Ile-iṣẹ aabo cyber wa jẹ iduro fun aabo awọn amayederun wẹẹbu ti awọn alabara ati kọlu awọn ikọlu lori awọn aaye alabara. A lo awọn ogiriina ohun elo wẹẹbu FortiWeb (WAF) lati daabobo lodi si awọn ikọlu. Ṣugbọn paapaa WAF ti o tutu julọ kii ṣe panacea ati pe ko daabobo kuro ninu apoti lati awọn ikọlu ìfọkànsí.
Nitorina, ni afikun si WAF a lo . O ṣe iranlọwọ lati gba gbogbo awọn iṣẹlẹ ni aaye kan, ṣajọpọ awọn iṣiro, ṣe akiyesi wọn ati gba wa laaye lati rii ikọlu ti a fojusi ni akoko.
Loni Emi yoo sọ fun ọ ni alaye diẹ sii bi a ṣe rekọja “igi Keresimesi” pẹlu WAF ati ohun ti o jade.
Itan ti ikọlu kan: bii ohun gbogbo ṣe ṣiṣẹ ṣaaju iyipada si ELK
Onibara naa ni ohun elo ti a fi ranṣẹ sinu awọsanma wa ti o wa lẹhin WAF wa. Lati 10 si awọn olumulo 000 ti a ti sopọ si aaye fun ọjọ kan, nọmba awọn asopọ ti de 100 milionu fun ọjọ kan. Ninu iwọnyi, awọn olumulo 000-20 jẹ ikọlu ati gbiyanju lati gige aaye naa.
FortiWeb ṣe idinamọ fọọmu agbara irokuro deede lati adiresi IP kan ni irọrun ni irọrun. Nọmba awọn deba fun iṣẹju kan si aaye naa ga ju ti awọn olumulo t’olotọ lọ. A nìkan ṣeto awọn ẹnu-ọna iṣẹ ṣiṣe lati adirẹsi kan ati kọlu ikọlu naa.
O nira pupọ diẹ sii lati dojuko “awọn ikọlu o lọra,” nigbati awọn ikọlu ba ṣiṣẹ laiyara ti wọn si para ara wọn bi awọn alabara lasan. Wọn lo ọpọlọpọ awọn adiresi IP alailẹgbẹ. Iru iṣẹ bẹẹ ko dabi agbara nla nla si WAF; o nira diẹ sii lati tọpa rẹ laifọwọyi. Ewu tun wa ti didi awọn olumulo deede. A wa awọn ami miiran ti ikọlu ati tunto eto imulo kan lati dènà awọn adirẹsi IP laifọwọyi ti o da lori ami yii. Fun apẹẹrẹ, ọpọlọpọ awọn igba aitọ ni awọn aaye ti o wọpọ ni awọn akọle ibeere HTTP. Awọn aaye wọnyi nigbagbogbo ni lati wa pẹlu ọwọ ni awọn akọọlẹ iṣẹlẹ FortiWeb.
O wa ni pipẹ ati korọrun. Ni boṣewa FortiWeb iṣẹ ṣiṣe, awọn iṣẹlẹ ti wa ni igbasilẹ ni ọrọ ni awọn iwe oriṣiriṣi 3: awọn ikọlu ti a rii, alaye ibeere, ati awọn ifiranṣẹ eto nipa iṣẹ WAF. Dosinni tabi paapaa awọn ọgọọgọrun ti awọn iṣẹlẹ ikọlu le de ni iṣẹju kan.
Kii ṣe pupọ, ṣugbọn o ni lati gùn pẹlu ọwọ nipasẹ ọpọlọpọ awọn akọọlẹ ki o ṣe atunwo nipasẹ awọn laini pupọ:
Ninu iwe ikọlu a rii awọn adirẹsi olumulo ati iru iṣẹ ṣiṣe.
Ko to lati ṣe ọlọjẹ tabili log ni irọrun. Lati wa alaye ti o nifẹ julọ ati iwulo nipa iru ikọlu, o nilo lati wo inu iṣẹlẹ kan pato:
Awọn aaye ti a ṣe afihan ṣe iranlọwọ lati rii “kolu o lọra”. Orisun: sikirinifoto lati .
O dara, iṣoro pataki julọ ni pe alamọja FortiWeb nikan ni o le rii eyi. Lakoko ti awọn wakati iṣowo tun le ṣe atẹle iṣẹ ifura ni akoko gidi, iwadii si awọn iṣẹlẹ alẹ le gba to gun. Nigbati awọn eto imulo FortiWeb ko ṣiṣẹ fun idi kan, awọn onimọ-ẹrọ alẹ lori iṣẹ ko lagbara lati ṣe ayẹwo ipo naa laisi iraye si WAF ati ji ọlọgbọn FortiWeb. A wo nipasẹ awọn wakati pupọ ti awọn akọọlẹ ati rii akoko ikọlu naa.
Pẹlu iru awọn iwọn didun ti alaye, o nira lati loye aworan nla ni wiwo akọkọ ati ṣiṣẹ ni itara. Lẹhinna a pinnu lati gba data ni aaye kan lati ṣe itupalẹ ohun gbogbo ni irisi wiwo, wa ibẹrẹ ti ikọlu, ṣe idanimọ itọsọna rẹ ati ọna ti ìdènà.
Kini o yan lati?
Ni akọkọ, a wo awọn ojutu ti o ti wa tẹlẹ lati ma ṣe isodipupo awọn nkan lainidi.
Ọkan ninu awọn aṣayan akọkọ jẹ Nagioseyi ti a lo fun mimojuto , , titaniji nipa awọn ipo pajawiri. Awọn oluso aabo tun lo o lati sọ fun awọn oṣiṣẹ iṣẹ ni iṣẹlẹ ti ijabọ ifura, ṣugbọn ko mọ bi a ṣe le gba awọn akọọlẹ tuka ati nitorinaa ko nilo mọ.
Aṣayan kan wa lati ṣajọpọ ohun gbogbo ni lilo MySQL ati PostgreSQL tabi awọn miiran ibatan database. Ṣugbọn lati le fa data jade, o ni lati ṣẹda ohun elo tirẹ.
Ile-iṣẹ wa tun nlo FortiAnalyzer lati Fortinet. Ṣugbọn ko baamu ninu ọran yii boya. Ni akọkọ, o jẹ apẹrẹ diẹ sii lati ṣiṣẹ pẹlu ogiriina kan FortiGate. Ni ẹẹkeji, ọpọlọpọ awọn eto ti nsọnu, ati ibaraenisepo pẹlu rẹ nilo imọ pipe ti awọn ibeere SQL. Ati ni ẹẹta, lilo rẹ yoo mu idiyele iṣẹ naa pọ si fun alabara.
Eyi ni bii a ṣe wa lati ṣii orisun ni irisi Elk.
Kini idi ti o yan ELK
ELK jẹ eto awọn eto orisun ṣiṣi:
- Elasticsearch - aaye data jara akoko kan, eyiti a ṣẹda ni pataki lati ṣiṣẹ pẹlu awọn iwọn nla ti ọrọ;
- Logstash - ẹrọ gbigba data ti o le yi awọn akọọlẹ pada si ọna kika ti o fẹ;
- agbana - iworan ti o dara, bi daradara bi wiwo ọrẹ iṣẹtọ fun iṣakoso Elasticsearch. O le lo lati kọ awọn aworan ti awọn onimọ-ẹrọ lori iṣẹ le ṣe atẹle ni alẹ.
Ibalẹ titẹsi si ELK ti lọ silẹ. Gbogbo awọn ẹya ipilẹ jẹ ọfẹ. Kini ohun miiran ti a nilo fun idunnu?
Bawo ni a ṣe fi gbogbo rẹ papọ sinu eto kan?
A ṣẹda awọn atọka ati fi awọn alaye pataki nikan silẹ. A kojọpọ gbogbo awọn iwe FortiWEB mẹta sinu ELK ati abajade jẹ awọn atọka. Iwọnyi jẹ awọn faili pẹlu gbogbo awọn akọọlẹ ti a gbajọ fun akoko kan, fun apẹẹrẹ, ọjọ kan. Ti a ba wo wọn lẹsẹkẹsẹ, a yoo rii awọn agbara ti awọn ikọlu nikan. Fun awọn alaye, o nilo lati “ṣubu sinu” ikọlu kọọkan ati wo awọn aaye kan pato.
A ṣe akiyesi pe akọkọ a nilo lati ṣeto igbekale ti alaye ti a ko ṣeto. A mu awọn aaye gigun ni irisi awọn gbolohun ọrọ, gẹgẹbi “Ifiranṣẹ” ati “URL”, a si ṣe itupalẹ wọn lati gba alaye diẹ sii fun ṣiṣe ipinnu.
Fún àpẹrẹ, lílo ìtúpalẹ̀, a mọ ibi tí aṣàmúlò wà ní ọ̀tọ̀ọ̀tọ̀. Eyi ṣe iranlọwọ lati ṣe afihan lẹsẹkẹsẹ awọn ikọlu lati odi lori awọn aaye fun awọn olumulo Russia. Nipa didi gbogbo awọn asopọ lati awọn orilẹ-ede miiran, a dinku nọmba awọn ikọlu nipasẹ idaji ati pe o le ni ifọkanbalẹ pẹlu awọn ikọlu inu Russia.
Lẹhin sisọ, a bẹrẹ lati wa iru alaye lati fipamọ ati wo oju inu. Ko ṣe pataki lati fi ohun gbogbo silẹ ninu iwe akọọlẹ: iwọn ti atọka kan tobi - 7 GB. ELK gba akoko pipẹ lati ṣe ilana faili naa. Sibẹsibẹ, kii ṣe gbogbo alaye naa wulo. Nkankan ti ṣe pidánpidán o si gba aaye afikun - o nilo lati wa ni iṣapeye.
Ni akọkọ a nìkan ṣayẹwo atọka ati yọ awọn iṣẹlẹ ti ko wulo kuro. Eyi yipada lati jẹ airọrun paapaa ati gun ju ṣiṣẹ pẹlu awọn akọọlẹ lori FortiWeb funrararẹ. Awọn anfani nikan ti "Igi Keresimesi" ni ipele yii ni pe a ni anfani lati wo akoko nla lori iboju kan.
A ko ni irẹwẹsi, tẹsiwaju lati jẹ cactus, ṣe iwadi ELK ati gbagbọ pe a yoo ni anfani lati jade alaye pataki. Lẹ́yìn tí a ti fọ àwọn atọ́ka náà mọ́, a bẹ̀rẹ̀ sí í fojú inú wo ohun tí a ní. Eyi ni bii a ṣe wa si awọn dasibodu nla. A gbiyanju diẹ ninu awọn ẹrọ ailorukọ - oju ati ẹwa, igi Keresimesi gidi kan!
Awọn akoko ti awọn kolu ti a gba silẹ. Bayi a nilo lati ni oye kini ibẹrẹ ikọlu kan dabi lori iyaya naa. Lati rii, a wo awọn idahun olupin si olumulo (awọn koodu ipadabọ). A nifẹ si awọn idahun olupin pẹlu awọn koodu wọnyi (rc):
Kóòdù (rc)
Akọle
Apejuwe
0
JU
Ibere fun olupin ti dina
200
Ok
Ibere ni ilọsiwaju
400
Ibere buruku
Ibere ti ko wulo
403
ewọ
Ti kọ iwe-aṣẹ
500
Asise Ašiše Abẹnu
Iṣẹ ko si
Ti ẹnikan ba bẹrẹ si kọlu aaye naa, ipin awọn koodu yipada:
- Ti awọn ibeere aṣiṣe diẹ sii pẹlu koodu 400, ṣugbọn nọmba kanna ti awọn ibeere deede pẹlu koodu 200 wa, o tumọ si pe ẹnikan n gbiyanju lati gige aaye naa.
- Ti awọn ibeere ni akoko kanna pẹlu koodu 0 tun pọ si, lẹhinna awọn oloselu FortiWeb tun “ri” ikọlu naa ati lo awọn bulọọki si rẹ.
- Ti nọmba awọn ifiranṣẹ pẹlu koodu 500 ba pọ si, o tumọ si aaye ko si fun awọn adirẹsi IP wọnyi - tun jẹ iru ìdènà.
Ni oṣu kẹta, a ti ṣeto dasibodu kan lati tọpa iru iṣẹ ṣiṣe bẹẹ.
Ni ibere ki o má ba ṣe atẹle ohun gbogbo pẹlu ọwọ, a ṣeto iṣọpọ pẹlu Nagios, eyiti o ṣe idibo ELK ni awọn aaye arin kan. Ti MO ba rii awọn iye ala ti o de nipasẹ awọn koodu, Mo fi ifitonileti kan ranṣẹ si awọn oṣiṣẹ iṣẹ nipa iṣẹ ṣiṣe ifura.
Ni idapo 4 eya ni awọn monitoring eto. Bayi o ṣe pataki lati rii lori awọn aworan ni akoko ti ikọlu naa ko dina ati pe o nilo ilowosi ẹlẹrọ kan. Lori awọn shatti oriṣiriṣi 4 oju wa di blurry. Nitorinaa, a dapọ awọn shatti naa ati bẹrẹ lati ṣe atẹle ohun gbogbo lori iboju kan.
Lakoko ibojuwo, a wo bii awọn aworan ti awọn awọ oriṣiriṣi ṣe yipada. Asesejade ti pupa fihan pe ikọlu naa ti bẹrẹ, lakoko ti osan ati awọn aworan buluu fihan esi FortiWeb:
Ohun gbogbo dara nibi: iṣẹ-ṣiṣe “pupa” kan wa, ṣugbọn FortiWeb farada pẹlu rẹ ati iṣeto ikọlu naa di asan.
A tun ṣe apẹẹrẹ aworan kan fun ara wa ti o nilo idasi:
Nibi a rii pe FortiWeb ti pọ si iṣẹ ṣiṣe, ṣugbọn aworan ikọlu pupa ko dinku. O nilo lati yi awọn eto WAF rẹ pada.
Ṣiṣayẹwo awọn iṣẹlẹ alẹ ti tun rọrun. Aworan naa lẹsẹkẹsẹ fihan akoko nigbati o to akoko lati wa lati daabobo aaye naa.
Eyi ni ohun ti o ṣẹlẹ ni alẹ nigba miiran. Aworan pupa - ikọlu naa ti bẹrẹ. Blue – FortiWeb aṣayan iṣẹ-ṣiṣe. Ìkọlù náà kò dí pátápátá, nítorí náà mo ní láti dá sí i.
Nibo ni a nlọ?
A n ṣe ikẹkọ awọn alabojuto iṣẹ lọwọlọwọ lati ṣiṣẹ pẹlu ELK. Awọn ti o wa ni iṣẹ kọ ẹkọ lati ṣe ayẹwo ipo naa lori dasibodu ati ṣe ipinnu: o to akoko lati ga si alamọja FortiWeb, tabi awọn eto imulo lori WAF ti to lati kọlu ikọlu laifọwọyi. Ni ọna yii a dinku ẹru lori awọn onimọ-ẹrọ aabo alaye ni alẹ ati pin awọn ipa atilẹyin ni ipele eto. Wiwọle si FortiWeb wa nikan pẹlu ile-iṣẹ aabo cyber, ati pe wọn nikan ṣe awọn ayipada si awọn eto WAF nigbati o jẹ dandan.
A tun n ṣiṣẹ lori ijabọ fun awọn alabara. A gbero pe data lori awọn agbara ti iṣẹ WAF yoo wa ni akọọlẹ ti ara ẹni ti alabara. ELK yoo jẹ ki ipo naa han diẹ sii laisi nini lati kan si WAF funrararẹ.
Ti alabara ba fẹ lati ṣe atẹle aabo wọn ni akoko gidi, ELK yoo tun wa ni ọwọ. A ko le fun ni iwọle si WAF, nitori kikọlu alabara ninu iṣẹ le ni ipa lori awọn miiran. Ṣugbọn o le gbe soke kan lọtọ ELK ki o si fun o lati "mu" pẹlu.
Iwọnyi jẹ awọn oju iṣẹlẹ fun lilo “igi Keresimesi” ti a ti kojọpọ laipẹ. Pin awọn ero rẹ lori ọrọ yii ki o maṣe gbagbe lati yago fun awọn n jo database.
orisun: www.habr.com