Приятели, здравейте!
Има много начини да се свържете от дома си с работното пространство в офиса. Един от тях е да използвате Microsoft Remote Desktop Gateway. Това е RDP през HTTP. Не искам да засягам самото настройване на RDGW тук, не искам да обсъждам защо е добро или лошо, нека го третираме като един от инструментите за отдалечен достъп. Искам да говоря за защитата на вашия RDGW сървър от злия интернет. Когато настроих сървъра RDGW, веднага се загрижих за сигурността, особено за защитата срещу груба сила на парола. Бях изненадан, че не намерих статии в интернет за това как да направя това. Е, ще трябва да го направите сами.
Самата RDGW няма никакви защити. Да, може да бъде изложен с гол интерфейс към бяла мрежа и ще работи чудесно. Но това ще направи правилния администратор или специалист по информационна сигурност неспокоен. В допълнение, това ще ви позволи да избегнете ситуацията на блокиране на акаунт, когато небрежен служител си спомни паролата за корпоративен акаунт на домашния си компютър и след това промени паролата си.
Добър начин за защита на вътрешните ресурси от външната среда е чрез различни проксита, системи за публикуване и други WAF. Нека си припомним, че RDGW все още е http, тогава просто моли да включи специализирано решение между вътрешните сървъри и Интернет.
Знам, че има страхотни F5, A10, Netscaler(ADC). Като администратор на една от тези системи ще кажа, че е възможно да се настрои и защита срещу груба сила на тези системи. И да, тези системи също така ще ви предпазят от всяко syn flood.
Но не всяка компания може да си позволи да закупи такова решение (и да намери администратор за такава система :), но в същото време може да се погрижи за сигурността!
Напълно възможно е да инсталирате безплатна версия на HAProxy на безплатна операционна система. Тествах на Debian 10, haproxy версия 1.8.19 в стабилното хранилище. Тествах го и на версия 2.0.xx от тестовото хранилище.
Ще оставим настройката на самия debian извън обхвата на тази статия. Накратко: на белия интерфейс затворете всичко освен порт 443, на сивия интерфейс - според вашата политика, например, също затворете всичко освен порт 22. Отворете само това, което е необходимо за работа (VRRP например за плаващ ip).
Първо, конфигурирах haproxy в режим на SSL мост (известен още като http режим) и включих регистриране, за да видя какво се случва вътре в RDP. Така да се каже, попаднах по средата. Така че пътят /RDWeb, посочен във „всички“ статии за настройка на RDGateway, липсва. Всичко, което е там, е /rpc/rpcproxy.dll и /remoteDesktopGateway/. В този случай не се използват стандартни GET/POST заявки; използва се техният собствен тип заявка RDG_IN_DATA, RDG_OUT_DATA.
Не много, но поне нещо.
Нека тестваме.
Стартирам mstsc, отивам на сървъра, виждам четири 401 (неоторизирани) грешки в регистрационните файлове, след това въвеждам потребителското си име/парола и виждам отговора 200.
Изключвам го, стартирам го отново и в регистрационните файлове виждам същите четири грешки 401. Въвеждам грешно име/парола и отново виждам четири грешки 401. Това е, което ми трябва. Това ще хванем.
Тъй като не беше възможно да се определи URL адресът за влизане и освен това не знам как да хвана грешката 401 в haproxy, ще хвана (всъщност не ще хвана, но ще преброя) всички 4xx грешки. Подходящ и за решаване на проблема.
Същността на защитата ще бъде, че ние ще преброим броя на 4xx грешки (на бекенда) за единица време и ако надвиши определения лимит, тогава ще отхвърлим (на фронтенда) всички следващи връзки от този ip за определеното време .
Технически това няма да е защита срещу груба сила на паролата, а защита срещу 4xx грешки. Например, ако често изисквате несъществуващ url (404), тогава защитата също ще работи.
Най-простият и ефективен начин е да разчитате на бекенда и да докладвате, ако се появи нещо допълнително:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Не е най-добрият вариант, нека го усложним. Ще разчитаме на бекенда и ще блокираме на фронтенда.
Ще се отнесем грубо към нападателя и ще прекъснем неговата TCP връзка.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
същото нещо, но учтиво, ще върнем грешката http 429 (Твърде много заявки)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Проверявам: Пускам mstsc и започвам произволно да въвеждам пароли. След третия опит в рамките на 10 секунди ме рита обратно и mstsc дава грешка. Както се вижда в дневниците.
Обяснения. Далеч съм от хапрокси майстор. Не разбирам защо например
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
ви позволява да направите около 10 грешки, преди да работи.
Объркана съм относно номерацията на гишетата. Майстори на haproxy, ще се радвам, ако ме допълвате, коригирате, правите ме по-добър.
В коментарите можете да предложите други начини за защита на RD Gateway, ще бъде интересно да се проучи.
Що се отнася до клиента за отдалечен работен плот на Windows (mstsc), заслужава да се отбележи, че той не поддържа TLS1.2 (поне в Windows 7), така че трябваше да напусна TLS1; не поддържа текущия шифър, така че също трябваше да оставя старите.
За тези, които не разбират нищо, тепърва учат и вече искат да се справят добре, ще ви дам цялата конфигурация.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Защо два сървъра на бекенда? Защото така можете да направите толерантност към грешки. Haproxy също може да направи две с плаващ бял ip.
Компютърни ресурси: можете да започнете с „два концерта, две ядра, компютър за игри“. Според това ще бъде достатъчно за спестяване.
за справка:
Източник: www.habr.com