Ystävät, hei!
On monia tapoja muodostaa yhteys kotoa toimiston työtilaan. Yksi niistä on Microsoft Remote Desktop Gatewayn käyttö. Tämä on RDP HTTP:n kautta. En halua käsitellä itse RDGW:n määrittämistä tässä, en halua keskustella siitä, miksi se on hyvä tai huono, käsitellään sitä yhtenä etäkäyttötyökaluna. Haluan puhua RDGW-palvelimesi suojaamisesta pahalta Internetiltä. Kun asensin RDGW-palvelimen, huolestuin välittömästi turvallisuudesta, erityisesti suojauksesta salasanojen raakaa voimaa vastaan. Olin yllättynyt, etten löytänyt Internetistä yhtään artikkelia tämän tekemisestä. No, sinun täytyy tehdä se itse.
RDGW:llä itsessään ei ole suojauksia. Kyllä, se voidaan paljastaa paljaalla rajapinnalla valkoiseen verkkoon ja se toimii hyvin. Mutta tämä tekee oikean järjestelmänvalvojan tai tietoturva-asiantuntijan levottomaksi. Lisäksi sen avulla voit välttää tilinsulkutilanteen, kun huolimaton työntekijä muisti yritystilin salasanan kotitietokoneellaan ja vaihtoi sitten salasanansa.
Hyvä tapa suojata sisäisiä resursseja ulkoiselta ympäristöltä on erilaisten välityspalvelinten, julkaisujärjestelmien ja muiden WAF:ien avulla. Muistakaamme, että RDGW on edelleen http, niin se vain pyytää liittämään erikoisratkaisun sisäisten palvelimien ja Internetin välille.
Tiedän, että on olemassa hienoja F5, A10, Netscaler (ADC). Yhden näistä järjestelmistä ylläpitäjänä sanon, että näihin järjestelmiin on myös mahdollista asettaa suojaus raakaa voimaa vastaan. Ja kyllä, nämä järjestelmät suojaavat sinua myös syntitulvilta.
Mutta kaikilla yrityksillä ei ole varaa ostaa tällaista ratkaisua (ja löytää järjestelmänvalvojaa tällaiselle järjestelmälle :), mutta samalla he voivat huolehtia turvallisuudesta!
HAProxyn ilmainen versio on täysin mahdollista asentaa ilmaiseen käyttöjärjestelmään. Testasin Debian 10:llä, haproxy-versiolla 1.8.19 vakaassa arkistossa. Testasin sitä myös testivaraston versiossa 2.0.xx.
Itse debianin asettaminen jätetään tämän artikkelin ulkopuolelle. Lyhyesti: sulje valkoisessa käyttöliittymässä kaikki paitsi portti 443, harmaalla käyttöliittymällä - esimerkiksi käytäntösi mukaan myös kaikki paitsi portti 22. Avaa vain se, mikä on välttämätöntä työhön (VRRP esimerkiksi kelluvalle ip:lle).
Ensinnäkin konfiguroin haproxyn SSL-siltaustilassa (alias http-tilassa) ja otin kirjauksen päälle nähdäkseni mitä RDP:n sisällä tapahtuu. Niin sanotusti pääsin keskelle. Joten /RDWeb-polku, joka on määritetty "kaikissa" RDGatewayn määrittämistä koskevissa artikkeleissa, puuttuu. Siellä on vain /rpc/rpcproxy.dll ja /remoteDesktopGateway/. Tässä tapauksessa tavallisia GET/POST-pyyntöjä ei käytetä, vaan niiden omaa tyyppiä RDG_IN_DATA, RDG_OUT_DATA käytetään.
Ei paljoa, mutta ainakin jotain.
Testataan.
Käynnistän mstsc:n, menen palvelimelle, näen lokeissa neljä 401 (luvatonta) virhettä, kirjoitan sitten käyttäjätunnukseni/salasanani ja näen vastauksen 200.
Sammutan sen, käynnistän sen uudelleen ja näen lokeissa samat neljä 401-virhettä. Annan väärän kirjautumistunnuksen/salasanan ja näen taas neljä 401-virhettä. Sitä tarvitsen. Tästä saamme kiinni.
Koska kirjautumis-url-osoitetta ei voitu määrittää, ja lisäksi en tiedä kuinka saada kiinni 401-virheestä haproxyssa, otan kiinni (en itse asiassa saa kiinni, vaan lasken) kaikki 4xx-virheet. Soveltuu myös ongelman ratkaisemiseen.
Suojauksen ydin on, että laskemme 4xx-virheiden lukumäärän (taustajärjestelmässä) aikayksikköä kohden ja jos se ylittää määritetyn rajan, hylkäämme (käyttöliittymässä) kaikki muut yhteydet tästä IP-osoitteesta määritetyn ajan .
Teknisesti tämä ei ole suoja salasanan raakaa voimaa vastaan, se suojaa 4xx-virheitä vastaan. Jos esimerkiksi pyydät usein olematonta URL-osoitetta (404), suojaus toimii myös.
Yksinkertaisin ja tehokkain tapa on luottaa taustajärjestelmään ja raportoida, jos jotain ylimääräistä ilmenee:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Ei paras vaihtoehto, monimutkaistaan sitä. Luotamme taustajärjestelmään ja lohkomme käyttöliittymään.
Kohtelemme hyökkääjää töykeästi ja katkaisemme hänen TCP-yhteydensä.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
sama asia, mutta kohteliaasti, palautamme virheen http 429 (Liian monta pyyntöä)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Tarkistan: Käynnistän mstsc:n ja aloin syöttämään salasanoja satunnaisesti. Kolmannen yrityksen jälkeen se potkaisee minut takaisin 10 sekunnissa ja mstsc antaa virheen. Kuten lokeista näkyy.
Selitykset. Olen kaukana haproxy-mestarista. En ymmärrä miksi esim
http-pyyntö deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
voit tehdä noin 10 virhettä ennen kuin se toimii.
Olen hämmentynyt laskurien numeroinnista. Haproxyn mestarit, olen iloinen, jos täydennät minua, korjaat minua, tee minusta parempi.
Kommenteissa voit ehdottaa muita tapoja suojata RD Gateway, se on mielenkiintoista tutkia.
Mitä tulee Windows Remote Desktop Client -sovellukseen (mstsc), on syytä huomata, että se ei tue TLS1.2:ta (ainakaan Windows 7:ssä), joten minun piti jättää TLS1; ei tue nykyistä salausta, joten jouduin myös jättämään vanhat.
Niille, jotka eivät ymmärrä mitään, ovat vasta oppimassa ja haluavat jo pärjätä hyvin, annan sinulle koko konfiguraation.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Miksi kaksi palvelinta taustalla? Koska näin voit tehdä vikasietoisuuden. Haproxy voi myös tehdä kaksi kelluvalla valkoisella ip:llä.
Laskentaresurssit: voit aloittaa "kaksi keikkaa, kaksi ydintä, pelitietokone". Mukaan tämä riittää varalle.
viitteet:
Lähde: will.com