Vinir, halló!
Það eru margar leiðir til að tengjast að heiman við skrifstofuvinnusvæðið þitt. Einn af þeim er að nota Microsoft Remote Desktop Gateway. Þetta er RDP yfir HTTP. Ég vil ekki snerta það að setja upp RDGW sjálft hér, ég vil ekki ræða hvers vegna það er gott eða slæmt, við skulum meðhöndla það sem eitt af fjaraðgangsverkfærunum. Ég vil tala um að vernda RDGW netþjóninn þinn gegn hinu illa internetinu. Þegar ég setti upp RDGW netþjóninn varð ég strax áhyggjufullur um öryggi, sérstaklega vernd gegn lykilorðaafli. Ég var hissa á því að ég fann engar greinar á netinu um hvernig á að gera þetta. Jæja, þú verður að gera það sjálfur.
RDGW sjálft hefur enga vernd. Já, það er hægt að útsetja það með beru viðmóti fyrir hvítt net og það mun virka frábærlega. En þetta mun gera réttan stjórnanda eða upplýsingaöryggissérfræðing órólegan. Að auki mun það gera þér kleift að koma í veg fyrir að reikningur sé lokaður, þegar kærulaus starfsmaður mundi lykilorðið fyrir fyrirtækjareikning á heimilistölvunni sinni og breytti síðan lykilorðinu sínu.
Góð leið til að vernda innri auðlindir frá ytra umhverfi er með ýmsum umboðsaðilum, útgáfukerfum og öðrum WAF. Við skulum muna að RDGW er enn http, þá biður það bara um að tengja sérhæfða lausn á milli innri netþjóna og internetsins.
Ég veit að það eru flottir F5, A10, Netscaler(ADC). Sem stjórnandi á einu af þessum kerfum mun ég segja að það er líka hægt að setja upp vörn gegn brute force á þessum kerfum. Og já, þessi kerfi munu líka vernda þig fyrir öllum synflóðum.
En ekki öll fyrirtæki hafa efni á að kaupa slíka lausn (og finna stjórnanda fyrir slíkt kerfi :), en á sama tíma geta þeir séð um öryggið!
Það er alveg mögulegt að setja upp ókeypis útgáfu af HAProxy á ókeypis stýrikerfi. Ég prófaði á Debian 10, haproxy útgáfu 1.8.19 í stöðugu geymslunni. Ég prófaði það líka á útgáfu 2.0.xx frá prófunargeymslunni.
Við munum skilja uppsetningu debian sjálfrar utan gildissviðs þessarar greinar. Í stuttu máli: á hvíta viðmótinu skaltu loka öllu nema port 443, á gráu viðmóti - samkvæmt stefnu þinni, til dæmis, lokaðu líka öllu nema port 22. Opnaðu aðeins það sem er nauðsynlegt fyrir vinnu (VRRP til dæmis fyrir fljótandi ip).
Fyrst af öllu, stillti ég haproxy í SSL brúarstillingu (aka http ham) og kveikti á skráningu til að sjá hvað var að gerast inni í RDP. Sem sagt, ég komst á miðjuna. Þannig að /RDWeb slóðin sem tilgreind er í „öllum“ greinum um uppsetningu RDGateway vantar. Allt sem er til staðar er /rpc/rpcproxy.dll og /remoteDesktopGateway/. Í þessu tilviki eru staðlaðar GET/POST beiðnir ekki notaðar; þeirra eigin tegund af beiðni RDG_IN_DATA, RDG_OUT_DATA er notuð.
Ekki mikið, en allavega eitthvað.
Við skulum prófa.
Ég ræsti mstsc, fer á netþjóninn, sé fjórar 401 (óheimilar) villur í loggunum, slá svo inn notandanafn/lykilorð og sjá svarið 200.
Ég slekkur á því, ræsi það aftur og í loggunum sé ég sömu fjórar 401 villurnar. Ég slæ inn rangt innskráningarorð/lykilorð og sé aftur fjórar 401 villur. Það er það sem ég þarf. Þetta er það sem við munum ná.
Þar sem það var ekki hægt að ákvarða innskráningarslóðina, og þar að auki, ég veit ekki hvernig á að ná 401 villunni í haproxy, mun ég ná (ekki í rauninni, en telja) allar 4xx villurnar. Einnig hentugur til að leysa vandamálið.
Kjarninn í vörninni verður sá að við munum telja fjölda 4xx villna (á bakenda) á hverja tímaeiningu og ef það fer yfir tilgreind mörk, þá hafna (á framenda) öllum frekari tengingum frá þessari ip fyrir tilgreindan tíma .
Tæknilega séð mun þetta ekki vera vörn gegn lykilorðakrafti, það mun vera vörn gegn 4xx villum. Til dæmis, ef þú biður oft um slóð sem ekki er til (404), þá mun vörnin einnig virka.
Einfaldasta og áhrifaríkasta leiðin er að treysta á bakendann og tilkynna til baka ef eitthvað aukalega birtist:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Ekki besti kosturinn, við skulum flækja það. Við munum treysta á bakenda og blokk á framenda.
Við munum koma fram við árásarmanninn dónalega og hætta TCP tengingu hans.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
það sama, en kurteislega munum við skila villunni http 429 (of margar beiðnir)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Ég athuga: Ég ræsti mstsc og byrja að slá inn lykilorð af handahófi. Eftir þriðju tilraun, innan 10 sekúndna, sparkar það mér til baka, og mstsc gefur villu. Eins og sést á skrám.
Skýringar. Ég er langt frá því að vera haproxy meistari. Ég skil ekki hvers vegna td
http-beiðni neita deny_status 429 ef { sc_http_err_rate(0) gt 4 }
gerir þér kleift að gera um 10 mistök áður en það virkar.
Ég er ruglaður með númerun teljara. Meistarar haproxy, ég mun vera ánægður ef þú bætir mig við, leiðréttir mig, gerir mig betri.
Í athugasemdunum geturðu bent á aðrar leiðir til að vernda RD Gateway, það verður áhugavert að læra.
Varðandi Windows Remote Desktop Client (mstsc), þá er rétt að taka það fram að hann styður ekki TLS1.2 (að minnsta kosti í Windows 7), svo ég varð að yfirgefa TLS1; styður ekki núverandi dulmál, svo ég varð líka að skilja þær gömlu eftir.
Fyrir þá sem skilja ekki neitt, eru bara að læra og vilja nú þegar gera vel, mun ég gefa þér alla stillinguna.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Af hverju tveir netþjónar á bakendanum? Vegna þess að þetta er hvernig þú getur gert bilanaþol. Haproxy getur líka búið til tvo með fljótandi hvítum ip.
Tölvuauðlindir: þú getur byrjað með "tveir tónleikar, tveir kjarna, leikjatölva." Samkvæmt þetta verður nóg til vara.
Tilvísanir:
Heimild: www.habr.com