Zanmi, bonjou!
Gen plizyè fason pou konekte soti lakay ou ak espas travay biwo ou. Youn nan yo se sèvi ak Microsoft Remote Desktop Gateway. Sa a se RDP sou HTTP. Mwen pa vle manyen sou mete kanpe RDGW tèt li isit la, mwen pa vle diskite sou poukisa li bon oswa move, se pou yo trete li kòm youn nan zouti yo aksè aleka. Mwen vle pale sou pwoteje sèvè RDGW ou a kont move Entènèt la. Lè mwen mete sou pye sèvè RDGW la, mwen imedyatman te vin konsène sou sekirite, espesyalman pwoteksyon kont fòs brital modpas. Mwen te etone ke mwen pa t 'jwenn okenn atik sou entènèt la sou kòman yo fè sa. Oke, ou pral oblije fè li tèt ou.
RDGW li menm pa gen okenn pwoteksyon. Wi, li ka ekspoze ak yon koòdone fè nan yon rezo blan epi li pral travay gwo. Men, sa ap fè bon administratè a oswa espesyalis sekirite enfòmasyon an alèz. Anplis de sa, li pral pèmèt ou evite sitiyasyon an nan bloke kont, lè yon anplwaye neglijans sonje modpas la pou yon kont antrepriz sou òdinatè lakay li, ak Lè sa a, chanje modpas li.
Yon bon fason pou pwoteje resous entèn yo kont anviwònman ekstèn lan se atravè divès kalite proxy, sistèm piblikasyon, ak lòt WAF. Ann sonje ke RDGW se toujou http, Lè sa a, li jis sipliye ploge yon solisyon espesyalize ant serveurs entèn ak entènèt la.
Mwen konnen ke gen fre F5, A10, Netscaler (ADC). Kòm yon administratè nan youn nan sistèm sa yo, mwen pral di ke li se tou posib yo mete kanpe pwoteksyon kont fòs brital sou sistèm sa yo. Ak repons lan se wi, sistèm sa yo pral tou pwoteje ou kont nenpòt inondasyon syn.
Men, se pa tout konpayi kapab peye pou achte yon solisyon konsa (epi jwenn yon administratè pou yon sistèm konsa :), men an menm tan yo ka pran swen sekirite!
Li posib pou enstale yon vèsyon gratis nan HAProxy sou yon sistèm opere gratis. Mwen teste sou Debian 10, vèsyon haproxy 1.8.19 nan depo ki estab. Mwen menm mwen teste li sou vèsyon 2.0.xx soti nan depo tès la.
Nou pral kite mete kanpe debian tèt li andeyò sijè ki abòde lan atik sa a. Yon ti tan: sou koòdone blan an, fèmen tout bagay eksepte pò 443, sou koòdone gri - dapre politik ou a, pou egzanp, tou fèmen tout bagay eksepte pò 22. Louvri sèlman sa ki nesesè pou travay (VRRP pou egzanp, pou k ap flote ip).
Premye a tout, mwen configuré haproxy nan mòd SSL Bridging (aka mòd http) ak vire sou antre pou wè sa ki te pase andedan RDP. Se konsa, mwen te resevwa nan mitan an. Se konsa, chemen /RDWeb espesifye nan "tout" atik sou mete kanpe RDGateway manke. Tout sa ki la se /rpc/rpcproxy.dll ak /remoteDesktopGateway/. Nan ka sa a, demann estanda GET/POST yo pa itilize; pwòp kalite demann RDG_IN_DATA, RDG_OUT_DATA yo itilize.
Pa anpil, men omwen yon bagay.
Ann teste.
Mwen lanse mstsc, ale nan sèvè a, wè kat 401 (san otorizasyon) erè nan mòso bwa yo, Lè sa a, antre non itilizatè mwen an / modpas ak wè repons lan 200.
Mwen etenn li, rekòmanse l ankò, epi nan mòso bwa yo mwen wè menm kat erè 401. Mwen antre move login/modpas la epi mwen wè ankò kat erè 401. Se sa mwen bezwen. Sa a se sa nou pral trape.
Piske li pa t posib pou detèmine URL login, epi anplis, mwen pa konnen ki jan yo trape erè 401 nan haproxy, mwen pral trape (pa aktyèlman trape, men konte) tout erè 4xx. Epitou apwopriye pou rezoud pwoblèm nan.
Sans nan pwoteksyon an pral ke nou pral konte kantite erè 4xx (sou backend la) pou chak inite nan tan epi si li depase limit la espesifye, Lè sa a, rejte (sou frontend a) tout koneksyon plis soti nan IP sa a pou tan an espesifye. .
Teknikman, sa a pa pral pwoteksyon kont fòs brital modpas, li pral pwoteksyon kont erè 4xx. Pou egzanp, si ou souvan mande yon url ki pa egziste (404), Lè sa a, pwoteksyon an ap travay tou.
Fason ki pi senp ak pi efikas se konte sou backend la epi rapòte si nenpòt bagay anplis parèt:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Pa pi bon opsyon, an n konplike li. Nou pral konte sou backend la ak bloke sou frontend la.
Nou pral trete atakè a malonnèt epi lage koneksyon TCP li.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
menm bagay la, men politès, nou pral retounen erè a http 429 (Twòp Demann)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Mwen tcheke: Mwen lanse mstsc epi mwen kòmanse antre modpas owaza. Apre twazyèm tantativ la, nan 10 segonn li voye m 'tounen, ak mstsc bay yon erè. Kòm ka wè nan mòso bwa yo.
Eksplikasyon. Mwen byen lwen yon mèt haproxy. Mwen pa konprann poukisa, pa egzanp
http-demann deny deny_status 429 si { sc_http_err_rate(0) gt 4 }
pèmèt ou fè apeprè 10 erè anvan li travay.
Mwen konfonn sou nimero kontè yo. Mèt haproxy, m ap kontan si w konplete m, korije m, fè m pi byen.
Nan kòmantè yo ou ka sijere lòt fason yo pwoteje RD Gateway, li pral enteresan yo etidye.
Konsènan Windows Remote Desktop Kliyan an (mstsc), li vo anyen ke li pa sipòte TLS1.2 (omwen nan Windows 7), kidonk mwen te oblije kite TLS1; pa sipòte chifreman aktyèl, kidonk mwen menm mwen te oblije kite ansyen yo.
Pou moun ki pa konprann anyen, ki jis aprann, epi ki deja vle fè byen, mwen pral ba ou tout konfigirasyon an.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Poukisa de serveurs sou backend la? Paske sa a se ki jan ou ka fè tolerans fòt. Haproxy kapab tou fè de ak yon ip blan k ap flote.
Resous enfòmatik: ou ka kòmanse ak "de gig, de nwayo, PC Gaming." Dapre sa a pral ase pou rezèv.
Lyen:
Sous: www.habr.com