ጓደኞች ፣ ሰላም!
ከቤት ወደ ቢሮዎ የስራ ቦታ ለመገናኘት ብዙ መንገዶች አሉ። ከመካከላቸው አንዱ የማይክሮሶፍት የርቀት ዴስክቶፕ ጌትዌይን መጠቀም ነው። ይህ በኤችቲቲፒ ላይ RDP ነው። RDGW እራሱን እዚህ ማዋቀር ላይ መንካት አልፈልግም, ለምን ጥሩ ወይም መጥፎ እንደሆነ መወያየት አልፈልግም, እንደ የርቀት መዳረሻ መሳሪያዎች እንይዘው. የ RDGW አገልጋይህን ከመጥፎ ኢንተርኔት ስለመጠበቅ ማውራት እፈልጋለሁ። የ RDGW አገልጋይን ሳዋቅር ወዲያውኑ ስለ ደህንነት በተለይም የይለፍ ቃል brute Force ጥበቃ አሳስቦኝ ነበር። ይህን እንዴት ማድረግ እንዳለብኝ በበይነመረብ ላይ ምንም አይነት መጣጥፎች ስላላገኘሁ ተገረምኩ. ደህና, እራስዎ ማድረግ አለብዎት.
RDGW እራሱ ምንም አይነት ጥበቃ የለውም። አዎ፣ በባዶ በይነገጽ ወደ ነጭ አውታረ መረብ ሊጋለጥ ይችላል እና በጣም ጥሩ ይሰራል። ነገር ግን ይህ ትክክለኛውን አስተዳዳሪ ወይም የመረጃ ደህንነት ባለሙያን አያሳዝንም። በተጨማሪም ፣ ግድየለሽ ሰራተኛ በቤቱ ኮምፒተር ላይ የድርጅት መለያ የይለፍ ቃሉን ሲያስታውስ እና የይለፍ ቃሉን ሲለውጥ የመለያ እገዳን ሁኔታ ለማስወገድ ያስችልዎታል።
የውስጥ ሀብቶችን ከውጫዊ አካባቢ ለመጠበቅ ጥሩው መንገድ በተለያዩ ፕሮክሲዎች፣ የሕትመት ስርዓቶች እና ሌሎች WAFs ነው። RDGW አሁንም http መሆኑን እናስታውስ፣ ከዚያ በውስጣዊ አገልጋዮች እና በይነመረብ መካከል ልዩ መፍትሄ እንዲሰካ ይለምናል።
አሪፍ F5፣ A10፣ Netscaler(ADC) እንዳሉ አውቃለሁ። ከእነዚህ ስርዓቶች ውስጥ እንደ አንዱ አስተዳዳሪ, በእነዚህ ስርዓቶች ላይ ከጭካኔ ኃይል መከላከያ ማዘጋጀት ይቻላል እላለሁ. እና አዎ፣ እነዚህ ስርዓቶች ከማንኛውም የሲን ጎርፍ ይጠብቁዎታል።
ግን እያንዳንዱ ኩባንያ እንዲህ ዓይነቱን መፍትሄ መግዛት አይችልም (እና ለእንደዚህ አይነት ስርዓት አስተዳዳሪ ያግኙ :) ፣ ግን በተመሳሳይ ጊዜ ደህንነትን መንከባከብ ይችላሉ!
በነጻ ስርዓተ ክወና ላይ ነፃ የ HAProxy ስሪት መጫን ሙሉ በሙሉ ይቻላል. በተረጋጋው ማከማቻ ውስጥ በዴቢያን 10፣ haproxy ስሪት 1.8.19 ላይ ሞከርኩ። ከሙከራ ማከማቻው ስሪት 2.0.xx ላይም ሞከርኩት።
ከዚህ ጽሑፍ ወሰን ውጭ እራሱን ማዋቀርን እንተወዋለን። ባጭሩ፡ በነጩ በይነገጽ ከፖርት 443 በስተቀር ሁሉንም ነገር ዝጋ፣ በግራጫው በይነገጽ ላይ - እንደ ፖሊሲዎ፣ ለምሳሌ ከወደብ 22 በስተቀር ሁሉንም ነገር ይዝጉ። ለስራ አስፈላጊ የሆነውን ብቻ ይክፈቱ (VRRP ለምሳሌ ፣ ለተንሳፋፊ አይፒ)።
በመጀመሪያ ሃፕሮክሲን በSSL ብሪጅንግ ሞድ (በ http mode) አዋቅሬ በRDP ውስጥ ምን እየተካሄደ እንዳለ ለማየት ሎግ አደረግሁ። ስለዚህ ለመናገር መሀል ገባሁ። ስለዚህ፣ RDGatewayን ስለማዋቀር በ"ሁሉም" መጣጥፎች ውስጥ የተገለጸው/RDWeb ዱካ ጠፍቷል። ያለው ሁሉ /rpc/rpcproxy.dll እና /remoteDesktopGateway/ ነው። በዚህ አጋጣሚ መደበኛ የGET/POST ጥያቄዎች ጥቅም ላይ አይውሉም፣ የራሳቸው የጥያቄ አይነት RDG_IN_DATA፣ RDG_OUT_DATA ጥቅም ላይ ይውላል።
ብዙ አይደለም, ግን ቢያንስ የሆነ ነገር.
እስቲ እንፈትሽ።
mstsc ን አስጀምሪያለው፣ ወደ ሰርቨሩ ሄድኩ፣ አራት 401 (ያልተፈቀደ) ስሕተቶችን በምዝግብ ማስታወሻዎች ውስጥ አያለሁ፣ ከዚያም የተጠቃሚ ስሜን/ፓስወርድ አስገባሁ እና ምላሹን 200 ተመልከት።
አጠፋዋለሁ ፣ እንደገና እጀምራለሁ ፣ እና በምዝግብ ማስታወሻዎች ውስጥ ተመሳሳይ አራት 401 ስህተቶችን አያለሁ ። የተሳሳተ የመግቢያ / የይለፍ ቃል አስገባሁ እና አራት 401 ስህተቶችን እንደገና አያለሁ ። እኔ የሚያስፈልገኝ ነው። እኛ የምንይዘው ይህ ነው.
የመግቢያ ዩአርኤልን ለመወሰን ስላልተቻለ እና በተጨማሪ ፣ የ 401 ስህተትን በሃፕሮክሲ ውስጥ እንዴት እንደምይዝ አላውቅም ፣ ሁሉንም 4xx ስህተቶች እይዛለሁ (በእውነቱ አልያዝም ፣ ግን እቆጥራለሁ)። እንዲሁም ችግሩን ለመፍታት ተስማሚ.
የጥበቃው ዋናው ነገር የ 4xx ስህተቶችን ቁጥር (በጀርባው ላይ) በአንድ ጊዜ እንቆጥራለን እና ከተጠቀሰው ገደብ በላይ ከሆነ, ከዚያ (በግንባር ላይ) ሁሉንም ተጨማሪ ግንኙነቶች ከዚህ ip ለተጠቀሰው ጊዜ ውድቅ ማድረግ ነው. .
በቴክኒካዊ ሁኔታ ይህ ከይለፍ ቃል brute ኃይል ጥበቃ አይሆንም, ከ 4xx ስህተቶች ጥበቃ ይሆናል. ለምሳሌ፣ ብዙ ጊዜ የማይገኝ ዩአርኤል (404) ከጠየቁ፣ ጥበቃው እንዲሁ ይሰራል።
በጣም ቀላሉ እና በጣም ውጤታማው መንገድ በጀርባው ላይ መቁጠር እና ተጨማሪ ነገር ከታየ መልሶ ሪፖርት ማድረግ ነው፡-
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
በጣም ጥሩው አማራጭ አይደለም, እናወሳስበው. በጀርባው ላይ እንቆጥራለን እና በግንባር ላይ እንገድባለን.
አጥቂውን በጨዋነት እናያለን እና የ TCP ግንኙነቱን እንጥላለን።
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
ተመሳሳይ ነገር ፣ ግን በትህትና ፣ ስህተቱን እንመልሳለን http 429 (በጣም ብዙ ጥያቄዎች)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
አረጋግጣለሁ፡ mstsc ን አስጀምሬ የይለፍ ቃሎችን በዘፈቀደ ማስገባት ጀመርኩ። ከሦስተኛው ሙከራ በኋላ፣ በ10 ሰከንድ ውስጥ መልሶ ይመታል፣ እና mstsc ስህተት ይሰጠዋል። በምዝግብ ማስታወሻዎች ላይ እንደሚታየው.
ማብራሪያዎች. ከሃፕሮክሲ ማስተር ርቄያለሁ። ለምን እንደሆነ አይገባኝም ለምሳሌ
http-ጥያቄ መካድ_ሁኔታ 429 { sc_http_err_rate(0) gt 4} ከሆነ
ከመስራቱ በፊት 10 ያህል ስህተቶችን እንዲሰሩ ይፈቅድልዎታል.
የቆጣሪዎቹ ቁጥር ግራ ተጋባሁ። የሃፕሮክሲ ሊቃውንት ፣ ብታሟሉኝ ፣ ብታርሙኝ ፣ ከተሻሉኝ ደስ ይለኛል ።
በአስተያየቶቹ ውስጥ የ RD Gatewayን ለመጠበቅ ሌሎች መንገዶችን መጠቆም ይችላሉ, ማጥናት አስደሳች ይሆናል.
የዊንዶውስ የርቀት ዴስክቶፕ ደንበኛን (mssc) በተመለከተ TLS1.2 (ቢያንስ በዊንዶውስ 7) እንደማይደግፍ ልብ ሊባል ይገባል ስለዚህ TLS1 ን መልቀቅ ነበረብኝ። የአሁኑን ምስጢራዊነት አይደግፍም ፣ ስለዚህ እኔ ደግሞ አሮጌዎቹን መተው ነበረብኝ።
ምንም ነገር ለማይረዱ ፣ እየተማሩ ያሉ እና ጥሩ መስራት ለሚፈልጉ ፣ ሙሉውን ውቅረት እሰጥዎታለሁ።
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
ለምን ሁለት አገልጋዮች በጀርባው ላይ? ምክንያቱም ስህተትን መቻቻል ማድረግ የሚችሉት በዚህ መንገድ ነው። ሃፕሮክሲ በተንሳፋፊ ነጭ አይፒም ሁለት ማድረግ ይችላል።
የማስላት መርጃዎች፡- በ"ሁለት ጊግ፣ ሁለት ኮር፣ ጌም ፒሲ" መጀመር ይችላሉ። አጭጮርዲንግ ቶ ይህ ለመቆጠብ በቂ ይሆናል.
ማጣቀሻዎች
ምንጭ: hab.com