Freonen, hallo!
D'r binne in protte manieren om fan hûs te ferbinen mei jo kantoarwurkromte. Ien fan har is om Microsoft Remote Desktop Gateway te brûken. Dit is RDP oer HTTP. Ik wol net oanreitsje op it ynstellen fan RDGW sels hjir, ik wol net beprate wêrom't it is goed of min, lit ús behannelje it as ien fan de remote tagong ark. Ik wol prate oer it beskermjen fan jo RDGW-tsjinner fan it kweade ynternet. Doe't ik de RDGW-tsjinner ynstelde, waard ik fuortendaliks soargen oer feiligens, benammen beskerming tsjin brute krêft fan wachtwurden. Ik wie ferrast dat ik gjin artikels op it ynternet fûn oer hoe't jo dit dwaan. No, jo moatte it sels dwaan.
RDGW sels hat gjin beskermingen. Ja, it kin mei in bleate ynterface wurde bleatsteld oan in wyt netwurk en it sil geweldich wurkje. Mar dit sil de juste behearder as spesjalist foar ynformaasjefeiligens ûngemak meitsje. Derneist sil it jo de situaasje fan blokkearjen fan akkounts kinne foarkomme, doe't in achtleaze meiwurker it wachtwurd foar in bedriuwsakkount op syn thúskompjûter ûnthâlde en doe syn wachtwurd feroare.
In goede manier om ynterne boarnen te beskermjen tsjin 'e eksterne omjouwing is fia ferskate proxy's, publisearingssystemen en oare WAF's. Lit ús ûnthâlde dat RDGW noch http is, dan freget it gewoan om in spesjalisearre oplossing te pluggen tusken ynterne servers en it ynternet.
Ik wit dat der cool F5, A10, Netscaler (ADC). As behearder fan ien fan dizze systemen sil ik sizze dat it ek mooglik is om beskerming tsjin brute krêft op dizze systemen yn te stellen. En ja, dizze systemen sille jo ek beskermje tsjin elke syn-oerstreaming.
Mar net elk bedriuw kin it betelje om sa'n oplossing te keapjen (en in behearder te finen foar sa'n systeem :), mar tagelyk kinne se soargje foar feiligens!
It is folslein mooglik om in fergese ferzje fan HAProxy te ynstallearjen op in fergees bestjoeringssysteem. Ik hifke op Debian 10, haproxy ferzje 1.8.19 yn it stabile repository. Ik haw it ek hifke op ferzje 2.0.xx fan it testrepository.
Wy sille it ynstellen fan debian sels bûten it berik fan dit artikel litte. Koartsein: op 'e wite ynterface, slút alles útsein haven 443, op' e grize ynterface - slút neffens jo belied bygelyks ek alles útsein haven 22. Iepenje allinich wat nedich is foar wurk (VRRP bygelyks foar driuwende ip).
As earste haw ik haproxy ynsteld yn SSL-brêgemodus (alias http-modus) en logging ynskeakele om te sjen wat der yn RDP bart. Sa te sizzen, ik kaam yn 'e midden. Dat, it / RDWeb-paad spesifisearre yn "alle" artikels oer it ynstellen fan RDGateway ûntbrekt. Alles wat der is is /rpc/rpcproxy.dll en /remoteDesktopGateway/. Yn dit gefal wurde standert GET/POST-oanfragen net brûkt; har eigen type fersyk RDG_IN_DATA, RDG_OUT_DATA wurdt brûkt.
Net folle, mar op syn minst wat.
Litte wy testen.
Ik starte mstsc, gean nei de tsjinner, sjoch fjouwer 401 (net autorisearre) flaters yn 'e logs, fier dan myn brûkersnamme / wachtwurd yn en sjoch it antwurd 200.
Ik skeakelje it út, start it nochris, en yn 'e logs sjoch ik deselde fjouwer 401 flaters. Ik fier de ferkearde oanmelding / wachtwurd yn en sjoch wer fjouwer 401 flaters. Dat is wat ik nedich. Dit is wat wy sille fange.
Sûnt it wie net mooglik om te bepalen de oanmeld-url, en boppedat, Ik wit net hoe te fange de 401 flater yn haproxy, Ik sil fange (net eins fange, mar telle) alle 4xx flaters. Ek geskikt foar it oplossen fan it probleem.
De essinsje fan 'e beskerming sil wêze dat wy it oantal 4xx-flaters (op 'e efterkant) per tiid-ienheid sille telle en as it de opjûne limyt grutter is, dan ôfwize (op' e frontend) alle fierdere ferbiningen fan dizze ip foar de opjûne tiid .
Technysk, dit sil gjin beskerming tsjin wachtwurd brute krêft, it sil wêze beskerming tsjin 4xx flaters. As jo bygelyks faaks in net-besteande url (404) oanfreegje, dan sil de beskerming ek wurkje.
De ienfâldichste en meast effektive manier is om te rekkenjen op 'e backend en rapportearje werom as der wat ekstra ferskynt:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Net de bêste opsje, litte wy it komplisearje. Wy sille rekkenje op 'e efterkant en blokkearje op' e frontend.
Wy sille de oanfaller rude behannelje en syn TCP-ferbining falle.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
itselde ding, mar beleefd, sille wy de flater weromjaan http 429 (Tefolle fersiken)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Ik kontrolearje: Ik starte mstsc en begjin willekeurich wachtwurden yn te fieren. Nei de tredde poging, binnen 10 sekonden it skopt my werom, en mstsc jout in flater. Sa't te sjen is yn 'e logs.
Taljochtingen. Ik bin fier fan in haproxy master. Ik begryp bygelyks net wêrom
http-request deny deny_status 429 as { sc_http_err_rate (0) gt 4 }
kinne jo meitsje oer 10 flaters foardat it wurket.
Ik bin yn de war oer de nûmering fan de tellers. Masters fan haproxy, ik sil bliid wêze as jo my oanfolje, my korrigearje, my better meitsje.
Yn 'e opmerkings kinne jo oare manieren foarstelle om RD Gateway te beskermjen, it sil ynteressant wêze om te studearjen.
Oangeande de Windows Remote Desktop Client (mstsc), is it wurdich op te merken dat it gjin TLS1.2 stipet (op syn minst yn Windows 7), dus ik moast TLS1 ferlitte; stipet gjin aktuele sifer, dus ik moast ek de âlde ferlitte.
Foar dyjingen dy't neat begripe, gewoan leare, en al goed wolle dwaan, sil ik jo de folsleine konfiguraasje jaan.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Wêrom twa servers op 'e efterkant? Want dit is hoe't jo fouttolerânsje kinne meitsje. Haproxy kin ek twa meitsje mei in driuwende wite ip.
Berekkenjen boarnen: jo kinne begjinne mei "twa optreden, twa kearnen, gaming PC." Neffens dit sil genôch wêze om te sparjen.
Ferwizings:
Boarne: www.habr.com