Teman, halo!
Ada banyak cara untuk terhubung dari rumah ke ruang kerja kantor Anda. Salah satunya adalah dengan menggunakan Microsoft Remote Desktop Gateway. Ini adalah RDP melalui HTTP. Saya tidak ingin menyinggung pengaturan RDGW sendiri di sini, saya tidak ingin membahas mengapa itu baik atau buruk, mari kita anggap sebagai salah satu alat akses jarak jauh. Saya ingin berbicara tentang melindungi server RDGW Anda dari Internet jahat. Ketika saya mengatur server RDGW, saya langsung khawatir tentang keamanan, terutama perlindungan terhadap kekerasan kata sandi. Saya terkejut karena saya tidak menemukan artikel apa pun di Internet tentang cara melakukan ini. Nah, Anda harus melakukannya sendiri.
RDGW sendiri tidak memiliki proteksi apapun. Ya, itu dapat diekspos dengan antarmuka kosongnya di jaringan putih dan itu akan berfungsi dengan baik. Namun hal ini akan membuat administrator atau spesialis keamanan informasi yang tepat menjadi tidak nyaman. Selain itu, akan menghindari situasi pemblokiran akun, ketika seorang karyawan yang lalai mengingat kata sandi akun perusahaan di komputer rumahnya, dan kemudian mengubah kata sandinya.
Cara yang baik untuk melindungi sumber daya internal dari lingkungan eksternal adalah melalui berbagai proxy, sistem penerbitan, dan WAF lainnya. Ingatlah bahwa RDGW masih berupa http, maka ia hanya meminta untuk menyambungkan solusi khusus antara server internal dan Internet.
Saya tahu ada F5, A10, Netscaler (ADC) yang keren. Sebagai administrator salah satu sistem ini, menurut saya dimungkinkan juga untuk mengatur perlindungan terhadap kekerasan pada sistem ini. Dan ya, sistem ini juga akan melindungi Anda dari banjir syn apa pun.
Namun tidak setiap perusahaan mampu membeli solusi seperti itu (dan menemukan administrator untuk sistem seperti itu :), namun pada saat yang sama mereka dapat menjaga keamanan!
Sangat mungkin untuk menginstal HAProxy versi gratis pada sistem operasi gratis. Saya menguji pada Debian 10, haproxy versi 1.8.19 di repositori stabil. Saya juga mengujinya pada versi 2.0.xx dari repositori pengujian.
Kami akan meninggalkan pengaturan debian itu sendiri di luar cakupan artikel ini. Secara singkat: pada antarmuka putih, tutup semuanya kecuali port 443, pada antarmuka abu-abu - sesuai kebijakan Anda, misalnya, tutup juga semuanya kecuali port 22. Buka hanya yang diperlukan untuk bekerja (VRRP misalnya, untuk ip mengambang).
Pertama-tama, saya mengkonfigurasi haproxy dalam mode penghubung SSL (alias mode http) dan mengaktifkan logging untuk melihat apa yang terjadi di dalam RDP. Jadi bisa dikatakan, saya berada di tengah. Jadi, jalur /RDWeb yang ditentukan dalam “semua” artikel tentang pengaturan RDGateway tidak ada. Yang ada hanyalah /rpc/rpcproxy.dll dan /remoteDesktopGateway/. Dalam hal ini, permintaan GET/POST standar tidak digunakan; jenis permintaannya sendiri RDG_IN_DATA, RDG_OUT_DATA digunakan.
Tidak banyak, tapi setidaknya sesuatu.
Mari kita uji.
Saya meluncurkan mstsc, pergi ke server, melihat empat kesalahan 401 (tidak sah) di log, lalu memasukkan nama pengguna/kata sandi saya dan melihat respons 200.
Saya mematikannya, memulainya lagi, dan di log saya melihat empat kesalahan 401 yang sama. Saya memasukkan login/kata sandi yang salah dan melihat lagi empat kesalahan 401. Itulah yang saya perlukan. Ini yang akan kami tangkap.
Karena tidak mungkin untuk menentukan url login, dan selain itu, saya tidak tahu cara menangkap kesalahan 401 di haproxy, saya akan menangkap (tidak benar-benar menangkap, tetapi menghitung) semua kesalahan 4xx. Juga cocok untuk memecahkan masalah.
Inti dari proteksinya adalah kita akan menghitung jumlah error 4xx (di backend) per satuan waktu dan jika melebihi batas yang ditentukan, maka tolak (di frontend) semua koneksi selanjutnya dari ip ini untuk waktu yang ditentukan. .
Secara teknis, ini bukan perlindungan terhadap kekerasan kata sandi, ini akan menjadi perlindungan terhadap kesalahan 4xx. Misalnya jika Anda sering meminta url yang tidak ada (404), maka proteksinya juga akan berfungsi.
Cara termudah dan paling efektif adalah dengan mengandalkan backend dan mengembalikannya jika ada tambahan yang muncul:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Bukan pilihan terbaik, mari kita perumitnya. Kami akan mengandalkan backend dan memblokir di frontend.
Kami akan memperlakukan penyerang dengan kasar dan memutuskan koneksi TCP-nya.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
hal yang sama, tapi dengan sopan, kami akan mengembalikan error http 429 (Terlalu Banyak Permintaan)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Saya memeriksa: Saya meluncurkan mstsc dan mulai memasukkan kata sandi secara acak. Setelah upaya ketiga, dalam 10 detik saya mundur, dan mstsc memberikan kesalahan. Seperti yang bisa dilihat di log.
Penjelasan. Saya jauh dari master haproxy. Saya tidak mengerti alasannya, misalnya
http-permintaan menolak menyangkal_status 429 jika { sc_http_err_rate(0) gt 4 }
memungkinkan Anda membuat sekitar 10 kesalahan sebelum berhasil.
Saya bingung tentang penomoran loketnya. Ahli haproxy, saya akan senang jika Anda melengkapi saya, mengoreksi saya, membuat saya lebih baik.
Di kolom komentar Anda bisa menyarankan cara lain untuk melindungi RD Gateway, ini akan menarik untuk dipelajari.
Mengenai Klien Desktop Jarak Jauh Windows (mstsc), perlu dicatat bahwa ini tidak mendukung TLS1.2 (setidaknya di Windows 7), jadi saya harus meninggalkan TLS1; tidak mendukung sandi saat ini, jadi saya juga harus meninggalkan sandi lama.
Bagi yang belum paham apa-apa, baru belajar, dan sudah ingin sukses, saya kasih konfigurasi lengkapnya.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Mengapa dua server di backend? Karena dengan cara inilah Anda bisa membuat toleransi kesalahan. Haproxy juga bisa membuat dua dengan ip putih mengambang.
Sumber daya komputasi: Anda dapat memulai dengan “dua pertunjukan, dua inti, PC gaming.” Menurut ini akan cukup untuk disisihkan.
Ссылки:
Sumber: www.habr.com
