Amikoj, saluton!
Estas multaj manieroj konekti de hejmo al via oficeja laborejo. Unu el ili estas uzi Microsoft Remote Desktop Gateway. Ĉi tio estas RDP per HTTP. Mi ne volas tuŝi agordi RDGW mem ĉi tie, mi ne volas diskuti kial ĝi estas bona aŭ malbona, ni traktu ĝin kiel unu el la foraj aliriloj. Mi volas paroli pri protektado de via RDGW-servilo kontraŭ la malbona Interreto. Kiam mi instalis la RDGW-servilon, mi tuj maltrankviliĝis pri sekureco, precipe pri protekto kontraŭ pasvorta krudforto. Mi miris, ke mi ne trovis artikolojn en la interreto pri kiel fari tion. Nu, vi devos fari ĝin mem.
RDGW mem ne havas ajnajn protektojn. Jes, ĝi povas esti elmontrita per nuda interfaco al blanka reto kaj ĝi funkcios bonege. Sed ĉi tio maltrankviligos la ĝustan administranton aŭ specialiston pri informa sekureco. Krome, ĝi permesos al vi eviti la situacion de blokado de konto, kiam senzorga dungito memoris la pasvorton por kompania konto en sia hejma komputilo, kaj tiam ŝanĝis sian pasvorton.
Bona maniero protekti internajn rimedojn de la ekstera medio estas per diversaj prokuriloj, eldonsistemoj kaj aliaj WAFoj. Ni memoru, ke RDGW ankoraŭ estas http, tiam ĝi nur petas ŝtopi specialan solvon inter internaj serviloj kaj Interreto.
Mi scias, ke ekzistas bonegaj F5, A10, Netscaler (ADC). Kiel administranto de unu el ĉi tiuj sistemoj, mi diros, ke ankaŭ eblas agordi protekton kontraŭ krudforto ĉe ĉi tiuj sistemoj. Kaj jes, ĉi tiuj sistemoj ankaŭ protektos vin kontraŭ iu ajn syn inundo.
Sed ne ĉiu kompanio povas pagi aĉeti tian solvon (kaj trovi administranton por tia sistemo :), sed samtempe ili povas zorgi pri sekureco!
Estas tute eble instali senpagan version de HAProxy sur senpaga operaciumo. Mi provis sur Debian 10, haproxy-versio 1.8.19 en la stabila deponejo. Mi ankaŭ testis ĝin en la versio 2.0.xx de la prova deponejo.
Ni lasos agordi debian mem ekster la amplekso de ĉi tiu artikolo. Mallonge: sur la blanka interfaco, fermu ĉion krom pordo 443, sur la griza interfaco - laŭ via politiko, ekzemple, ankaŭ fermu ĉion krom pordo 22. Malfermu nur kio estas necesa por laboro (VRRP ekzemple, por flosanta ip).
Antaŭ ĉio, mi agordis haproxy en SSL-ponta reĝimo (alinome http-reĝimo) kaj ŝaltis la ensalutadon por vidi kio okazas en RDP. Por tiel diri, mi eniris la mezon. Do, la /RDWeb-vojo specifita en "ĉiuj" artikoloj pri agordo de RDGateway mankas. Ĉio, kio estas tie, estas /rpc/rpcproxy.dll kaj /remoteDesktopGateway/. En ĉi tiu kazo, normaj GET/POST petoj ne estas uzataj; ilia propra speco de peto RDG_IN_DATA, RDG_OUT_DATA estas uzataj.
Ne multe, sed almenaŭ io.
Ni provu.
Mi lanĉas mstsc, iras al la servilo, vidas kvar 401 (neaŭtorizitajn) erarojn en la protokoloj, poste enigu mian uzantnomon/pasvorton kaj vidas la respondon 200.
Mi malŝaltas ĝin, rekomencas ĝin, kaj en la protokoloj mi vidas la samajn kvar 401-erarojn. Mi enmetas la malĝustan ensaluton/pasvorton kaj denove vidas kvar 401-erarojn. Tion mi bezonas. Jen kion ni kaptos.
Ĉar ne eblis determini la ensaluta url, kaj krome, mi ne scias kiel kapti la 401-eraron en haproxy, mi kaptos (ne efektive kaptos, sed kalkulos) ĉiujn 4xx-erarojn. Ankaŭ taŭga por solvi la problemon.
La esenco de la protekto estos, ke ni kalkulos la nombron da 4xx-eraroj (sur la backend) po unuo de tempo kaj se ĝi superas la specifitan limon, tiam malakceptu (sur la fasado) ĉiujn pliajn konektojn de ĉi tiu ip por la specifita tempo. .
Teknike, ĉi tio ne estos protekto kontraŭ pasvorta krudforto, ĝi estos protekto kontraŭ 4xx-eraroj. Ekzemple, se vi ofte petas neekzistantan urlon (404), tiam ankaŭ la protekto funkcios.
La plej simpla kaj efika maniero estas kalkuli je la backend kaj raporti se io kroma aperas:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Ne la plej bona elekto, ni kompliku ĝin. Ni kalkulos je la backend kaj blokos sur la fasado.
Ni traktos la atakanton malĝentile kaj forigos lian TCP-konekton.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
la sama afero, sed ĝentile, ni resendos la eraron http 429 (Tro Multaj Petoj)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Mi kontrolas: mi lanĉas mstsc kaj komencas hazarde enigi pasvortojn. Post la tria provo, ene de 10 sekundoj ĝi piedbatas min reen, kaj mstsc donas eraron. Kiel videblas en la protokoloj.
Klarigoj. Mi estas malproksima de haproxy-majstro. Mi ne komprenas kial, ekzemple
http-request deny deny_status 429 if { sc_http_err_rate (0) gt 4 }
permesas al vi fari ĉirkaŭ 10 erarojn antaŭ ol ĝi funkcias.
Mi estas konfuzita pri la numerado de la nombriloj. Majstroj de haproxy, mi ĝojos, se vi kompletigos min, korektos min, plibonigos min.
En la komentoj vi povas sugesti aliajn manierojn protekti RD Gateway, estos interese studi.
Koncerne la Vindozan Remote Desktop Client (mstsc), indas rimarki, ke ĝi ne subtenas TLS1.2 (almenaŭ en Vindozo 7), do mi devis forlasi TLS1; ne subtenas nunan ĉifron, do mi ankaŭ devis forlasi la malnovajn.
Por tiuj, kiuj komprenas nenion, nur lernas kaj jam volas bone fari, mi donos al vi la tutan agordon.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Kial du serviloj sur la backend? Ĉar jen kiel vi povas fari misfunkciadon. Haproxy ankaŭ povas fari du kun flosanta blanka ip.
Komputilaj rimedoj: vi povas komenci per "du gigo, du kernoj, videoluda komputilo." Laŭ ĉi tio sufiĉos por ŝpari.
Referencoj
fonto: www.habr.com