Keling, “uchinchi shaxslar” mijozlarimizning ishiga qanday xalaqit berishga uringani va bu muammo qanday hal qilingani haqida ajoyib voqeani aytib beraylik.
Hammasi qanday boshlandi
Hammasi 31-oktabr kuni ertalab, oyning oxirgi kunida boshlandi, bu vaqtda ko'pchilik shoshilinch va muhim masalalarni hal qilish uchun vaqt topishga muhtoj.
Bizning bulutimizda o'zi xizmat ko'rsatadigan mijozlarning bir nechta virtual mashinalarini saqlaydigan hamkorlardan biri, soat 9:10 dan 9:20 gacha bizning Ukraina saytimizda ishlaydigan bir nechta Windows serverlari masofaviy kirish xizmatiga ulanishni qabul qilmadi, foydalanuvchilar buni qila olmadilar. ish stollariga kirish uchun, lekin bir necha daqiqadan so'ng muammo o'z-o'zidan hal qilingandek tuyuldi.
Biz aloqa kanallarining ishlashi bo'yicha statistik ma'lumotlarni ko'tardik, lekin hech qanday tirbandlik yoki nosozliklarni topmadik. Biz hisoblash resurslariga yuklanish statistikasini ko'rib chiqdik - anomaliyalar yo'q. Va bu nima edi?
Keyin bizning bulutimizda yana yuzga yaqin serverlarni o'z ichiga olgan yana bir hamkor o'z mijozlarining ba'zilari qayd etgan muammolar haqida xabar berdi va umuman olganda serverlarga kirish mumkinligi ma'lum bo'ldi (ping testi va boshqa so'rovlarga to'g'ri javob beradi), lekin Ushbu serverlarga masofaviy kirish xizmati yangi ulanishlarni qabul qiladi yoki ularni rad etadi va biz trafik turli xil ma'lumotlarni uzatish kanallaridan keladigan turli saytlardagi serverlar haqida gapirgan edik.
Keling, ushbu tirbandlikni ko'rib chiqaylik. Ulanish so'rovi bo'lgan paket serverga keladi:
xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
Server ushbu paketni oladi, lekin ulanishni rad etadi:
xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0
Bu shuni anglatadiki, muammo infratuzilmaning ishlashidagi biron bir muammo emas, balki boshqa narsa bilan bog'liq. Ehtimol, barcha foydalanuvchilar masofaviy ish stolini litsenziyalash bilan bog'liq muammolarga duch kelishadimi? Ehtimol, qandaydir zararli dasturlar ularning tizimlariga kirib borishga muvaffaq bo'lgan va bugungi kunda u bir necha yil oldin bo'lgani kabi faollashtirilgan. XData и Akbar?
Biz uni saralash chog‘ida yana bir qancha mijozlar va hamkorlardan shunga o‘xshash so‘rovlar oldik.
Ushbu mashinalarda aslida nima sodir bo'ladi?
Voqealar jurnallari parolni topishga urinishlar haqidagi xabarlarga to'la:
Odatda, bunday urinishlar masofaviy kirish xizmati uchun standart port (3389) ishlatiladigan va hamma joydan kirishga ruxsat berilgan barcha serverlarda qayd etiladi. Internet barcha mavjud ulanish nuqtalarini doimiy ravishda tekshiradigan va parolni topishga harakat qiladigan botlarga to'la (shuning uchun biz "123" o'rniga murakkab parollardan foydalanishni tavsiya qilamiz). Biroq, o'sha kungi bu urinishlarning intensivligi juda yuqori edi.
Qanday davom etish kerak?
Mijozlarning ko'p sonli oxirgi foydalanuvchilar boshqa portga o'tishlari uchun sozlamalarni o'zgartirishga ko'p vaqt sarflashlarini tavsiya qilasizmi? Yaxshi fikr emas, mijozlar xursand bo'lmaydi. Faqat VPN orqali kirishga ruxsat berishni tavsiya qilasizmi? Shoshilinch va vahima ichida, ularni ko'tarmaganlar uchun IPSec ulanishlarini oshirish - ehtimol bunday baxt mijozlarga ham tabassum qilmaydi. Aytishim kerakki, bu har qanday holatda ham xudojo'y narsa bo'lsa-da, biz har doim serverni shaxsiy tarmoqda yashirishni tavsiya qilamiz va sozlamalarda yordam berishga tayyormiz va buni mustaqil ravishda aniqlashni yoqtiradiganlar uchun biz ko'rsatmalarni baham ko'ramiz. saytdan saytga yoki yo'l rejimida bulutimizda IPSec/L2TP-ni o'rnatish uchun -jangchi va agar kimdir o'zining Windows serverida VPN xizmatini o'rnatmoqchi bo'lsa, ular har doim serverni qanday sozlash bo'yicha maslahatlar bilan bo'lishishga tayyor. standart RAS yoki OpenVPN. Ammo, biz qanchalik zo'r bo'lishimizdan qat'iy nazar, bu mijozlar o'rtasida ta'lim ishlarini olib borish uchun eng yaxshi vaqt emas edi, chunki biz foydalanuvchilar uchun minimal stress bilan muammoni imkon qadar tezroq hal qilishimiz kerak edi.
Biz amalga oshirgan yechim quyidagicha edi. Biz 3389-portga TCP ulanishini o'rnatish bo'yicha barcha urinishlarni kuzatib borish va undan 150 soniya ichida tarmog'imizdagi 16 dan ortiq turli serverlar bilan ulanish o'rnatishga harakat qiladigan manzillarni tanlash uchun o'tish trafik tahlilini o'rnatdik. - bu hujum manbalari (Albatta, agar mijoz yoki hamkorlardan biri bitta manbadan shunchalik ko'p serverlar bilan aloqa o'rnatishga haqiqiy ehtiyojga ega bo'lsa, siz har doim bunday manbalarni "oq ro'yxat" ga qo'shishingiz mumkin. agar bitta C sinf tarmog'ida ushbu 150 soniya davomida 32 dan ortiq manzil aniqlansa, butun tarmoqni blokirovka qilish mantiqan to'g'ri keladi.Bloklash 3 kunga o'rnatiladi va agar bu vaqt ichida ma'lum bir manbadan hujumlar amalga oshirilmagan bo'lsa, bu manba avtomatik ravishda “qora roʻyxat”dan oʻchiriladi. Bloklangan manbalar roʻyxati har 300 soniyada yangilanadi.
Ushbu ro'yxat ushbu manzilda mavjud: , siz unga asoslangan holda ACLlaringizni qurishingiz mumkin.
Biz bunday tizimning manba kodini baham ko'rishga tayyormiz, unda ortiqcha murakkab narsa yo'q (bular tizzada bir necha soat davomida tuzilgan bir nechta oddiy skriptlar) va shu bilan birga uni moslashtirish va ishlatish mumkin emas. faqat bunday hujumdan himoya qilish, balki tarmoqni skanerlashga urinishlarni aniqlash va blokirovka qilish uchun:
Bundan tashqari, biz monitoring tizimining sozlamalariga ba'zi o'zgarishlar kiritdik, bu endi bulutdagi virtual serverlarning nazorat guruhining RDP ulanishini o'rnatishga bo'lgan munosabatini diqqat bilan kuzatib boradi: agar reaktsiya bir muddat ichida kuzatilmasa. ikkinchidan, bu diqqat qilish uchun sababdir.
Yechim juda samarali bo'ldi: mijozlar ham, hamkorlar ham, monitoring tizimidan ham shikoyatlar yo'q. Qora ro'yxatga yangi manzillar va butun tarmoqlar muntazam ravishda qo'shiladi, bu hujum davom etayotganidan dalolat beradi, lekin endi mijozlarimizning ishiga ta'sir qilmaydi.
Raqamlarda xavfsizlik bor
Bugun biz boshqa operatorlar ham xuddi shunday muammoga duch kelganini bilib oldik. Kimdir hanuzgacha Microsoft masofaviy kirish xizmatining kodiga ba'zi o'zgarishlar kiritganiga ishonadi (esingizda bo'lsa, biz birinchi kunida xuddi shu narsadan shubha qilgandik, lekin biz ushbu versiyani tezda rad etdik) va tezda yechim topish uchun qo'lidan kelganini qilishga va'da beradi. . Ba'zi odamlar muammoni e'tiborsiz qoldiradilar va mijozlarga o'zlarini himoya qilishni maslahat berishadi (ulanish portini o'zgartirish, serverni shaxsiy tarmoqda yashirish va hokazo). Va birinchi kunida biz nafaqat bu muammoni hal qildik, balki global tahdidlarni aniqlash tizimi uchun asos yaratdik va biz uni ishlab chiqishni rejalashtirmoqdamiz.
Sukut saqlamagan va daryo bo'yida bir kun kelib dushman murdasi suzib ketishini kutib o'tirmagan, lekin darhol e'tiborimizni muammoga qaratgan mijozlar va hamkorlarga alohida minnatdorchilik bildiramiz. xuddi shu kuni.
Manba: www.habr.com