளுக்கு அது ஒரு அறிவிப்பை அனுப்பியது.
கண்காணிப்பு அமைப்பில் 4 விளக்கப்படங்கள் இணைக்கப்பட்டுள்ளன. தாக்குதல் தடுக்கப்படாத தருணத்தையும் ஒரு பொறியாளரின் தலையீடு தேவைப்படும் தருணத்தையும் வரைபடங்களில் பார்ப்பது இப்போது முக்கியமானது. 4 வெவ்வேறு வரைபடங்களில், எங்கள் கண் மங்கலாக இருந்தது. எனவே, நாங்கள் விளக்கப்படங்களை இணைத்து எல்லாவற்றையும் ஒரே திரையில் கவனிக்க ஆரம்பித்தோம்.
கண்காணிப்பில், வெவ்வேறு வண்ணங்களின் வரைபடங்கள் எவ்வாறு மாறுகின்றன என்பதைப் பார்த்தோம். ஆரஞ்சு மற்றும் நீல வரைபடங்கள் FortiWeb இன் எதிர்வினையைக் காட்டியபோது, சிவப்பு நிற வெடிப்பு தாக்குதல் தொடங்கியதைக் குறிக்கிறது:
இங்கே எல்லாம் நன்றாக இருக்கிறது: "சிவப்பு" செயல்பாட்டின் எழுச்சி இருந்தது, ஆனால் FortiWeb சமாளித்தது மற்றும் தாக்குதல் அட்டவணை பயனற்றது.
தலையீடு தேவைப்படும் வரைபடத்தின் உதாரணத்தையும் நாங்கள் வரைந்தோம்:
FortiWeb செயல்பாடு அதிகரித்திருப்பதை இங்கே காணலாம், ஆனால் சிவப்பு தாக்குதல் வரைபடம் குறையவில்லை. நீங்கள் WAF அமைப்புகளை மாற்ற வேண்டும்.
இரவு நேர சம்பவங்களை விசாரிப்பதும் எளிதாகிவிட்டது. தளத்தின் பாதுகாப்பிற்கு வர வேண்டிய தருணத்தை வரைபடம் உடனடியாகக் காட்டுகிறது.
அதுதான் சில சமயங்களில் இரவில் நடக்கும். சிவப்பு வரைபடம் - தாக்குதல் தொடங்கியது. நீலம் - FortiWeb செயல்பாடு. தாக்குதல் முற்றிலும் தடுக்கப்படவில்லை, நாங்கள் தலையிட வேண்டியிருந்தது.
நாம் எங்கே செல்கிறோம்
இப்போது ELK உடன் பணிபுரிய கடமை நிர்வாகிகளுக்கு பயிற்சி அளிக்கிறோம். உதவியாளர்கள் டாஷ்போர்டில் உள்ள நிலைமையை மதிப்பிட்டு முடிவெடுக்க கற்றுக்கொள்கிறார்கள்: FortiWeb நிபுணரிடம் செல்ல வேண்டிய நேரம் இது, அல்லது WAF இல் உள்ள கொள்கைகள் தானாக தாக்குதலைத் தடுக்க போதுமானதாக இருக்கும். எனவே நாங்கள் இரவில் தகவல் பாதுகாப்பு பொறியாளர்களின் சுமையை குறைக்கிறோம் மற்றும் கணினி மட்டத்தில் ஆதரவில் பங்குகளை பிரிக்கிறோம். FortiWebக்கான அணுகல் இணைய பாதுகாப்பு மையத்துடன் மட்டுமே உள்ளது, மேலும் அவை அவசரமாக தேவைப்படும்போது மட்டுமே WAF அமைப்புகளில் மாற்றங்களைச் செய்யும்.
வாடிக்கையாளர்களுக்காக அறிக்கையிடவும் நாங்கள் பணியாற்றி வருகிறோம். வாடிக்கையாளரின் தனிப்பட்ட கணக்கில் WAF வேலையின் இயக்கவியல் பற்றிய தரவு கிடைக்கும் என்று நாங்கள் திட்டமிட்டுள்ளோம். ELK ஆனது WAF ஐக் குறிப்பிட வேண்டிய அவசியமின்றி நிலைமையை தெளிவுபடுத்தும்.
வாடிக்கையாளர் தங்கள் சொந்த பாதுகாப்பை நிகழ்நேரத்தில் கண்காணிக்க விரும்பினால், ELKயும் பயனுள்ளதாக இருக்கும். WAFக்கான அணுகலை எங்களால் வழங்க முடியாது, ஏனெனில் பணியில் வாடிக்கையாளர்களின் தலையீடு மற்றவற்றை பாதிக்கலாம். ஆனால் நீங்கள் ஒரு தனி ELK ஐ எடுத்து "சுற்றி விளையாட" கொடுக்கலாம்.
சமீபத்தில் நாம் குவித்துள்ள கிறிஸ்துமஸ் மரத்தைப் பயன்படுத்துவதற்கான காட்சிகள் இவை. இதைப் பற்றிய உங்கள் எண்ணங்களைப் பகிர்ந்து கொள்ளுங்கள், மறக்காதீர்கள் தரவுத்தள கசிவை தவிர்க்க.
ஆதாரம்: www.habr.com