Amis, bonjour !
Il existe de nombreuses façons de se connecter de la maison à votre espace de travail au bureau. L'un d'eux consiste à utiliser Microsoft Remote Desktop Gateway. Il s'agit de RDP sur HTTP. Je ne veux pas aborder ici la configuration de RDGW lui-même, je ne veux pas expliquer pourquoi c'est bon ou mauvais, traitons-le comme l'un des outils d'accès à distance. Je veux parler de la protection de votre serveur RDGW contre le mal Internet. Lorsque j'ai configuré le serveur RDGW, je me suis immédiatement préoccupé de la sécurité, notamment de la protection contre la force brute des mots de passe. J’ai été surpris de ne trouver aucun article sur Internet expliquant comment procéder. Eh bien, vous devrez le faire vous-même.
RDGW lui-même n’a aucune protection. Oui, il peut être exposé avec une interface nue à un réseau blanc et cela fonctionnera très bien. Mais cela mettra mal à l’aise le bon administrateur ou le spécialiste de la sécurité de l’information. De plus, cela vous permettra d'éviter la situation de blocage de compte, lorsqu'un employé imprudent se souviendra du mot de passe d'un compte d'entreprise sur son ordinateur personnel, puis modifiera son mot de passe.
Un bon moyen de protéger les ressources internes de l’environnement externe consiste à utiliser divers proxys, systèmes de publication et autres WAF. Rappelons que RDGW est toujours http, il suffit alors de brancher une solution spécialisée entre les serveurs internes et Internet.
Je sais qu'il existe des F5, A10, Netscaler (ADC) sympas. En tant qu'administrateur d'un de ces systèmes, je dirai qu'il est également possible de mettre en place une protection contre la force brute sur ces systèmes. Et oui, ces systèmes vous protégeront également de toute inondation simultanée.
Mais toutes les entreprises ne peuvent pas se permettre d'acheter une telle solution (et trouver un administrateur pour un tel système :), mais en même temps elles peuvent s'occuper de la sécurité !
Il est tout à fait possible d'installer une version gratuite de HAProxy sur un système d'exploitation gratuit. J'ai testé sur Debian 10, haproxy version 1.8.19 dans le dépôt stable. Je l'ai également testé sur la version 2.0.xx à partir du référentiel de test.
Nous laisserons la configuration de Debian elle-même hors du cadre de cet article. En bref : sur l'interface blanche, fermez tout sauf le port 443, sur l'interface grise - selon votre politique, par exemple, fermez également tout sauf le port 22. Ouvrez uniquement ce qui est nécessaire au travail (VRRP par exemple, pour une IP flottante).
Tout d'abord, j'ai configuré haproxy en mode pontage SSL (alias mode http) et activé la journalisation pour voir ce qui se passait dans RDP. Pour ainsi dire, je me suis retrouvé au milieu. Ainsi, le chemin /RDWeb spécifié dans « tous » les articles sur la configuration de RDGateway est manquant. Tout ce qu'il y a est /rpc/rpcproxy.dll et /remoteDesktopGateway/. Dans ce cas, les requêtes GET/POST standards ne sont pas utilisées ; leur propre type de requête RDG_IN_DATA, RDG_OUT_DATA est utilisé.
Pas grand-chose, mais au moins quelque chose.
Testons.
Je lance mstsc, je vais sur le serveur, je vois quatre erreurs 401 (non autorisées) dans les journaux, puis je saisis mon nom d'utilisateur/mot de passe et je vois la réponse 200.
Je l'éteins, je le redémarre et dans les journaux, je vois les mêmes quatre erreurs 401. J'entre un mauvais identifiant/mot de passe et je vois à nouveau quatre erreurs 401. C'est ce dont j'ai besoin. C'est ce que nous allons attraper.
Puisqu'il n'a pas été possible de déterminer l'URL de connexion et que, de plus, je ne sais pas comment détecter l'erreur 401 dans haproxy, je vais détecter (pas réellement détecter, mais compter) toutes les erreurs 4xx. Convient également pour résoudre le problème.
L'essence de la protection sera que nous compterons le nombre d'erreurs 4xx (sur le backend) par unité de temps et si elle dépasse la limite spécifiée, nous rejetterons (sur le frontend) toutes les autres connexions à partir de cette adresse IP pendant la durée spécifiée. .
Techniquement, ce ne sera pas une protection contre la force brute du mot de passe, ce sera une protection contre les erreurs 4xx. Par exemple, si vous demandez souvent une url inexistante (404), alors la protection fonctionnera également.
Le moyen le plus simple et le plus efficace est de compter sur le backend et de signaler si quelque chose de supplémentaire apparaît :
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Ce n'est pas la meilleure option, compliquons les choses. Nous compterons sur le backend et bloquerons sur le frontend.
Nous traiterons l'attaquant grossièrement et abandonnerons sa connexion TCP.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
la même chose, mais poliment, nous retournerons l'erreur http 429 (Too Many Requests)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Je vérifie : je lance mstsc et commence à saisir des mots de passe au hasard. Après la troisième tentative, dans les 10 secondes, cela me renvoie et mstsc renvoie une erreur. Comme on peut le voir dans les journaux.
Explications. Je suis loin d'être un maître haproxy. Je ne comprends pas pourquoi, par exemple
http-request refuser deny_status 429 si { sc_http_err_rate(0) gt 4 }
vous permet de faire environ 10 erreurs avant que cela fonctionne.
Je suis confus quant à la numérotation des compteurs. Maîtres de l'haproxy, je serai heureux si vous me complétez, me corrigez, me rendez meilleur.
Dans les commentaires, vous pouvez suggérer d'autres moyens de protéger RD Gateway, il sera intéressant à étudier.
Concernant le client Windows Remote Desktop (mstsc), il est à noter qu'il ne prend pas en charge TLS1.2 (du moins sous Windows 7), j'ai donc dû quitter TLS1 ; ne prend pas en charge le chiffrement actuel, j'ai donc également dû laisser les anciens.
Pour ceux qui ne comprennent rien, sont en train d’apprendre, et veulent déjà bien réussir, je vais vous donner la config complète.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Pourquoi deux serveurs en backend ? Parce que c’est ainsi que vous pouvez faire preuve de tolérance aux pannes. Haproxy peut également en créer deux avec une adresse IP blanche flottante.
Ressources informatiques : vous pouvez commencer avec « deux Go, deux cœurs, un PC de jeu ». Selon ce sera suffisant en réserve.
Liens:
Source: habr.com