Amici, ciao!
Esistono molti modi per connettersi da casa allo spazio di lavoro dell'ufficio. Uno di questi è utilizzare Microsoft Remote Desktop Gateway. Questo è RDP su HTTP. Non voglio toccare qui la configurazione di RDGW, non voglio discutere del motivo per cui è positivo o negativo, trattiamolo come uno degli strumenti di accesso remoto. Voglio parlare di come proteggere il tuo server RDGW dalla malvagia Internet. Quando ho configurato il server RDGW, mi sono subito preoccupato della sicurezza, in particolare della protezione contro la forza bruta delle password. Sono rimasto sorpreso di non aver trovato articoli su Internet su come farlo. Beh, dovrai farlo da solo.
Lo stesso RDGW non dispone di alcuna protezione. Sì, può essere esposto con un'interfaccia semplice a una rete bianca e funzionerà benissimo. Ma questo metterà a disagio l’amministratore giusto o lo specialista della sicurezza delle informazioni. Inoltre, eviterà la situazione di blocco dell'account, quando un dipendente distratto ricordava la password di un account aziendale sul suo computer di casa e quindi cambiava la sua password.
Un buon modo per proteggere le risorse interne dall'ambiente esterno è attraverso vari proxy, sistemi di pubblicazione e altri WAF. Ricordiamo che RDGW è ancora http, quindi si limita a collegare una soluzione specializzata tra i server interni e Internet.
So che ci sono fantastici F5, A10, Netscaler (ADC). In qualità di amministratore di uno di questi sistemi, dirò che è anche possibile impostare una protezione contro la forza bruta su questi sistemi. E sì, questi sistemi ti proteggeranno anche da qualsiasi alluvione sinusoidale.
Ma non tutte le aziende possono permettersi di acquistare una soluzione del genere (e trovare un amministratore per un tale sistema :), ma allo stesso tempo possono prendersi cura della sicurezza!
È del tutto possibile installare una versione gratuita di HAProxy su un sistema operativo gratuito. Ho testato su Debian 10, haproxy versione 1.8.19 nel repository stabile. L'ho testato anche sulla versione 2.0.xx dal repository testing.
Lasceremo la configurazione di Debian stessa fuori dallo scopo di questo articolo. In breve: sull'interfaccia bianca chiudi tutto tranne la porta 443, sull'interfaccia grigia - secondo la tua politica, ad esempio, chiudi anche tutto tranne la porta 22. Apri solo ciò che è necessario per il lavoro (VRRP ad esempio, per ip flottante).
Prima di tutto, ho configurato haproxy in modalità bridging SSL (nota anche come modalità http) e ho attivato la registrazione per vedere cosa stava succedendo all'interno di RDP. Per così dire, mi sono messo nel mezzo. Pertanto, manca il percorso /RDWeb specificato in "tutti" gli articoli sulla configurazione di RDGateway. Tutto ciò che c'è è /rpc/rpcproxy.dll e /remoteDesktopGateway/. In questo caso non vengono utilizzate le richieste GET/POST standard; viene utilizzato il loro tipo di richiesta RDG_IN_DATA, RDG_OUT_DATA.
Non molto, ma almeno qualcosa.
Proviamo.
Lancio mstsc, vado al server, vedo quattro errori 401 (non autorizzati) nei log, quindi inserisco il mio nome utente/password e vedo la risposta 200.
Lo spengo, lo riavvio e nei log vedo gli stessi quattro errori 401. Inserisco login/password errati e vedo di nuovo quattro errori 401. Questo è ciò di cui ho bisogno. Questo è ciò che cattureremo.
Poiché non è stato possibile determinare l'URL di accesso e inoltre non so come rilevare l'errore 401 in haproxy, catturerò (non catturerò effettivamente, ma conterò) tutti gli errori 4xx. Adatto anche per risolvere il problema.
L'essenza della protezione sarà che conteremo il numero di errori 4xx (sul backend) per unità di tempo e se supera il limite specificato, rifiuteremo (sul frontend) tutte le ulteriori connessioni da questo IP per il tempo specificato .
Tecnicamente, questa non sarà una protezione contro la forza bruta della password, ma sarà una protezione contro gli errori 4xx. Ad esempio, se richiedi spesso un URL inesistente (404), anche la protezione funzionerà.
Il modo più semplice ed efficace è contare sul backend e segnalare se appare qualcosa in più:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Non è l'opzione migliore, complichiamola. Conteremo sul backend e bloccheremo il frontend.
Tratteremo l'aggressore in modo scortese e interromperemo la sua connessione TCP.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
la stessa cosa, ma educatamente, restituiremo l'errore http 429 (Too Many Requests)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Controllo: lancio mstsc e inizio a inserire le password in modo casuale. Dopo il terzo tentativo, entro 10 secondi mi riprende e mstsc restituisce un errore. Come si può vedere nei log.
Spiegazioni. Sono ben lungi dall'essere un maestro dell'haproxy. Non capisco perché, ad esempio
http-request negare Denis_status 429 if { sc_http_err_rate(0) gt 4 }
ti permette di fare circa 10 errori prima che funzioni.
Sono confuso sulla numerazione dei contatori. Maestri dell'haproxy, sarò felice se mi completate, mi correggete, mi rendete migliore.
Nei commenti puoi suggerire altri modi per proteggere RD Gateway, sarà interessante studiare.
Per quanto riguarda Windows Remote Desktop Client (mstsc), vale la pena notare che non supporta TLS1.2 (almeno in Windows 7), quindi ho dovuto lasciare TLS1; non supporta la crittografia attuale, quindi ho dovuto lasciare anche quelli vecchi.
Per coloro che non capiscono niente, stanno solo imparando e vogliono già fare bene, ti darò l'intera configurazione.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Perché due server sul backend? Perché è così che puoi creare tolleranza agli errori. Haproxy può anche crearne due con un ip bianco mobile.
Risorse informatiche: puoi iniziare con “due giga, due core, PC da gioco”. Secondo
Links:
Fonte: habr.com