Venner, hej!
Der er mange måder at forbinde hjemmefra til dit kontorarbejdsområde. En af dem er at bruge Microsoft Remote Desktop Gateway. Dette er RDP over HTTP. Jeg ønsker ikke at røre ved opsætningen af selve RDGW her, jeg ønsker ikke at diskutere, hvorfor det er godt eller dårligt, lad os behandle det som et af fjernadgangsværktøjerne. Jeg vil gerne tale om at beskytte din RDGW-server mod det onde internet. Da jeg konfigurerede RDGW-serveren, blev jeg straks bekymret over sikkerheden, især beskyttelse mod brute force med adgangskode. Jeg var overrasket over, at jeg ikke fandt nogen artikler på internettet om, hvordan man gør dette. Nå, du bliver nødt til at gøre det selv.
RDGW selv har ingen beskyttelse. Ja, det kan udsættes med et blottet interface til et hvidt netværk, og det vil fungere fantastisk. Men det vil gøre den rigtige administrator eller informationssikkerhedsspecialist utryg. Derudover vil det give dig mulighed for at undgå situationen med kontoblokering, når en skødesløs medarbejder huskede adgangskoden til en virksomhedskonto på sin hjemmecomputer og derefter ændrede sin adgangskode.
En god måde at beskytte interne ressourcer mod det eksterne miljø er gennem forskellige proxyer, publiceringssystemer og andre WAF'er. Lad os huske, at RDGW stadig er http, så beder det bare om at tilslutte en specialiseret løsning mellem interne servere og internettet.
Jeg ved, at der er fede F5, A10, Netscaler(ADC). Som administrator af et af disse systemer vil jeg sige, at det også er muligt at opsætte beskyttelse mod brute force på disse systemer. Og ja, disse systemer vil også beskytte dig mod enhver syn-oversvømmelse.
Men ikke alle virksomheder har råd til at købe sådan en løsning (og finde en administrator til sådan et system :), men samtidig kan de tage sig af sikkerheden!
Det er fuldt ud muligt at installere en gratis version af HAProxy på et gratis operativsystem. Jeg testede på Debian 10, haproxy version 1.8.19 i det stabile lager. Jeg testede det også på version 2.0.xx fra testlageret.
Vi vil lade selve opsætningen af debian ligge uden for rammerne af denne artikel. Kort sagt: på den hvide grænseflade skal du lukke alt undtagen port 443, på den grå grænseflade - i henhold til din politik skal du for eksempel også lukke alt undtagen port 22. Åbn kun det, der er nødvendigt for arbejde (VRRP for eksempel for flydende ip).
Først og fremmest konfigurerede jeg haproxy i SSL-brotilstand (alias http-tilstand) og aktiverede logning for at se, hvad der foregik inde i RDP. Så at sige kom jeg i midten. Så /RDWeb-stien angivet i "alle" artikler om opsætning af RDGateway mangler. Alt, hvad der er, er /rpc/rpcproxy.dll og /remoteDesktopGateway/. I dette tilfælde bruges standard GET/POST-anmodninger ikke; deres egen type anmodning RDG_IN_DATA, RDG_OUT_DATA bruges.
Ikke meget, men i det mindste noget.
Lad os teste.
Jeg starter mstsc, går til serveren, ser fire 401 (uautoriserede) fejl i logfilerne, indtaster derefter mit brugernavn/adgangskode og ser svaret 200.
Jeg slår den fra, starter den igen, og i logfilerne ser jeg de samme fire 401-fejl. Jeg indtaster det forkerte login/adgangskode og ser igen fire 401-fejl. Det er det, jeg har brug for. Det er, hvad vi vil fange.
Da det ikke var muligt at bestemme login-url'en, og desuden ikke ved, hvordan jeg fanger 401-fejlen i haproxy, vil jeg fange (faktisk ikke fange, men tælle) alle 4xx-fejl. Også velegnet til at løse problemet.
Essensen af beskyttelsen vil være, at vi vil tælle antallet af 4xx fejl (på backend) pr. tidsenhed, og hvis det overskrider den specificerede grænse, så afvis (på frontend) alle yderligere forbindelser fra denne ip i den angivne tid .
Teknisk set vil dette ikke være beskyttelse mod password brute force, det vil være beskyttelse mod 4xx fejl. For eksempel, hvis du ofte anmoder om en ikke-eksisterende url (404), så vil beskyttelsen også virke.
Den enkleste og mest effektive måde er at regne med backend og rapportere tilbage, hvis der dukker noget ekstra op:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Ikke den bedste mulighed, lad os komplicere det. Vi vil regne med backend og blokere på frontend.
Vi vil behandle angriberen groft og droppe hans TCP-forbindelse.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
det samme, men høfligt returnerer vi fejlen http 429 (Too Many Requests)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Jeg kontrollerer: Jeg starter mstsc og begynder at indtaste adgangskoder tilfældigt. Efter det tredje forsøg, inden for 10 sekunder, sparker den mig tilbage, og mstsc giver en fejl. Som det kan ses i loggene.
Forklaringer. Jeg er langt fra en haproxy-mester. Jeg forstår ikke hvorfor f.eks
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
giver dig mulighed for at lave omkring 10 fejl, før det virker.
Jeg er forvirret over nummereringen af tællerne. Mestre i haproxy, jeg vil være glad, hvis du supplerer mig, retter mig, gør mig bedre.
I kommentarerne kan du foreslå andre måder at beskytte RD Gateway på, det vil være interessant at studere.
Med hensyn til Windows Remote Desktop Client (mstsc) er det værd at bemærke, at den ikke understøtter TLS1.2 (i hvert fald i Windows 7), så jeg måtte forlade TLS1; understøtter ikke nuværende cipher, så jeg måtte også lade de gamle.
For dem, der ikke forstår noget, bare lærer og allerede vil gøre det godt, vil jeg give dig hele konfigurationen.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Hvorfor to servere på backend? For det er sådan, du kan lave fejltolerance. Haproxy kan også lave to med en flydende hvid ip.
Computerressourcer: Du kan starte med "to koncerter, to kerner, spil-pc." Ifølge dette vil være nok til overs.
referencer:
Kilde: www.habr.com