Lagunak, kaixo!
Etxetik zure bulegoko lan-eremura konektatzeko modu asko daude. Horietako bat Microsoft Remote Desktop Gateway erabiltzea da. Hau RDP HTTP bidezkoa da. Ez dut hemen RDGW bera konfiguratzea ukitu nahi, ez dut eztabaidatu nahi zergatik den ona edo txarra, urrutiko sarbideko tresnetako bat bezala trata dezagun. Zure RDGW zerbitzaria Internet gaiztotik babesteari buruz hitz egin nahi dut. RDGW zerbitzaria konfiguratu nuenean, berehala kezkatu nintzen segurtasunaz, batez ere pasahitzaren indar gordinaren aurkako babesaz. Harritu nintzen Interneten ez nuela artikulurik aurkitu hau nola egin jakiteko. Tira, zuk zeuk egin beharko duzu.
RDGWk berak ez du inolako babesik. Bai, interfaze biluzi batekin sare zuri baten aurrean egon daiteke eta oso ondo funtzionatuko du. Baina honek administratzaile egokia edo informazioaren segurtasuneko espezialista ezinegon egingo du. Horrez gain, kontua blokeatzeko egoera saihesteko aukera emango du, arduragabekeriako langile batek etxeko ordenagailuko kontu korporatibo baten pasahitza gogoratu eta gero pasahitza aldatu zuenean.
Barne baliabideak kanpoko ingurunetik babesteko modu ona hainbat proxy, argitalpen-sistema eta beste WAF batzuen bidez da. Gogora dezagun RDGW oraindik http dela, orduan barne zerbitzarien eta Interneten artean irtenbide espezializatu bat konektatzea besterik ez dela eskatzen.
Badakit F5, A10, Netscaler (ADC) politak daudela. Sistema horietako baten administratzaile naizen aldetik, esango dut sistema hauetan indar gordinaren aurkako babesa ere ezar daitekeela. Eta bai, sistema hauek edozein syn uholdetik babestuko zaituzte.
Baina enpresa guztiek ezin dute horrelako soluzio bat erosteko (eta halako sistema baterako administratzaile bat aurkitu :), baina, aldi berean, segurtasuna zaindu dezakete!
Guztiz posible da HAProxy doako bertsio bat doako sistema eragile batean instalatzea. Debian 10-n probatu nuen, haproxy bertsioa 1.8.19 biltegi egonkorrean. Testing biltegiko 2.0.xx bertsioan ere probatu nuen.
Debian bera konfiguratzea artikulu honen esparrutik kanpo utziko dugu. Laburbilduz: interfaze zurian, itxi dena 443 ataka izan ezik, interfaze grisean - zure politikaren arabera, adibidez, itxi dena ere 22 ataka izan ezik. Lanerako beharrezkoa dena bakarrik ireki (VRRP adibidez, ip flotagarrirako).
Lehenik eta behin, haproxy SSL zubi moduan konfiguratu nuen (aka http moduan) eta saioa aktibatu nuen RDP barruan zer gertatzen ari zen ikusteko. Nolabait esateko, erdian sartu nintzen. Beraz, RDGateway konfiguratzeko artikulu "guztietan" zehaztutako /RDWeb bidea falta da. Bertan dagoen guztia /rpc/rpcproxy.dll eta /remoteDesktopGateway/ dira. Kasu honetan, GET/POST eskaera estandarrak ez dira erabiltzen; RDG_IN_DATA, RDG_OUT_DATA eskaera mota propioa erabiltzen da.
Ez asko, baina zerbait behintzat.
Egin dezagun proba.
mstsc abiarazten dut, zerbitzarira joaten naiz, lau 401 (baimenik gabeko) akats ikusten ditut erregistroetan, ondoren sartu nire erabiltzaile-izena/pasahitza eta 200 erantzuna ikusten dut.
Itzaltzen dut, berriro abiarazten dut eta erregistroetan lau 401 errore berdinak ikusten ditut. Saio-hasiera/pasahitz okerra sartzen dut eta lau 401 errore ikusten ditut berriro. Hori da behar dudana. Hau da harrapatuko duguna.
Saio-hasteko url-a zehaztu ezin izan denez, eta, gainera, ez dakit nola atzeman haproxy-n 401 errorea, 4xx errore guztiak harrapatuko ditut (ez benetan harrapatu, baina zenbatu). Arazoa konpontzeko ere egokia.
Babesaren funtsa izango da 4xx errore kopurua (backend-ean) zenbatuko dugula denbora-unitate bakoitzeko eta zehaztutako muga gainditzen badu, ukatu (frontend-ean) ip honetako konexio gehiago zehaztutako denboran. .
Teknikoki, hau ez da pasahitzaren indar gordinaren aurkako babesa izango, 4xx akatsen aurkako babesa izango da. Adibidez, sarritan existitzen ez den URL bat (404) eskatzen baduzu, babesak ere funtzionatuko du.
Modurik errazena eta eraginkorrena backend-a zenbatu eta ezer gehigarririk agertzen bada berri ematea da:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#ΡΠΎΠ·Π΄Π°ΡΡ ΡΠ°Π±Π»ΠΈΡΡ, ΡΡΡΠΎΠΊΠΎΠ²ΡΡ, 1000 ΡΠ»Π΅ΠΌΠ΅Π½ΡΠΎΠ², ΠΏΡΠΎΡΡΡ
Π°Π΅Ρ ΡΠ΅ΡΠ΅Π· 15 ΡΠ΅ΠΊ, Π·Π°ΠΏΠΈΡΠ°ΡΡ ΠΊΠΎΠ»-Π²ΠΎ ΠΎΡΠΈΠ±ΠΎΠΊ Π·Π° ΠΏΠΎΡΠ»Π΅Π΄Π½ΠΈΠ΅ 10 ΡΠ΅ΠΊ
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#Π·Π°ΠΏΠΎΠΌΠ½ΠΈΡΡ ip
http-request track-sc0 src
#Π·Π°ΠΏΡΠ΅ΡΠΈΡΡ Ρ http ΠΎΡΠΈΠ±ΠΊΠΎΠΉ 429, Π΅ΡΠ»ΠΈ Π·Π° ΠΏΠΎΡΠ»Π΅Π΄Π½ΠΈΠ΅ 10 ΡΠ΅ΠΊ Π±ΠΎΠ»ΡΡΠ΅ 4 ΠΎΡΠΈΠ±ΠΎΠΊ
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Ez da aukerarik onena, konplikatu dezagun. Backend-ean kontatuko dugu eta frontend-ean blokeatuko dugu.
Erasotzailea zakar tratatuko dugu eta bere TCP konexioa utziko dugu.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#ΡΠΎΠ·Π΄Π°ΡΡ ΡΠ°Π±Π»ΠΈΡΡ ip Π°Π΄ΡΠ΅ΡΠΎΠ², 1000 ΡΠ»Π΅ΠΌΠ΅Π½ΡΠΎΠ², ΠΏΡΠΎΡΡΡ
Π½Π΅Ρ ΡΠ΅ΡΠ΅Π· 15 ΡΠ΅ΠΊ, ΡΠΎΡ
ΡΡΠ½ΡΡΡ ΠΈΠ· Π³Π»ΠΎΠ±Π°Π»ΡΠ½ΠΎΠ³ΠΎ ΡΡΡΡΡΠΈΠΊΠ°
stick-table type ip size 1k expire 15s store gpc0
#Π²Π·ΡΡΡ ΠΈΡΡΠΎΡΠ½ΠΈΠΊ
tcp-request connection track-sc0 src
#ΠΎΡΠΊΠ»ΠΎΠ½ΠΈΡΡ tcp ΡΠΎΠ΅Π΄ΠΈΠ½Π΅Π½ΠΈΠ΅, Π΅ΡΠ»ΠΈ Π³Π»ΠΎΠ±Π°Π»ΡΠ½ΡΠΉ ΡΡΡΡΡΠΈΠΊ >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#ΡΠΎΠ·Π΄Π°ΡΡ ΡΠ°Π±Π»ΠΈΡΡ ip Π°Π΄ΡΠ΅ΡΠΎΠ², 1000 ΡΠ»Π΅ΠΌΠ΅Π½ΡΠΎΠ², ΠΏΡΠΎΡΡΡ
Π½Π΅Ρ ΡΠ΅ΡΠ΅Π· 15 ΡΠ΅ΠΊ, ΡΠΎΡ
ΡΠ°Π½ΡΡΡ ΠΊΠΎΠ»-Π²ΠΎ ΠΎΡΠΈΠ±ΠΎΠΊ Π·Π° 10 ΡΠ΅ΠΊ
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#ΠΌΠ½ΠΎΠ³ΠΎ ΠΎΡΠΈΠ±ΠΎΠΊ, Π΅ΡΠ»ΠΈ ΠΊΠΎΠ»-Π²ΠΎ ΠΎΡΠΈΠ±ΠΎΠΊ Π·Π° 10 ΡΠ΅ΠΊ ΠΏΡΠ΅Π²ΡΡΠΈΠ»ΠΎ 8
acl errors_too_fast sc1_http_err_rate gt 8
#ΠΏΠΎΠΌΠ΅ΡΠΈΡΡ Π°ΡΠ°ΠΊΡ Π² Π³Π»ΠΎΠ±Π°Π»ΡΠ½ΠΎΠΌ ΡΡΡΡΡΠΈΠΊΠ΅ (ΡΠ²Π΅Π»ΠΈΡΠΈΡΡ ΡΡΡΡΡΠΈΠΊ)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#ΠΎΠ±Π½ΡΠ»ΠΈΡΡ Π³Π»ΠΎΠ±Π°Π»ΡΠ½ΡΠΉ ΡΡΡΡΡΠΈΠΊ
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#Π²Π·ΡΡΡ ΠΈΡΡΠΎΡΠ½ΠΈΠΊ
tcp-request content track-sc1 src
#ΠΎΡΠΊΠ»ΠΎΠ½ΠΈΡΡ, ΠΏΠΎΠΌΠ΅ΡΠΈΡΡ, ΡΡΠΎ Π°ΡΠ°ΠΊΠ°
tcp-request content reject if errors_too_fast mark_as_abuser
#ΡΠ°Π·ΡΠ΅ΡΠΈΡΡ, ΡΠ±ΡΠΎΡΠΈΡΡ ΡΠ»Π°ΠΆΠΎΠΊ Π°ΡΠ°ΠΊΠΈ
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
gauza bera, baina adeitsu, http 429 errorea itzuliko dugu (eskaera gehiegi)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Egiaztatzen dut: mstsc abiarazten dut eta pasahitzak ausaz sartzen hasten naiz. Hirugarren saiakera egin ondoren, 10 segundoren buruan atzera botatzen nau, eta mstsc-k errore bat ematen du. Erregistroetan ikus daitekeen bezala.
Azalpenak. Haproxy maisutik urrun nago. Ez dut ulertzen zergatik, adibidez
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
funtzionatu aurretik 10 akats inguru egiteko aukera ematen du.
Kontagailuen zenbaketarekin nahastuta nago. Haproxy-aren maisuak, poztuko naiz osatuz gero, zuzendu, hobetu.
Iruzkinetan RD Gateway babesteko beste modu batzuk iradoki ditzakezu, interesgarria izango da aztertzea.
Windows Remote Desktop Client (mstsc) dagokionez, azpimarratzekoa da ez duela TLS1.2 onartzen (Windows 7n behintzat), beraz, TLS1 utzi behar izan nuen; ez du egungo zifraketa onartzen, beraz zaharrak ere utzi behar izan ditut.
Ezer ulertzen ez dutenentzat, ikasten ari direnentzat eta dagoeneko ondo egin nahi dutenentzat, konfigurazio osoa emango dizut.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Zergatik bi zerbitzari backend-ean? Horrela egin dezakezulako akatsen tolerantzia. Haproxy-k bi egin ditzake ip zuri mugikor batekin.
Baliabide informatikoak: "bi kontzertu, bi nukleo, jokorako ordenagailuarekin" hasi dezakezu. Ren arabera hau nahikoa izango da sobratzeko.
erreferentziak:
Iturria: www.habr.com