Ffrindiau, helo!
Mae yna lawer o ffyrdd i gysylltu o'ch cartref i weithle eich swyddfa. Un ohonynt yw defnyddio Microsoft Remote Desktop Gateway. Dyma RDP dros HTTP. Nid wyf am gyffwrdd â sefydlu RDGW ei hun yma, nid wyf am drafod pam ei fod yn dda neu'n ddrwg, gadewch i ni ei drin fel un o'r offer mynediad o bell. Rwyf am siarad am amddiffyn eich gweinydd RDGW rhag y Rhyngrwyd drwg. Pan sefydlais y gweinydd RDGW, dechreuais bryderu ar unwaith am ddiogelwch, yn enwedig amddiffyniad rhag grym ysbeidiol cyfrinair. Cefais fy synnu na wnes i ddod o hyd i unrhyw erthyglau ar y Rhyngrwyd am sut i wneud hyn. Wel, bydd yn rhaid i chi ei wneud eich hun.
Nid oes gan RDGW ei hun unrhyw amddiffyniadau. Oes, gall fod yn agored gyda rhyngwyneb noeth i rwydwaith gwyn a bydd yn gweithio'n wych. Ond bydd hyn yn gwneud y gweinyddwr cywir neu'r arbenigwr diogelwch gwybodaeth yn anesmwyth. Yn ogystal, bydd yn caniatáu ichi osgoi'r sefyllfa o rwystro cyfrifon, pan gofiodd gweithiwr diofal y cyfrinair ar gyfer cyfrif corfforaethol ar ei gyfrifiadur cartref, ac yna newidiodd ei gyfrinair.
Ffordd dda o ddiogelu adnoddau mewnol rhag yr amgylchedd allanol yw trwy ddirprwyon amrywiol, systemau cyhoeddi, a WAFs eraill. Gadewch i ni gofio bod RDGW yn dal i fod http, yna mae'n erfyn i blygio datrysiad arbenigol rhwng gweinyddwyr mewnol a'r Rhyngrwyd.
Gwn fod yna F5, A10, Netscaler (ADC) cŵl. Fel gweinyddwr un o'r systemau hyn, byddaf yn dweud ei bod hefyd yn bosibl sefydlu amddiffyniad rhag grym ysgarol ar y systemau hyn. Ac ie, bydd y systemau hyn hefyd yn eich amddiffyn rhag unrhyw lifogydd syn.
Ond ni all pob cwmni fforddio prynu datrysiad o'r fath (a dod o hyd i weinyddwr ar gyfer system o'r fath :), ond ar yr un pryd gallant ofalu am ddiogelwch!
Mae'n gwbl bosibl gosod fersiwn am ddim o HAProxy ar system weithredu am ddim. Profais ar Debian 10, fersiwn haproxy 1.8.19 yn yr ystorfa sefydlog. Fe wnes i ei brofi hefyd ar fersiwn 2.0.xx o'r ystorfa brofi.
Byddwn yn gadael sefydlu debian ei hun y tu allan i gwmpas yr erthygl hon. Yn fyr: ar y rhyngwyneb gwyn, caewch bopeth ac eithrio porthladd 443, ar y rhyngwyneb llwyd - yn ôl eich polisi, er enghraifft, caewch bopeth ac eithrio porthladd 22 hefyd. Agorwch yr hyn sy'n angenrheidiol ar gyfer gwaith yn unig (VRRP er enghraifft, ar gyfer ip arnawf).
Yn gyntaf oll, fe wnes i ffurfweddu haproxy yn y modd pontio SSL (aka http modd) a throi logio ymlaen i weld beth oedd yn digwydd y tu mewn i RDP. Felly i siarad, es i yn y canol. Felly, mae'r llwybr / RDWeb a nodir ym mhob erthygl ar sefydlu RDGateway ar goll. Y cyfan sydd yna yw /rpc/rpcproxy.dll a /remoteDesktopGateway/. Yn yr achos hwn, ni ddefnyddir ceisiadau safonol GET/POST; defnyddir eu math eu hunain o gais RDG_IN_DATA, RDG_OUT_DATA.
Dim llawer, ond o leiaf rhywbeth.
Gadewch i ni brofi.
Rwy'n lansio mstsc, ewch i'r gweinydd, gweld pedwar gwall 401 (anawdurdodedig) yn y logiau, yna rhowch fy enw defnyddiwr / cyfrinair a gweld yr ymateb 200.
Rwy'n ei droi i ffwrdd, yn ei gychwyn eto, ac yn y logiau rwy'n gweld yr un pedwar gwall 401. Rwy'n nodi'r mewngofnodi / cyfrinair anghywir a gweld pedwar gwall 401 eto. Dyna sydd ei angen arnaf. Dyma beth fyddwn ni'n ei ddal.
Gan nad oedd yn bosibl pennu'r url mewngofnodi, ac ar ben hynny, nid wyf yn gwybod sut i ddal y gwall 401 mewn haproxy, byddaf yn dal (nid yn dal, ond yn cyfrif) yr holl wallau 4xx. Hefyd yn addas ar gyfer datrys y broblem.
Hanfod yr amddiffyniad fydd y byddwn yn cyfrif nifer y gwallau 4xx (ar y pen ôl) fesul uned o amser ac os yw'n fwy na'r terfyn penodedig, yna gwrthod (ar y blaen) pob cysylltiad pellach o'r ip hwn am yr amser penodedig .
Yn dechnegol, ni fydd hyn yn amddiffyniad rhag grym 'n Ysgrublaidd cyfrinair, bydd yn amddiffyniad rhag gwallau 4xx. Er enghraifft, os byddwch yn aml yn gofyn am url nad yw'n bodoli (404), yna bydd yr amddiffyniad hefyd yn gweithio.
Y ffordd symlaf a mwyaf effeithiol yw cyfrif ar y pen ôl ac adrodd yn ôl os bydd unrhyw beth ychwanegol yn ymddangos:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Nid yr opsiwn gorau, gadewch i ni ei gymhlethu. Byddwn yn cyfrif ar y pen ôl ac yn blocio ar y blaen.
Byddwn yn trin yr ymosodwr yn ddigywilydd ac yn gollwng ei gysylltiad TCP.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
yr un peth, ond yn gwrtais, byddwn yn dychwelyd y gwall http 429 (Gormod o Geisiadau)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Rwy'n gwirio: Rwy'n lansio mstsc ac yn dechrau mynd i mewn i gyfrineiriau ar hap. Ar ôl y trydydd ymgais, o fewn 10 eiliad mae'n fy nghicio'n ôl, ac mae mstsc yn rhoi gwall. Fel y gwelir yn y logiau.
Esboniadau. Rwy'n bell o fod yn feistr haproxy. Dydw i ddim yn deall pam, er enghraifft
http-cais gwadu deny_status 429 os { sc_http_err_rate(0) gt 4 }
yn caniatáu ichi wneud tua 10 camgymeriad cyn iddo weithio.
Rwy'n ddryslyd ynghylch rhifo'r cownteri. Meistri haproxy, byddaf yn falch os byddwch yn fy ategu, yn fy nghywiro, yn fy ngwneud yn well.
Yn y sylwadau gallwch chi awgrymu ffyrdd eraill o ddiogelu RD Gateway, bydd yn ddiddorol astudio.
O ran y Cleient Penbwrdd Anghysbell Windows (mstsc), mae'n werth nodi nad yw'n cefnogi TLS1.2 (yn Windows 7 o leiaf), felly roedd yn rhaid i mi adael TLS1; ddim yn cefnogi cipher cyfredol, felly roedd yn rhaid i mi hefyd adael yr hen rai.
I'r rhai nad ydyn nhw'n deall unrhyw beth, sy'n dysgu yn unig, ac sydd eisoes eisiau gwneud yn dda, byddaf yn rhoi'r cyfluniad cyfan i chi.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Pam dau weinydd ar y backend? Oherwydd dyma sut y gallwch chi wneud goddefgarwch bai. Gall Haproxy hefyd wneud dau ag ip gwyn arnofiol.
Adnoddau cyfrifiadurol: gallwch chi ddechrau gyda “dau gig, dau graidd, PC hapchwarae.” Yn ôl bydd hyn yn ddigon i'w sbario.
Cyfeiriadau:
Ffynhonnell: hab.com