Freunde, hallo!
Es gibt viele Möglichkeiten, von zu Hause aus eine Verbindung zu Ihrem Büroarbeitsplatz herzustellen. Eine davon ist die Verwendung von Microsoft Remote Desktop Gateway. Dies ist RDP über HTTP. Ich möchte hier nicht auf die Einrichtung von RDGW selbst eingehen, ich möchte nicht diskutieren, warum es gut oder schlecht ist, sondern es als eines der Fernzugriffstools behandeln. Ich möchte über den Schutz Ihres RDGW-Servers vor dem bösen Internet sprechen. Als ich den RDGW-Server eingerichtet habe, machte ich mir sofort Sorgen um die Sicherheit, insbesondere um den Schutz vor Passwort-Brute-Force. Ich war überrascht, dass ich im Internet keine Artikel darüber gefunden habe, wie das geht. Nun, Sie müssen es selbst tun.
RDGW selbst verfügt über keinen Schutz. Ja, es kann mit einer bloßen Schnittstelle an ein weißes Netzwerk angeschlossen werden und funktioniert hervorragend. Dies wird jedoch den richtigen Administrator oder Informationssicherheitsspezialisten verunsichern. Darüber hinaus können Sie die Situation einer Kontosperrung vermeiden, wenn sich ein unvorsichtiger Mitarbeiter das Passwort für ein Firmenkonto auf seinem Heimcomputer merkt und dann sein Passwort ändert.
Eine gute Möglichkeit, interne Ressourcen vor der externen Umgebung zu schützen, sind verschiedene Proxys, Veröffentlichungssysteme und andere WAFs. Denken Sie daran, dass RDGW immer noch http ist. Dann muss nur noch eine spezielle Lösung zwischen internen Servern und dem Internet angeschlossen werden.
Ich weiß, dass es coole F5, A10, Netscaler (ADC) gibt. Als Administrator eines dieser Systeme kann ich sagen, dass es auch möglich ist, auf diesen Systemen einen Schutz vor Brute-Force einzurichten. Und ja, diese Systeme schützen Sie auch vor jeder Syn-Flut.
Aber nicht jedes Unternehmen kann es sich leisten, eine solche Lösung zu kaufen (und einen Administrator für ein solches System zu finden :), aber gleichzeitig kann es sich um die Sicherheit kümmern!
Es ist durchaus möglich, eine kostenlose Version von HAProxy auf einem kostenlosen Betriebssystem zu installieren. Ich habe es unter Debian 10, Haproxy-Version 1.8.19 im Stable-Repository getestet. Ich habe es auch mit Version 2.0.xx aus dem Test-Repository getestet.
Die Einrichtung von Debian selbst wird nicht Gegenstand dieses Artikels sein. Kurz gesagt: Schließen Sie auf der weißen Schnittstelle alles außer Port 443, auf der grauen Schnittstelle – gemäß Ihrer Richtlinie beispielsweise auch alles außer Port 22. Öffnen Sie nur das, was für die Arbeit notwendig ist (VRRP zum Beispiel für Floating IP).
Zunächst habe ich haproxy im SSL-Bridging-Modus (auch bekannt als http-Modus) konfiguriert und die Protokollierung aktiviert, um zu sehen, was in RDP vor sich geht. Ich bin sozusagen mittendrin. Daher fehlt der /RDWeb-Pfad, der in „allen“ Artikeln zum Einrichten von RDGateway angegeben ist. Es gibt nur /rpc/rpcproxy.dll und /remoteDesktopGateway/. In diesem Fall werden keine Standard-GET/POST-Anfragen verwendet; es wird ein eigener Anfragetyp RDG_IN_DATA, RDG_OUT_DATA verwendet.
Nicht viel, aber immerhin etwas.
Lasst uns testen.
Ich starte mstsc, gehe zum Server, sehe in den Protokollen vier 401-Fehler (nicht autorisiert), gebe dann meinen Benutzernamen/Passwort ein und sehe die Antwort 200.
Ich schalte es aus, starte es erneut und in den Protokollen sehe ich die gleichen vier 401-Fehler. Ich gebe den falschen Benutzernamen/das falsche Passwort ein und sehe erneut vier 401-Fehler. Das ist es, was ich brauche. Das werden wir fangen.
Da es nicht möglich war, die Anmelde-URL zu ermitteln, und außerdem nicht weiß, wie ich den 401-Fehler in Haproxy abfangen kann, werde ich alle 4xx-Fehler abfangen (nicht wirklich abfangen, sondern zählen). Auch zur Lösung des Problems geeignet.
Der Kern des Schutzes besteht darin, dass wir die Anzahl der 4xx-Fehler (im Backend) pro Zeiteinheit zählen und, wenn sie den angegebenen Grenzwert überschreitet, alle weiteren Verbindungen von dieser IP für die angegebene Zeit ablehnen (im Frontend). .
Technisch gesehen ist dies kein Schutz vor Passwort-Brute-Force, sondern ein Schutz vor 4xx-Fehlern. Wenn Sie beispielsweise häufig eine nicht vorhandene URL (404) anfordern, funktioniert der Schutz auch.
Der einfachste und effektivste Weg besteht darin, sich auf das Backend zu verlassen und zu melden, wenn etwas Besonderes auftritt:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Nicht die beste Option, machen wir es komplizierter. Wir werden auf das Backend zählen und auf das Frontend blockieren.
Wir werden den Angreifer unhöflich behandeln und seine TCP-Verbindung trennen.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
das Gleiche, aber aus Höflichkeit geben wir den Fehler http 429 (Too Many Requests) zurück.
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Ich überprüfe: Ich starte mstsc und fange an, Passwörter nach dem Zufallsprinzip einzugeben. Nach dem dritten Versuch tritt es mich innerhalb von 10 Sekunden zurück und mstsc gibt einen Fehler aus. Wie in den Protokollen zu sehen ist.
Erläuterungen. Ich bin weit davon entfernt, ein Haproxy-Meister zu sein. Ich verstehe zum Beispiel nicht warum
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
ermöglicht es Ihnen, etwa 10 Fehler zu machen, bevor es funktioniert.
Ich bin verwirrt über die Nummerierung der Zähler. Meister des Haproxy, ich freue mich, wenn Sie mich ergänzen, korrigieren, mich verbessern.
In den Kommentaren können Sie andere Möglichkeiten zum Schutz des RD-Gateways vorschlagen. Es wird interessant sein, sie zu studieren.
Bezüglich des Windows Remote Desktop Client (mstsc) ist anzumerken, dass dieser TLS1.2 nicht unterstützt (zumindest in Windows 7), sodass ich TLS1 belassen musste; unterstützt die aktuelle Verschlüsselung nicht, daher musste ich auch die alten belassen.
Für diejenigen, die nichts verstehen, gerade erst lernen und es schon gut machen wollen, gebe ich die gesamte Konfiguration.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Warum zwei Server im Backend? Denn so können Sie Fehlertoleranz herstellen. Haproxy kann auch zwei mit einer schwebenden weißen IP erstellen.
Rechenressourcen: Sie können mit „zwei Gigabyte, zwei Kernen, Gaming-PC“ beginnen. Entsprechend das wird als Reserve reichen.
Links:
Source: habr.com