Биёед ба шумо як ҳикояи ҷолиберо нақл кунем, ки чӣ гуна "шахсони сеюм" ба кори муштариёни мо халал расонданӣ шуданд ва ин мушкилот чӣ гуна ҳал шуд.
Чӣ тавр ҳамааш оғоз ёфт
Ҳамааш аз субҳи 31 октябр, рӯзи охирини моҳ оғоз шуд, ки бисёриҳо барои ҳалли масъалаҳои таъхирнопазир ва муҳим вақт доранд.
Яке аз шарикон, ки якчанд мошини виртуалии муштариёнеро, ки ӯ дар абри мо хидмат мекунад, нигоҳ медорад, хабар дод, ки аз соати 9:10 то 9:20 якчанд серверҳои Windows, ки дар сайти украинии мо кор мекунанд, пайвастшавӣ ба хидмати дастрасии дурдастро қабул накарданд, корбарон натавонистанд ки ба мизи кории онҳо ворид шаванд, аммо пас аз чанд дақиқа мушкилот худаш ҳал шуд.
Мо омори кори каналҳои алоқаро ба даст овардем, аммо ягон афзоиши ҳаракат ва нокомиро надидем. Мо ба омор оид ба сарбории захираҳои компютерӣ назар кардем - ягон аномалия вуҷуд надорад. Ва ин чӣ буд?
Сипас шарики дигаре, ки тақрибан сад сервери дигарро дар абри мо ҷойгир мекунад, дар бораи ҳамон мушкилоте хабар дод, ки баъзе аз муштариёни онҳо қайд карданд ва маълум шуд, ки дар маҷмӯъ серверҳо дастрасанд (ба санҷиши пинг ва дигар дархостҳо дуруст посух медиҳанд), аммо хидматрасонии дастрасии дурдаст дар ин серверҳо ё пайвастҳои навро қабул мекунад ё онҳоро рад мекунад ва мо дар бораи серверҳо дар сайтҳои гуногун сӯҳбат мекардем, ки трафик ба онҳо аз каналҳои гуногуни интиқоли маълумот меояд.
Биёед ин трафикро бубинем. Бастаи дорои дархости пайвастшавӣ ба сервер меояд:
xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
Сервер ин бастаро қабул мекунад, аммо пайвастшавиро рад мекунад:
xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0
Ин маънои онро дорад, ки мушкилӣ бешубҳа на аз ягон мушкилот дар кори инфрасохтор, балки аз чизи дигар ба вуҷуд омадааст. Шояд ҳама корбарон бо иҷозатномадиҳии мизи кории дурдаст мушкилот дошта бошанд? Шояд як навъ нармафзори зараровар тавонист ба системаҳои онҳо ворид шавад ва имрӯз он фаъол шуд, чунон ки чанд сол пеш буд XData и Петя?
Ҳангоме ки мо онро ҳал мекардем, мо аз чанд мизоҷ ва шарикони дигар чунин дархостҳо гирифтем.
Дар ин мошинҳо воқеан чӣ мешавад?
Гузоришҳои рӯйдодҳо пур аз паёмҳо дар бораи кӯшиши тахмин кардани парол мебошанд:
Одатан, чунин кӯшишҳо дар ҳама серверҳое ба қайд гирифта мешаванд, ки дар он порти стандартӣ (3389) барои хидмати дастрасии дурдаст истифода мешавад ва дастрасӣ аз ҳама ҷо иҷозат дода мешавад. Интернет пур аз ботҳоест, ки ҳама нуқтаҳои дастрасии пайвастшавиро мунтазам скан мекунанд ва кӯшиш мекунанд, ки паролро фаҳманд (бинобар ин мо тавсия медиҳем, ки ба ҷои "123" паролҳои мураккабро истифода барем). Аммо шиддати ин кӯшишҳо он рӯз хеле баланд буд.
Чӣ тавр идома додан?
Тавсия медиҳед, ки муштариён барои тағир додани танзимот барои шумораи зиёди корбарони ниҳоӣ барои гузаштан ба бандари дигар вақти зиёд сарф мекунанд? Идеяи хуб нест, муштариён хурсанд намешаванд. Тавсия дода мешавад, ки дастрасӣ танҳо тавассути VPN иҷозат дода шавад? Дар шитоб ва воҳима, баланд бардоштани пайвастҳои IPSec барои онҳое, ки онҳоро тарбия накардаанд - шояд чунин хушбахтӣ ба мизоҷон низ табассум намекунад. Гарчанде, ки ман бояд бигӯям, ки ин дар ҳама ҳолат як чизи худотарс аст, мо ҳамеша тавсия медиҳем, ки серверро дар шабакаи хусусӣ пинҳон кунем ва омодаем дар танзимот кӯмак кунем ва барои онҳое, ки мехоҳанд онро мустақилона ҳал кунанд, мо дастурҳоро мубодила мекунем. барои насб кардани IPSec/L2TP дар абри мо дар сайт ба сайт ё реҷаи роҳ -warrior ва агар касе мехоҳад дар сервери Windows-и худ хидмати VPN насб кунад, онҳо ҳамеша омодаанд маслиҳатҳоро оид ба насб кардани RAS стандартӣ ё OpenVPN. Аммо, новобаста аз он ки мо чӣ қадар сард будем, ин вақти беҳтарин барои гузаронидани корҳои таълимӣ дар байни мизоҷон набуд, зеро ба мо лозим буд, ки мушкилотро ҳарчи зудтар бо фишори ҳадди ақал барои корбарон ҳал кунем.
Ҳалли амали мо чунин буд. Мо таҳлили интиқоли трафикро тавре муқаррар кардем, ки ҳама кӯшишҳои таъсиси пайвасти TCP ба порти 3389 назорат карда шаванд ва аз он суроғаҳоеро интихоб кунем, ки дар давоми 150 сония кӯшиши барқарор кардани пайвастшавӣ бо зиёда аз 16 серверҳои гуногун дар шабакаи мо доранд. - инҳо сарчашмаҳои ҳамла мебошанд (Албатта, агар яке аз муштариён ё шарикон эҳтиёҷоти воқеии барои барқарор кардани пайвастшавӣ бо ин қадар серверҳои як манбаъ дошта бошад, шумо метавонед ҳамеша чунин манбаъҳоро ба "рӯйхати сафед" илова кунед. агар дар як шабакаи класси С дар давоми ин 150 сония зиёда аз 32 сурога муайян карда шавад, масдуд кардани тамоми шабака ба максад мувофик аст.Баскуни барои 3 руз мукаррар карда мешавад ва агар дар ин муддат аз манбаи додашуда ягон хучум сурат нагирифта бошад, ин манбаъ ба таври худкор аз "рӯйхати сиёҳ" хориҷ карда мешавад. Рӯйхати манбаъҳои басташуда ҳар 300 сония нав карда мешавад.
Ин рӯйхат дар ин суроға дастрас аст: , шумо метавонед ACL-ҳои худро дар асоси он созед.
Мо омодаем, ки рамзи сарчашмаи чунин системаро мубодила кунем; дар он ҳеҷ чизи аз ҳад зиёд мураккаб вуҷуд надорад (инҳо якчанд скриптҳои оддӣ мебошанд, ки аслан дар тӯли якчанд соат дар зону тартиб дода шудаанд) ва ҳамзамон онро мутобиқ кардан мумкин аст ва истифода намешавад. танҳо барои муҳофизат аз чунин ҳамла, балки инчунин барои ошкор ва бастани ҳама гуна кӯшишҳои скан кардани шабака:
Илова бар ин, мо ба танзимоти системаи мониторинг баъзе тағирот ворид кардем, ки ҳоло аксуламали гурӯҳи назоратии серверҳои виртуалиро дар абри мо ба кӯшиши барқарор кардани пайвасти RDP бодиққат назорат мекунад: агар аксуламал дар доираи як вақт ба амал наояд. дуюм, ин сабаби диккат додан аст.
Ҳалли хеле самаранок буд: шикоят аз муштариён ва шарикон ва системаи мониторинг дигар нест. Суроғаҳои нав ва тамоми шабакаҳо мунтазам ба рӯйхати сиёҳ илова карда мешаванд, ки ин нишон медиҳад, ки ҳамла идома дорад, аммо дигар ба кори мизоҷони мо таъсир намерасонад.
Яке аз дар соҳаи ҷанговар нест
Имрӯз мо фаҳмидем, ки дигар операторҳо бо чунин мушкилот рӯ ба рӯ шудаанд. Касе то ҳол бовар дорад, ки Microsoft ба коди хидмати дастрасии дурдаст баъзе тағйирот ворид кардааст (агар дар хотир доред, мо дар рӯзи аввал ба ҳамин чиз гумон мекардем, аммо мо ин версияро хеле зуд рад кардем) ва ваъда медиҳад, ки ҳама кори аз дасташ меомадаро мекунад, то ҳалли зудтарро пайдо кунад. . Баъзе одамон танҳо мушкилотро нодида мегиранд ва ба мизоҷон маслиҳат медиҳанд, ки худро мустақилона муҳофизат кунанд (порти пайвастро иваз кунед, серверро дар шабакаи хусусӣ пинҳон кунед ва ғайра). Ва дар рӯзи аввал, мо на танҳо ин мушкилотро ҳал кардем, балки барои як системаи глобалии ошкор кардани таҳдидҳо, ки мо нақша дорем таҳия кунем, замина фароҳам овардем.
Ташаккури махсус ба мизоҷон ва шариконе, ки хомӯш наистоданд ва дар соҳили дарё мунтазири интизори ҷасади душмане, ки рӯзе дар канори он шино мекунанд, нишаста, дарҳол таваҷҷуҳи моро ба мушкилот ҷалб карданд, ки ба мо имкон дод, ки рафъ кунем. он дар ҳамон рӯз.
Манбаъ: will.com