Přátelé, ahoj!
Existuje mnoho způsobů, jak se připojit z domova do vašeho kancelářského pracovního prostoru. Jedním z nich je použití brány Microsoft Remote Desktop Gateway. Toto je RDP přes HTTP. Nechci se zde dotknout samotného nastavení RDGW, nechci diskutovat o tom, proč je to dobré nebo špatné, berme to jako jeden z nástrojů vzdáleného přístupu. Chci mluvit o ochraně vašeho serveru RDGW před zlým internetem. Když jsem nastavil server RDGW, okamžitě jsem se začal zajímat o bezpečnost, zejména o ochranu proti hrubé síle hesla. Překvapilo mě, že jsem na internetu nenašel žádné články o tom, jak to udělat. No, budeš to muset udělat sám.
Samotné RDGW žádné ochrany nemá. Ano, lze to s holým rozhraním vystavit bílé síti a bude to fungovat skvěle. To ale správného správce nebo specialistu na informační bezpečnost znejistí. Navíc vám umožní vyhnout se situaci blokace účtu, kdy si neopatrný zaměstnanec na svém domácím počítači zapamatoval heslo k firemnímu účtu a následně si heslo změnil.
Dobrým způsobem, jak chránit interní zdroje před vnějším prostředím, jsou různé proxy, publikační systémy a další WAF. Připomeňme si, že RDGW je stále http, pak si jen žádá připojení specializovaného řešení mezi interní servery a internet.
Vím, že existují skvělé F5, A10, Netscaler (ADC). Jako správce jednoho z těchto systémů řeknu, že na těchto systémech je také možné nakonfigurovat ochranu proti hrubé síle. A ano, tyto systémy vás také ochrání před jakoukoli syn záplavou.
Ne každá firma si ale může dovolit takové řešení pořídit (a najít pro takový systém správce :), ale zároveň se umí postarat o bezpečnost!
Je zcela možné nainstalovat bezplatnou verzi HAProxy na bezplatný operační systém. Testoval jsem na Debianu 10, haproxy verze 1.8.19 ve stabilním úložišti. Testoval jsem to i na verzi 2.0.xx z testovacího úložiště.
Samotné nastavení debianu ponecháme mimo rámec tohoto článku. Stručně: na bílém rozhraní zavřete vše kromě portu 443, na šedém rozhraní - podle vašich zásad například také zavřete vše kromě portu 22. Otevřete pouze to, co je nezbytné pro práci (např. VRRP pro plovoucí IP).
Nejprve jsem nakonfiguroval haproxy v režimu přemostění SSL (neboli režim http) a zapnul protokolování, abych viděl, co se děje uvnitř RDP. Abych tak řekl, dostal jsem se doprostřed. Chybí tedy cesta /RDWeb uvedená ve „všech“ článcích o nastavení RDGateway. Vše, co tam je, je /rpc/rpcproxy.dll a /remoteDesktopGateway/. V tomto případě se nepoužívají standardní požadavky GET/POST, používá se jejich vlastní typ požadavku RDG_IN_DATA, RDG_OUT_DATA.
Nic moc, ale aspoň něco.
Pojďme otestovat.
Spustím mstsc, přejdu na server, v protokolech uvidím čtyři chyby 401 (neautorizované), poté zadám své uživatelské jméno/heslo a zobrazí se odpověď 200.
Vypnu jej, znovu spustím a v protokolech vidím stejné čtyři chyby 401. Zadám špatné přihlašovací jméno/heslo a znovu se zobrazí čtyři chyby 401. To je to, co potřebuji. Toho se chytíme.
Protože nebylo možné určit přihlašovací url a kromě toho nevím, jak zachytit chybu 401 v haproxy, zachytím (nezachytím, ale spočítám) všechny chyby 4xx. Vhodné i pro řešení problému.
Podstata ochrany bude spočívat v tom, že budeme počítat počet 4xx chyb (na backendu) za jednotku času a pokud to překročí zadaný limit, tak odmítnout (na frontendu) všechna další spojení z této ip po stanovenou dobu .
Technicky to nebude ochrana před hrubou silou hesla, bude to ochrana proti chybám 4xx. Pokud například často požadujete neexistující url (404), bude ochrana také fungovat.
Nejjednodušší a nejúčinnější způsob je počítat s backendem a hlásit, pokud se objeví něco navíc:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Není to nejlepší varianta, pojďme si to zkomplikovat. Budeme počítat s backendem a blokovat na frontendu.
S útočníkem se budeme chovat hrubě a přerušíme jeho TCP spojení.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
totéž, ale zdvořile vrátíme chybu http 429 (Příliš mnoho požadavků)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Zkontroluji: Spustím mstsc a začnu náhodně zadávat hesla. Po třetím pokusu mě to do 10 sekund vykopne a mstsc hlásí chybu. Jak je vidět v logech.
Vysvětlivky. Do haproxy mistra mám daleko. Nechápu proč např
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
umožňuje udělat asi 10 chyb, než to funguje.
Jsem zmatený z číslování počítadel. Mistři haproxy, budu rád, když mě doplníte, opravíte, zlepšíte.
V komentářích můžete navrhnout další způsoby ochrany RD Gateway, bude zajímavé prostudovat.
Pokud jde o klienta vzdálené plochy Windows (mstsc), stojí za zmínku, že nepodporuje TLS1.2 (alespoň ve Windows 7), takže jsem musel opustit TLS1; nepodporuje současnou šifru, takže jsem musel opustit i ty staré.
Pro ty, kteří ničemu nerozumí, teprve se učí a už to chtějí dělat dobře, dám celou konfiguraci.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Proč dva servery na backendu? Protože takto můžete dosáhnout odolnosti proti chybám. Haproxy umí udělat i dva s plovoucí bílou ip.
Výpočetní zdroje: můžete začít s „dva koncerty, dvě jádra, herní PC“. Podle to bude stačit na rezervu.
Odkazy:
Zdroj: www.habr.com