Dostlar, salam!
Evdən ofisinizin iş sahəsinə qoşulmağın bir çox yolu var. Onlardan biri Microsoft Remote Desktop Gateway-dən istifadə etməkdir. Bu HTTP üzərindən RDP-dir. RDGW-nin özünün qurulmasına burada toxunmaq istəmirəm, bunun niyə yaxşı və ya pis olduğunu müzakirə etmək istəmirəm, gəlin onu uzaqdan giriş vasitələrindən biri kimi nəzərdən keçirək. RDGW serverinizi pis İnternetdən qorumaq haqqında danışmaq istəyirəm. RDGW serverini qurduqda mən dərhal təhlükəsizlik, xüsusilə parolun qəddar gücündən qorunma ilə bağlı narahat oldum. İnternetdə bunun necə ediləcəyi ilə bağlı heç bir məqalə tapmadığım üçün təəccübləndim. Yaxşı, bunu özünüz etməli olacaqsınız.
RDGW-nin özündə heç bir qoruma yoxdur. Bəli, ağ şəbəkəyə çılpaq bir interfeys ilə məruz qala bilər və əla işləyəcək. Lakin bu, düzgün idarəçini və ya informasiya təhlükəsizliyi mütəxəssisini narahat edəcək. Bundan əlavə, bu, diqqətsiz bir işçinin ev kompüterində korporativ hesabın parolunu xatırladığı və sonra parolunu dəyişdirdiyi zaman hesabın bloklanması vəziyyətindən qaçmağa imkan verəcəkdir.
Daxili resursları xarici mühitdən qorumağın yaxşı yolu müxtəlif proksilər, nəşriyyat sistemləri və digər WAF-lardır. Gəlin xatırlayaq ki, RDGW hələ də http-dir, o zaman daxili serverlər və İnternet arasında xüsusi bir həll yolu bağlamaq üçün yalvarır.
Mən bilirəm ki, gözəl F5, A10, Netcaler(ADC) var. Bu sistemlərdən birinin administratoru kimi deyim ki, bu sistemlərdə kobud gücdən qorunmaq da mümkündür. Bəli, bu sistemlər sizi hər hansı bir sin daşqından qoruyacaq.
Ancaq hər bir şirkət belə bir həll almağa imkan vermir (və belə bir sistem üçün bir administrator tapa bilərsiniz :), lakin eyni zamanda təhlükəsizliklə də məşğul ola bilərlər!
Pulsuz əməliyyat sistemində HAProxy-nin pulsuz versiyasını quraşdırmaq tamamilə mümkündür. Mən sabit depoda Debian 10, haproxy versiyası 1.8.19-da sınaqdan keçirdim. Mən onu sınaq anbarından 2.0.xx versiyasında da sınaqdan keçirdim.
Debianın özünü qurmağı bu məqalənin əhatəsindən kənarda qoyacağıq. Qısaca: ağ interfeysdə 443 portdan başqa hər şeyi bağlayın, boz interfeysdə - siyasətinizə uyğun olaraq, məsələn, 22 portdan başqa hər şeyi bağlayın. Yalnız iş üçün lazım olanı açın (VRRP, məsələn, üzən ip üçün).
Əvvəla, mən SSL körpü rejimində (aka http rejimi) haproxy-ni konfiqurasiya etdim və RDP daxilində nə baş verdiyini görmək üçün girişi yandırdım. Belə desəm, ortalığa düşdüm. Beləliklə, RDGateway-in qurulması ilə bağlı "bütün" məqalələrdə göstərilən /RDWeb yolu yoxdur. Orada olanların hamısı /rpc/rpcproxy.dll və /remoteDesktopGateway/-dir. Bu halda, standart GET/POST sorğularından istifadə edilmir, onların RDG_IN_DATA, RDG_OUT_DATA sorğu növü istifadə olunur.
Çox deyil, amma heç olmasa bir şey.
test edək.
Mən mstsc-i işə salıram, serverə gedirəm, qeydlərdə dörd 401 (icazəsiz) səhv görürəm, sonra istifadəçi adımı/parolumu daxil edib 200 cavabını görürəm.
Mən onu söndürürəm, yenidən başlayıram və jurnallarda eyni dörd 401 səhvini görürəm. Səhv giriş/parol daxil edirəm və yenidən dörd 401 xətası görürəm. Mənə lazım olan budur. Tutacağımız budur.
Giriş url-ni müəyyən etmək mümkün olmadığından və bundan əlavə, haproxy-də 401 səhvini necə tutacağımı bilmirəm, bütün 4xx səhvlərini tutacağam (əslində tutmuram, amma sayacağam). Problemin həlli üçün də uyğundur.
Qorunmanın mahiyyəti ondan ibarətdir ki, biz vaxt vahidi üçün 4xx səhvlərin sayını (arxa tərəfdə) hesablayacağıq və əgər o, göstərilən həddi aşarsa, göstərilən müddət ərzində bu ip-dən bütün əlavə əlaqələri (ön tərəfdə) rədd edin. .
Texniki cəhətdən bu, parolun kobud gücünə qarşı müdafiə olmayacaq, 4xx səhvlərinə qarşı qorunacaq. Məsələn, tez-tez mövcud olmayan url (404) tələb edirsinizsə, o zaman qoruma da işləyəcək.
Ən sadə və ən təsirli yol arxa tərəfə güvənmək və əlavə bir şey görünsə geri hesabat verməkdir:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Ən yaxşı variant deyil, gəlin onu mürəkkəbləşdirək. Biz arxa tərəfə, ön tərəfə isə bloklayacayıq.
Təcavüzkarla kobud davranacaq və onun TCP bağlantısını kəsəcəyik.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
eyni şey, lakin nəzakətlə, http 429 səhvini qaytaracağıq (Çox Çox İstəklər)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Yoxlayıram: mstsc proqramını işə salıram və təsadüfi olaraq parolları daxil etməyə başlayıram. Üçüncü cəhddən sonra 10 saniyə ərzində məni geri qaytarır və mstsc xəta verir. Günlüklərdən göründüyü kimi.
İzahatlar. Mən haproxy ustasından uzağam. Məsələn, niyə başa düşmürəm
http-sorğu rədd et_status 429 əgər { sc_http_err_rate(0) gt 4}
işə başlamazdan əvvəl təxminən 10 səhv etməyə imkan verir.
Sayğacların nömrələnməsi ilə bağlı başım qarışıqdır. Haproxy ustaları, məni tamamlasanız, məni islah etsəniz, yaxşılaşdırsanız, şad olaram.
Şərhlərdə RD Gateway-i qorumaq üçün başqa yollar təklif edə bilərsiniz, öyrənmək maraqlı olacaq.
Windows Remote Desktop Client (mstsc) ilə bağlı qeyd etmək lazımdır ki, o, TLS1.2-ni dəstəkləmir (ən azı Windows 7-də), ona görə də TLS1-dən ayrılmalı oldum; cari şifrəni dəstəkləmir, ona görə də köhnələri tərk etməli oldum.
Heç nə başa düşməyən, yenicə öyrənən və artıq yaxşı iş görmək istəyənlər üçün sizə bütün konfiqurasiyanı verəcəyəm.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Niyə arxa tərəfdə iki server var? Çünki bu şəkildə səhvlərə dözümlülük göstərə bilərsiniz. Haproxy də üzən ağ ip ilə iki edə bilər.
Hesablama resursları: “iki konsert, iki nüvə, oyun kompüteri” ilə başlaya bilərsiniz. görə bu ehtiyat üçün kifayət edəcək.
Referanslar:
Mənbə: www.habr.com