Amics, hola!
Hi ha moltes maneres de connectar-vos des de casa a l'espai de treball de l'oficina. Un d'ells és utilitzar Microsoft Remote Desktop Gateway. Això és RDP sobre HTTP. No vull parlar de la configuració de RDGW aquí, no vull discutir per què és bo o dolent, tractem-ho com una de les eines d'accés remot. Vull parlar de la protecció del vostre servidor RDGW de la malvada Internet. Quan vaig configurar el servidor RDGW, de seguida em vaig preocupar per la seguretat, especialment la protecció contra la força bruta de contrasenyes. Em va sorprendre que no trobés cap article a Internet sobre com fer-ho. Bé, ho hauràs de fer tu mateix.
RDGW en si no té cap protecció. Sí, es pot exposar amb una interfície nua a una xarxa blanca i funcionarà molt bé. Però això farà que l'administrador adequat o l'especialista en seguretat de la informació es trobi incòmode. A més, us permetrà evitar la situació de bloqueig del compte, quan un empleat descuidat recordava la contrasenya d'un compte corporatiu a l'ordinador de casa i després canviava la seva contrasenya.
Una bona manera de protegir els recursos interns de l'entorn extern és mitjançant diversos servidors intermediaris, sistemes de publicació i altres WAF. Recordem que RDGW encara és http, llavors només demana connectar una solució especialitzada entre servidors interns i Internet.
Sé que hi ha F5, A10, Netscaler (ADC) genials. Com a administrador d'un d'aquests sistemes, diré que també és possible configurar la protecció contra la força bruta en aquests sistemes. I sí, aquests sistemes també us protegiran de qualsevol inundació syn.
Però no totes les empreses es poden permetre el luxe d'adquirir una solució d'aquest tipus (i trobar un administrador per a aquest sistema :), però al mateix temps poden vetllar per la seguretat!
És totalment possible instal·lar una versió gratuïta d'HAProxy en un sistema operatiu gratuït. Vaig provar a Debian 10, versió haproxy 1.8.19 al repositori estable. També ho vaig provar a la versió 2.0.xx del dipòsit de proves.
Deixarem la configuració de Debian fora de l'abast d'aquest article. Breument: a la interfície blanca, tanqueu-ho tot excepte el port 443, a la interfície grisa; segons la vostra política, per exemple, tanqueu-ho tot excepte el port 22. Obriu només el que és necessari per treballar (VRRP, per exemple, per a ip flotant).
En primer lloc, vaig configurar haproxy en mode pont SSL (també conegut com a mode http) i vaig activar el registre per veure què passava dins de RDP. Per dir-ho així, em vaig posar al mig. Per tant, falta la ruta /RDWeb especificada a "tots" els articles sobre la configuració de RDGateway. Tot el que hi ha és /rpc/rpcproxy.dll i /remoteDesktopGateway/. En aquest cas, no s'utilitzen sol·licituds GET/POST estàndard; s'utilitza el seu propi tipus de sol·licitud RDG_IN_DATA, RDG_OUT_DATA.
No gaire, però almenys alguna cosa.
Anem a provar.
Llenço mstsc, vaig al servidor, veig quatre errors 401 (no autoritzats) als registres, després introdueixo el meu nom d'usuari/contrasenya i veig la resposta 200.
L'apago, l'engego de nou i als registres veig els mateixos quatre errors 401. Introdueixo un inici de sessió/contrasenya incorrecte i torno a veure quatre errors 401. Això és el que necessito. Això és el que agafarem.
Com que no va ser possible determinar l'URL d'inici de sessió i, a més, no sé com detectar l'error 401 a haproxy, capturaré (no captura, sinó comptarà) tots els errors 4xx. També apte per resoldre el problema.
L'essència de la protecció serà que comptarem el nombre d'errors 4xx (al backend) per unitat de temps i si supera el límit especificat, rebutgem (a la interfície) totes les connexions addicionals d'aquesta ip durant el temps especificat. .
Tècnicament, això no serà protecció contra la força bruta de contrasenyes, sinó protecció contra errors 4xx. Per exemple, si sol·liciteu sovint un URL inexistent (404), la protecció també funcionarà.
La manera més senzilla i eficaç és comptar amb el backend i informar si apareix alguna cosa addicional:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
No és la millor opció, compliquem-ho. Comptarem amb el backend i bloquejarem el frontend.
Tractarem l'atacant de manera grollera i deixarem la seva connexió TCP.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
el mateix, però educadament, tornarem l'error http 429 (massa sol·licituds)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Comproveu: inicio mstsc i començo a introduir contrasenyes aleatòriament. Després del tercer intent, al cap de 10 segons em fa retrocedir i mstsc dóna un error. Com es pot veure als registres.
Explicacions. Estic lluny de ser un mestre haproxy. No entenc per què, per exemple
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
permet cometre uns 10 errors abans que funcioni.
Estic confós sobre la numeració dels comptadors. Mestres de l'haproxy, m'alegraré si em complementeu, em corregiu, em feu millor.
En els comentaris podeu suggerir altres maneres de protegir RD Gateway, serà interessant estudiar.
Pel que fa al client d'escriptori remot de Windows (mstsc), val la pena assenyalar que no és compatible amb TLS1.2 (almenys a Windows 7), així que vaig haver de deixar TLS1; no admet el xifrat actual, així que també vaig haver de deixar els antics.
Per als que no entenen res, estan aprenent i ja volen fer-ho bé, us donaré tota la configuració.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Per què dos servidors al backend? Perquè així és com podeu fer tolerància a errors. Haproxy també pot fer-ne dos amb una ip blanca flotant.
Recursos informàtics: podeu començar amb "dos concerts, dos nuclis, PC de joc". D'acord amb això n'hi haurà prou.
Enllaços:
Font: www.habr.com