دوستان، سلام!
راه های زیادی برای اتصال از خانه به محل کار اداری شما وجود دارد. یکی از آنها استفاده از Microsoft Remote Desktop Gateway است. این RDP روی HTTP است. من نمیخواهم در اینجا به راهاندازی خود RDGW بپردازم، نمیخواهم درباره خوب یا بد بودن آن بحث کنم، اجازه دهید آن را به عنوان یکی از ابزارهای دسترسی از راه دور در نظر بگیریم. من می خواهم در مورد محافظت از سرور RDGW شما در برابر اینترنت شیطانی صحبت کنم. وقتی سرور RDGW را راهاندازی کردم، بلافاصله نگران امنیت، بهویژه محافظت در برابر نیروی بیرحمانه رمز عبور شدم. از اینکه هیچ مقاله ای در مورد نحوه انجام این کار در اینترنت پیدا نکردم متعجب شدم. خوب، شما باید این کار را خودتان انجام دهید.
خود RDGW هیچ گونه حفاظتی ندارد. بله، می توان آن را با یک رابط خالی در معرض یک شبکه سفید قرار داد و عالی کار خواهد کرد. اما این امر باعث ناراحتی مدیر مناسب یا متخصص امنیت اطلاعات می شود. علاوه بر این، به شما امکان می دهد از وضعیت مسدود کردن حساب خودداری کنید، زمانی که یک کارمند بی دقت رمز عبور یک حساب شرکتی را در رایانه خانگی خود به خاطر می آورد و سپس رمز عبور خود را تغییر می دهد.
یک راه خوب برای محافظت از منابع داخلی در برابر محیط خارجی از طریق پروکسی های مختلف، سیستم های انتشار و سایر WAF ها است. بیایید به یاد داشته باشیم که RDGW هنوز http است، پس فقط التماس می کند که یک راه حل تخصصی بین سرورهای داخلی و اینترنت وصل شود.
من می دانم که F5، A10، Netscaler (ADC) جالب وجود دارد. به عنوان مدیر یکی از این سیستم ها، می گویم که امکان راه اندازی حفاظت در برابر نیروی بی رحم نیز بر روی این سیستم ها وجود دارد. و بله، این سیستم ها همچنین از شما در برابر هرگونه سیل syn محافظت می کنند.
اما هر شرکتی نمی تواند چنین راه حلی را بخرد (و یک مدیر برای چنین سیستمی پیدا کند :) ، اما در عین حال می تواند از امنیت نیز مراقبت کند!
نصب نسخه رایگان HAProxy بر روی یک سیستم عامل رایگان کاملاً امکان پذیر است. من روی دبیان 10، نسخه هاپروکسی 1.8.19 در مخزن پایدار تست کردم. من همچنین آن را روی نسخه 2.0.xx از مخزن تست تست کردم.
ما راه اندازی خود دبیان را خارج از محدوده این مقاله می گذاریم. به طور خلاصه: در رابط سفید، همه چیز را ببندید به جز پورت 443، در رابط خاکستری - طبق خط مشی خود، برای مثال، همه چیز را به جز پورت 22 نیز ببندید. فقط مواردی را که برای کار ضروری است باز کنید (به عنوان مثال VRRP برای ip شناور).
اول از همه، من هاپروکسی را در حالت پل زدن SSL (معروف به حالت http) پیکربندی کردم و ورود به سیستم را روشن کردم تا ببینم در RDP چه خبر است. بنابراین، من در وسط قرار گرفتم. بنابراین، مسیر /RDWeb مشخص شده در "همه" مقالات در مورد راه اندازی RDGateway وجود ندارد. همه چیزهایی که وجود دارد /rpc/rpcproxy.dll و /remoteDesktopGateway/ هستند. در این مورد، درخواستهای استاندارد GET/POST استفاده نمیشود؛ از نوع درخواست خود RDG_IN_DATA، RDG_OUT_DATA استفاده میشود.
نه زیاد، اما حداقل چیزی.
بیایید تست کنیم.
من mstsc را راه اندازی می کنم، به سرور می روم، چهار خطای 401 (غیر مجاز) را در گزارش ها می بینم، سپس نام کاربری/رمز عبور خود را وارد می کنم و پاسخ 200 را می بینم.
خاموشش می کنم، دوباره شروع می کنم، و در لاگ ها همان چهار خطای 401 را می بینم. ورود / رمز عبور اشتباه را وارد می کنم و دوباره چهار خطای 401 را می بینم. این چیزی است که من نیاز دارم. این چیزی است که ما می گیریم.
از آنجایی که تعیین url ورود به سیستم امکان پذیر نبود و علاوه بر این، من نمی دانم چگونه خطای 401 را در هاپروکسی بگیرم، همه خطاهای 4xx را می گیرم (در واقع نمی گیرم، اما می شمارم). همچنین برای حل مشکل مناسب است.
ماهیت حفاظت این خواهد بود که ما تعداد خطاهای 4xx (در باطن) را در واحد زمان شمارش می کنیم و اگر از حد مشخص شده فراتر رفت، تمام اتصالات بعدی از این ip را برای مدت زمان مشخص رد کنیم (در قسمت جلو). .
از نظر فنی، این محافظت در برابر brute force پسورد نخواهد بود، محافظت در برابر خطاهای 4xx خواهد بود. به عنوان مثال، اگر اغلب درخواست یک آدرس اینترنتی غیرموجود (404) می کنید، حفاظت نیز کار خواهد کرد.
ساده ترین و موثرترین راه این است که روی پشتیبان حساب کنید و در صورت مشاهده موارد اضافی، گزارش دهید:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
بهترین گزینه نیست، بیایید آن را پیچیده کنیم. ما روی باطن حساب می کنیم و در قسمت جلو آن را مسدود می کنیم.
ما با مهاجم رفتار گستاخانه ای خواهیم داشت و اتصال TCP او را قطع می کنیم.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
همان چیزی است، اما مودبانه، ما خطای http 429 (درخواست های خیلی زیاد) را برمی گردانیم.
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
بررسی میکنم: mstsc را راهاندازی میکنم و شروع به وارد کردن تصادفی رمزهای عبور میکنم. بعد از تلاش سوم، در عرض 10 ثانیه من را به عقب برمی گرداند و mstsc ارور می دهد. همانطور که در لاگ ها مشاهده می شود.
توضیحات من خیلی از استاد هاپروکسی فاصله دارم. نمیفهمم چرا مثلا
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
به شما اجازه می دهد تا قبل از اینکه کار کند حدود 10 اشتباه انجام دهید.
من در مورد شماره گذاری شمارنده ها گیج شده ام. استادان هاپروکسی، خوشحال می شوم اگر من را تکمیل کنید، اصلاحم کنید، بهترم کنید.
در نظرات می توانید راه های دیگری برای محافظت از RD Gateway پیشنهاد دهید، مطالعه آن جالب خواهد بود.
در مورد Windows Remote Desktop Client (mstsc)، شایان ذکر است که از TLS1.2 (حداقل در ویندوز 7) پشتیبانی نمی کند، بنابراین مجبور شدم TLS1 را ترک کنم. رمز فعلی را پشتیبانی نمی کند، بنابراین من مجبور شدم رمزهای قدیمی را ترک کنم.
برای کسانی که چیزی نمیفهمند، تازه یاد میگیرند و میخواهند خوب کار کنند، من کل پیکربندی را به شما میدهم.
هاپروکسی.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
چرا دو سرور در باطن؟ زیرا به این ترتیب می توانید خطا را تحمل کنید. هاپروکسی همچنین می تواند با یک آی پی سفید شناور دو بسازد.
منابع محاسباتی: می توانید با «دو گیگ، دو هسته، رایانه بازی» شروع کنید. مطابق با
لینک ها:
منبع: www.habr.com