الأصدقاء، مرحبا!
هناك طرق عديدة للاتصال من المنزل بمساحة العمل في مكتبك. أحدها هو استخدام Microsoft Remote Desktop Gateway. هذا هو RDP عبر HTTP. لا أريد أن أتطرق إلى إعداد RDGW نفسه هنا، ولا أريد مناقشة سبب كونه جيدًا أو سيئًا، فلنتعامل معه كأحد أدوات الوصول عن بُعد. أريد أن أتحدث عن حماية خادم RDGW الخاص بك من الإنترنت الشرير. عندما قمت بإعداد خادم RDGW، شعرت بالقلق على الفور بشأن الأمان، وخاصة الحماية ضد القوة الغاشمة لكلمة المرور. لقد فوجئت بعدم العثور على أي مقالات على الإنترنت حول كيفية القيام بذلك. حسنا، عليك أن تفعل ذلك بنفسك.
RDGW نفسها ليس لديها أي حماية. نعم، يمكن تعريضه بواجهة مجردة لشبكة بيضاء وسيعمل بشكل رائع. ولكن هذا سيجعل المسؤول المناسب أو متخصص أمن المعلومات غير مرتاح. بالإضافة إلى ذلك، سيسمح لك بتجنب موقف حظر الحساب، عندما يتذكر الموظف المهمل كلمة المرور الخاصة بحساب الشركة على جهاز الكمبيوتر المنزلي الخاص به، ثم قام بتغيير كلمة المرور الخاصة به.
إحدى الطرق الجيدة لحماية الموارد الداخلية من البيئة الخارجية هي من خلال الوكلاء المختلفين وأنظمة النشر وأنظمة WAF الأخرى. دعونا نتذكر أن RDGW لا يزال http، ثم يطلب فقط توصيل حل متخصص بين الخوادم الداخلية والإنترنت.
أعلم أن هناك F5، A10، Netscaler (ADC) الرائعة. كمسؤول عن أحد هذه الأنظمة، سأقول أنه من الممكن أيضًا إعداد الحماية ضد القوة الغاشمة على هذه الأنظمة. ونعم، ستحميك هذه الأنظمة أيضًا من أي فيضانات.
ولكن لا تستطيع كل شركة شراء مثل هذا الحل (والعثور على مسؤول لمثل هذا النظام :)، ولكن في نفس الوقت يمكنهم الاهتمام بالأمن!
من الممكن تمامًا تثبيت نسخة مجانية من HAProxy على نظام تشغيل مجاني. لقد اختبرت على Debian 10، إصدار haproxy 1.8.19 في المستودع المستقر. لقد قمت أيضًا باختباره على الإصدار 2.0.xx من مستودع الاختبار.
سنترك إعداد دبيان نفسه خارج نطاق هذه المقالة. باختصار: على الواجهة البيضاء، أغلق كل شيء باستثناء المنفذ 443، وعلى الواجهة الرمادية - وفقًا لسياستك، على سبيل المثال، أغلق أيضًا كل شيء باستثناء المنفذ 22. افتح فقط ما هو ضروري للعمل (VRRP على سبيل المثال، للملكية الفكرية العائمة).
أولاً، قمت بتكوين haproxy في وضع جسر SSL (المعروف أيضًا باسم وضع http) وقمت بتشغيل التسجيل لمعرفة ما يحدث داخل RDP. إذا جاز التعبير، وصلت إلى المنتصف. لذا، فإن مسار /RDWeb المحدد في المقالات "الكل" حول إعداد RDGateway مفقود. كل ما هو موجود هو /rpc/rpcproxy.dll و /remoteDesktopGateway/. في هذه الحالة، لا يتم استخدام طلبات GET/POST القياسية، بل يتم استخدام نوع الطلب الخاص بها RDG_IN_DATA، RDG_OUT_DATA.
ليس كثيرا، ولكن على الأقل شيئا.
دعونا اختبار.
أقوم بتشغيل mstsc، وانتقل إلى الخادم، وأرى أربعة أخطاء 401 (غير مصرح بها) في السجلات، ثم أدخل اسم المستخدم/كلمة المرور الخاصة بي وشاهد الرد 200.
أقوم بإيقاف تشغيله، وتشغيله مرة أخرى، وفي السجلات أرى نفس الأخطاء الأربعة 401. أدخل معلومات تسجيل الدخول/كلمة المرور الخاطئة وأرى مرة أخرى أربعة أخطاء 401. هذا ما أحتاج إليه. هذا هو ما سوف نلتقطه.
نظرًا لأنه لم يكن من الممكن تحديد عنوان url لتسجيل الدخول، بالإضافة إلى أنني لا أعرف كيفية اكتشاف الخطأ 401 في haproxy، فسوف ألتقط (لا ألتقط في الواقع، ولكن أحسب) جميع أخطاء 4xx. مناسبة أيضًا لحل المشكلة.
سيكون جوهر الحماية هو أننا سنحسب عدد أخطاء 4xx (على الواجهة الخلفية) لكل وحدة زمنية وإذا تجاوزت الحد المحدد، فإننا نرفض (على الواجهة الأمامية) جميع الاتصالات الإضافية من عنوان IP هذا للوقت المحدد .
من الناحية الفنية، لن تكون هذه حماية ضد القوة الغاشمة لكلمة المرور، بل ستكون حماية ضد أخطاء 4xx. على سبيل المثال، إذا كنت تطلب غالبًا عنوان URL غير موجود (404)، فستعمل الحماية أيضًا.
الطريقة الأبسط والأكثر فعالية هي الاعتماد على الواجهة الخلفية والإبلاغ في حالة ظهور أي شيء إضافي:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
ليس الخيار الأفضل، دعونا تعقيد الأمر. سنعتمد على الواجهة الخلفية ونحظر الواجهة الأمامية.
سوف نتعامل مع المهاجم بوقاحة ونسقط اتصال TCP الخاص به.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
نفس الشيء لكن بأدب سنعيد الخطأ http 429 (طلبات كثيرة جدًا)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
أتحقق: أقوم بتشغيل mstsc وأبدأ في إدخال كلمات المرور بشكل عشوائي. بعد المحاولة الثالثة، في غضون 10 ثوانٍ، يتم إعادتي إلى الوراء، ويعطي mstsc خطأً. كما يمكن أن يرى في السجلات.
تفسيرات. أنا بعيد عن سيد haproxy. لا أفهم لماذا، على سبيل المثال
رفض طلب http Deny_status 429 إذا { sc_http_err_rate(0) GT 4 }
يسمح لك بارتكاب حوالي 10 أخطاء قبل أن يعمل.
أنا في حيرة من أمري بشأن ترقيم العدادات. سادة الهابروكسي، سأكون سعيدًا إذا أكملتموني، وصححتموني، وجعلتموني أفضل.
في التعليقات، يمكنك اقتراح طرق أخرى لحماية بوابة RD، سيكون من المثير للاهتمام دراستها.
فيما يتعلق بعميل Windows Remote Desktop (mstsc)، تجدر الإشارة إلى أنه لا يدعم TLS1.2 (على الأقل في Windows 7)، لذلك اضطررت إلى مغادرة TLS1؛ لا يدعم التشفير الحالي، لذلك اضطررت أيضًا إلى ترك التشفير القديم.
بالنسبة لأولئك الذين لا يفهمون أي شيء، ويتعلمون فقط، ويريدون بالفعل القيام بعمل جيد، سأقدم لك التكوين بالكامل.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
لماذا اثنين من الخوادم في الخلفية؟ لأن هذه هي الطريقة التي يمكنك من خلالها التسامح مع الخطأ. يمكن لـ Haproxy أيضًا إنشاء اثنين باستخدام عنوان IP أبيض عائم.
موارد الحوسبة: يمكنك البدء بـ "كمبيوتر شخصي مزود بمعالجين، ونواتين، وجهاز كمبيوتر مخصص للألعاب". وفق هذا سيكون كافيا لتجنيب.
المراجع:
المصدر: www.habr.com