Kanca-kanca, halo!
Ana akeh cara kanggo nyambungake saka omah menyang ruang kerja kantor. Salah sijine yaiku nggunakake Microsoft Remote Desktop Gateway. Iki RDP liwat HTTP. Aku ora pengin tutul ing nyetel RDGW dhewe kene, Aku ora arep ngrembug apa iku apik utawa ala, ayo kang dianggep minangka salah siji saka alat akses remot. Aku arep ngomong bab nglindhungi server RDGW saka Internet ala. Nalika aku nyiyapake server RDGW, Aku langsung dadi kuwatir bab keamanan, utamané pangayoman marang sandi brute force. Aku kaget yen aku ora nemokake artikel ing Internet babagan carane nindakake iki. Inggih, sampeyan kudu nindakake dhewe.
RDGW dhewe ora duwe proteksi. Ya, iku bisa kapapar karo antarmuka gundhul kanggo jaringan putih lan bakal bisa digunakake apik. Nanging iki bakal nggawe administrator sing tepat utawa spesialis keamanan informasi ora kepenak. Kajaba iku, iku bakal ngidini sampeyan kanggo ngindhari kahanan pamblokiran akun, nalika karyawan ceroboh ngelingi sandhi kanggo akun perusahaan ing komputer ngarep, lan banjur ngganti sandi.
Cara sing apik kanggo nglindhungi sumber daya internal saka lingkungan eksternal yaiku liwat macem-macem proxy, sistem penerbitan, lan WAF liyane. Ayo dadi elinga yen RDGW isih http, banjur mung nyuwun plug solusi khusus antarane server internal lan Internet.
Aku ngerti sing ana kelangan F5, A10, Netscaler (ADC). Minangka administrator salah siji saka sistem iki, Aku bakal ngomong sing uga bisa kanggo nyetel pangayoman marang pasukan kasar ing sistem iki. Lan ya, sistem kasebut uga bakal nglindhungi sampeyan saka banjir syn.
Nanging ora saben perusahaan bisa tuku solusi kasebut (lan golek administrator kanggo sistem kasebut :), nanging ing wektu sing padha bisa ngurus keamanan!
Sampeyan bisa nginstal HAProxy versi gratis ing sistem operasi gratis. Aku dites ing Debian 10, haproxy versi 1.8.19 ing repositori stabil. Aku uga nyoba ing versi 2.0.xx saka gudang testing.
Kita bakal ninggalake nyetel debian dhewe ing njaba ruang lingkup artikel iki. Sedhela: ing antarmuka putih, nutup kabeh kajaba port 443, ing antarmuka abu-abu - miturut kabijakan sampeyan, umpamane, nutup kabeh kajaba port 22. Mbukak mung sing perlu kanggo karya (VRRP contone, kanggo ngambang ip).
Kaping pisanan, aku ngatur haproxy ing mode bridging SSL (aka mode http) lan ngaktifake log kanggo ndeleng apa sing kedadeyan ing RDP. Dadi ngomong, aku mlebu ing tengah. Dadi, path / RDWeb sing ditemtokake ing "kabeh" artikel babagan nyetel RDGateway ora ana. Kabeh sing ana yaiku /rpc/rpcproxy.dll lan /remoteDesktopGateway/. Ing kasus iki, panjalukan GET/POST standar ora digunakake; jinis panjalukane dhewe RDG_IN_DATA, RDG_OUT_DATA digunakake.
Ora akeh, nanging paling ora.
Ayo dites.
Aku miwiti mstsc, pindhah menyang server, ndeleng papat 401 (ora sah) kesalahan ing log, banjur ketik jeneng panganggo / sandi lan ndeleng respon 200.
Aku mateni, miwiti maneh, lan ing log aku ndeleng kesalahan papat padha 401. Aku salah ngetik login / sandhi lan ndeleng maneh papat kesalahan 401. Sing aku kudu. Iki sing bakal kita tangkep.
Awit iku ora bisa kanggo nemtokake url login, lan liyane, aku ora ngerti carane nyekel 401 kesalahan ing haproxy, Aku bakal nyekel (ora bener nyekel, nanging count) kabeh 4xx kasalahan. Uga cocok kanggo ngatasi masalah.
Inti saka proteksi yaiku kita bakal ngetung jumlah kesalahan 4xx (ing backend) saben unit wektu lan yen ngluwihi watesan sing ditemtokake, banjur nolak (ing frontend) kabeh sambungan luwih saka ip iki kanggo wektu sing ditemtokake .
Secara teknis, iki ora bakal dadi pangayoman marang pasukan kasar sandi, bakal dadi pangayoman marang kesalahan 4xx. Contone, yen sampeyan kerep njaluk url sing ora ana (404), mula proteksi kasebut uga bisa digunakake.
Cara sing paling gampang lan paling efektif yaiku ngetung backend lan laporan maneh yen ana sing katon:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Ora pilihan sing paling apik, ayo nggawe rumit. Kita bakal ngetung ing backend lan mblokir ing frontend.
Kita bakal nambani panyerang kanthi ora sopan lan ngeculake sambungan TCP.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
bab sing padha, nanging kanthi sopan, kita bakal ngasilake kesalahan http 429 (Kakehan Panjaluk)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Aku mriksa: Aku miwiti mstsc lan miwiti kanthi acak ngetik sandhi. Sawise nyoba katelu, ing 10 detik kicks kula bali, lan mstsc menehi kesalahan. Kaya sing katon ing log.
Panjelasan. Aku adoh saka master haproxy. Aku ora ngerti apa, contone
http-request nolak deny_status 429 yen {sc_http_err_rate(0) gt 4}
ngidini sampeyan nggawe udakara 10 kesalahan sadurunge bisa digunakake.
Aku bingung babagan nomer counter. Para master haproxy, aku bakal bungah yen sampeyan nglengkapi aku, mbenerake aku, nggawe aku luwih apik.
Ing komentar sampeyan bisa menehi saran cara liya kanggo nglindhungi RD Gateway, bakal menarik kanggo sinau.
Babagan Windows Remote Desktop Client (mstsc), perlu dicathet yen ora ndhukung TLS1.2 (paling ora ing Windows 7), mula aku kudu ninggalake TLS1; ora ndhukung cipher saiki, mula aku uga kudu ninggalake sing lawas.
Kanggo sing ora ngerti apa-apa, mung sinau, lan wis arep nindakake uga, Aku bakal menehi kabeh config.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Napa loro server ing backend? Amarga iki carane sampeyan bisa nggawe toleransi fault. Haproxy uga bisa nggawe loro karo ip putih ngambang.
Sumber daya komputasi: sampeyan bisa miwiti karo "loro manggung, loro intine, game PC." miturut iki bakal cukup kanggo nyisakke.
Cathetan:
Source: www.habr.com