A charaidean, hello!
Tha iomadh dòigh ann airson ceangal bhon dachaigh gu àite-obrach na h-oifis agad. Is e aon dhiubh Microsoft Remote Desktop Gateway a chleachdadh. Is e seo RDP thairis air HTTP. Chan eil mi airson suathadh air stèidheachadh RDGW fhèin an seo, chan eil mi airson bruidhinn carson a tha e math no dona, leig leinn dèiligeadh ris mar aon de na h-innealan ruigsinneachd iomallach. Tha mi airson bruidhinn mu bhith a’ dìon do fhrithealaiche RDGW bhon eadar-lìn olc. Nuair a stèidhich mi am frithealaiche RDGW, bha dragh orm sa bhad mu thèarainteachd, gu sònraichte dìon an aghaidh feachd brùideil facal-faire. Chuir e iongnadh orm nach do lorg mi artaigilean sam bith air an eadar-lìn mu mar a nì mi seo. Uill, feumaidh tu fhèin a dhèanamh.
Chan eil dìon sam bith aig RDGW fhèin. Faodaidh, faodaidh e a bhith fosgailte le eadar-aghaidh lom gu lìonra geal agus obraichidh e gu math. Ach nì seo an rianaire ceart no eòlaiche tèarainteachd fiosrachaidh mì-chofhurtail. A bharrachd air an sin, leigidh e leat suidheachadh bacadh cunntais a sheachnadh, nuair a chuimhnich neach-obrach gun chùram am facal-faire airson cunntas corporra air a ’choimpiutair dachaigh aige, agus an uairsin dh’ atharraich e am facal-faire aige.
Is e dòigh mhath air goireasan a-staigh a dhìon bhon àrainneachd a-muigh tro dhiofar proxies, siostaman foillseachaidh, agus WAFn eile. Cuimhnichidh sinn gu bheil RDGW fhathast http, an uairsin tha e dìreach ag iarraidh fuasgladh sònraichte a chuir a-steach eadar frithealaichean a-staigh agus an eadar-lìn.
Tha fios agam gu bheil F5, A10, Netscaler (ADC) fionnar. Mar rianadair air aon de na siostaman sin, canaidh mi gu bheil e comasach cuideachd dìon a stèidheachadh an aghaidh feachd brùideil air na siostaman sin. Agus tha, bheir na siostaman sin cuideachd dìon dhut bho thuil sam bith.
Ach chan urrainn dha a h-uile companaidh a leithid de fhuasgladh a cheannach (agus rianadair a lorg airson a leithid de shiostam :), ach aig an aon àm faodaidh iad aire a thoirt do thèarainteachd!
Tha e gu tur comasach dreach an-asgaidh de HAProxy a chuir a-steach air siostam obrachaidh an-asgaidh. Rinn mi deuchainn air Debian 10, dreach haproxy 1.8.19 anns an stòr seasmhach. Rinn mi deuchainn cuideachd air dreach 2.0.xx bhon stòr deuchainn.
Fàgaidh sinn stèidheachadh debian fhèin taobh a-muigh raon an artaigil seo. Goirid: air an eadar-aghaidh geal, dùin a h-uile càil ach a-mhàin port 443, air an eadar-aghaidh glas - a rèir do phoileasaidh, mar eisimpleir, dùin a h-uile càil ach a-mhàin port 22. Fosgail a-mhàin na tha riatanach airson obair (VRRP mar eisimpleir, airson seòladh ip).
An toiseach, shuidhich mi haproxy ann am modh drochaid SSL (modh http aka) agus thionndaidh mi air logadh gus faicinn dè bha a’ dol air adhart taobh a-staigh RDP. Mar sin airson bruidhinn, fhuair mi sa mheadhan. Mar sin, tha an t-slighe / RDWeb a tha air a shònrachadh anns na h-artaigilean “uile” mu bhith a’ stèidheachadh RDGateway a dhìth. Chan eil ann ach /rpc/rpcproxy.dll agus /remoteDesktopGateway/. Anns a’ chùis seo, chan eilear a’ cleachdadh iarrtasan àbhaisteach GET/POST; tha an seòrsa iarrtas aca fhèin RDG_IN_DATA, RDG_OUT_DATA air a chleachdadh.
Chan eil mòran, ach co-dhiù rudeigin.
Dèanamaid deuchainn.
Bidh mi a’ cur air bhog mstsc, rach chun t-seirbheisiche, faic ceithir mearachdan 401 (gun chead) anns na logaichean, an uairsin cuir a-steach m ’ainm-cleachdaidh / facal-faire agus faic am freagairt 200.
Bidh mi ga thionndadh, ga thòiseachadh a-rithist, agus anns na logaichean chì mi na h-aon ceithir mearachdan 401. Bidh mi a’ dol a-steach don logadh a-steach / facal-faire ceàrr agus chì mi a-rithist ceithir mearachdan 401. Sin a tha a dhìth orm. Seo na gheibh sinn.
Leis nach robh e comasach an url logadh a-steach a dhearbhadh, agus a bharrachd air an sin, chan eil fios agam ciamar a ghlacas mi am mearachd 401 ann an haproxy, glacaidh mi (chan e gu dearbh a ghlacadh, ach cunnt) a h-uile mearachd 4xx. Cuideachd freagarrach airson fuasgladh fhaighinn air an duilgheadas.
Is e brìgh an dìon gum bi sinn a’ cunntadh an àireamh de mhearachdan 4xx (air an backend) gach aonad ùine agus ma thèid e thairis air a ’chrìoch ainmichte, an uairsin diùlt (air an aghaidh) a h-uile ceangal eile bhon ip seo airson na h-ùine ainmichte .
Gu teicnigeach, cha bhith seo na dhìon an aghaidh feachd brùideil facal-faire, bidh e na dhìon an aghaidh mhearachdan 4xx. Mar eisimpleir, ma dh’ iarras tu gu tric url nach eil ann (404), obraichidh an dìon cuideachd.
Is e an dòigh as sìmplidh agus as èifeachdaiche cunntadh air an deireadh-sheachdain agus aithris air ais ma nochdas dad a bharrachd:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Chan e an roghainn as fheàrr, leig leinn a dhèanamh nas duilghe. Bidh sinn a 'cunntadh air an backend agus a' bacadh air an aghaidh.
Dèiligidh sinn ris an neach-ionnsaigh gu mì-mhodhail agus leigidh sinn às a cheangal TCP.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
an aon rud, ach gu modhail, tillidh sinn am mearachd http 429 (Too Many Requests)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Nì mi sgrùdadh: bidh mi a’ cur air bhog mstsc agus a’ tòiseachadh air faclan-faire a chuir a-steach air thuaiream. Às deidh an treas oidhirp, taobh a-staigh 10 diogan bidh e gam bhreabadh air ais, agus mstsc a’ toirt mearachd. Mar a chithear anns na clàran.
Mìneachaidhean. Tha mi fada bho mhaighstir haproxy. Chan eil mi a' tuigsinn carson, mar eisimpleir
http-iarrtas diùltadh àicheadh_status 429 ma tha { sc_http_err_rate(0) gt 4 }
a’ leigeil leat mu 10 mearachdan a dhèanamh mus obraich e.
Tha mi troimh-chèile a thaobh àireamh nan cunntairean. Maighstirean haproxy, bidh mi toilichte ma chuireas tu ris mi, ceartaich mi, dèan nas fheàrr mi.
Anns na beachdan faodaidh tu dòighean eile a mholadh gus RD Gateway a dhìon, bidh e inntinneach sgrùdadh a dhèanamh.
A thaobh an Windows Remote Desktop Client (mstsc), is fhiach a bhith mothachail nach eil e a 'toirt taic do TLS1.2 (co-dhiù ann an Windows 7), agus mar sin bha agam ri TLS1 fhàgail; chan eil e a’ toirt taic do cipher gnàthach, agus mar sin bha agam ri na seann fheadhainn fhàgail cuideachd.
Dhaibhsan nach eil a’ tuigsinn dad, a tha dìreach ag ionnsachadh, agus a tha airson dèanamh gu math mu thràth, bheir mi dhut an rèiteachadh gu lèir.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Carson dà fhrithealaiche air an backend? Leis gur ann mar seo as urrainn dhut fulangas locht a dhèanamh. Faodaidh Haproxy cuideachd dhà a dhèanamh le ip geal air bhog.
Goireasan coimpiutaireachd: faodaidh tu tòiseachadh le “dà gig, dà chores, PC gaming.” A rèir
Tùsan:
Source: www.habr.com