ProHoster > Блог > ಆಡಳಿತ > MS ರಿಮೋಟ್ ಡೆಸ್ಕ್‌ಟಾಪ್ ಗೇಟ್‌ವೇ, HAProxy ಮತ್ತು ಪಾಸ್‌ವರ್ಡ್ ಬ್ರೂಟ್ ಫೋರ್ಸ್

MS ರಿಮೋಟ್ ಡೆಸ್ಕ್‌ಟಾಪ್ ಗೇಟ್‌ವೇ, HAProxy ಮತ್ತು ಪಾಸ್‌ವರ್ಡ್ ಬ್ರೂಟ್ ಫೋರ್ಸ್

ಸ್ನೇಹಿತರೇ, ನಮಸ್ಕಾರ!

ಮನೆಯಿಂದ ನಿಮ್ಮ ಕಚೇರಿ ಕಾರ್ಯಸ್ಥಳಕ್ಕೆ ಸಂಪರ್ಕಿಸಲು ಹಲವು ಮಾರ್ಗಗಳಿವೆ. ಅವುಗಳಲ್ಲಿ ಒಂದು ಮೈಕ್ರೋಸಾಫ್ಟ್ ರಿಮೋಟ್ ಡೆಸ್ಕ್‌ಟಾಪ್ ಗೇಟ್‌ವೇ ಬಳಸುವುದು. ಇದು HTTP ಮೂಲಕ RDP ಆಗಿದೆ. ನಾನು ಇಲ್ಲಿ RDGW ನ ಸಂರಚನೆಯ ಬಗ್ಗೆ ಸ್ಪರ್ಶಿಸಲು ಬಯಸುವುದಿಲ್ಲ, ಅದು ಏಕೆ ಒಳ್ಳೆಯದು ಅಥವಾ ಕೆಟ್ಟದು ಎಂದು ನಾನು ಚರ್ಚಿಸಲು ಬಯಸುವುದಿಲ್ಲ, ಅದನ್ನು ರಿಮೋಟ್ ಪ್ರವೇಶ ಸಾಧನಗಳಲ್ಲಿ ಒಂದಾಗಿ ಪರಿಗಣಿಸೋಣ. ನಿಮ್ಮ RDGW ಸರ್ವರ್ ಅನ್ನು ದುಷ್ಟ ಇಂಟರ್ನೆಟ್‌ನಿಂದ ರಕ್ಷಿಸುವ ಬಗ್ಗೆ ನಾನು ಮಾತನಾಡಲು ಬಯಸುತ್ತೇನೆ. ನಾನು RDGW ಸರ್ವರ್ ಅನ್ನು ಹೊಂದಿಸಿದಾಗ, ನಾನು ತಕ್ಷಣ ರಕ್ಷಣೆಯ ಬಗ್ಗೆ, ವಿಶೇಷವಾಗಿ ಪಾಸ್‌ವರ್ಡ್ ಬ್ರೂಟ್-ಫೋರ್ಸ್ ದಾಳಿಯಿಂದ ರಕ್ಷಣೆಯ ಬಗ್ಗೆ ಕಾಳಜಿ ವಹಿಸಿದೆ. ಇದನ್ನು ಹೇಗೆ ಮಾಡಬೇಕೆಂಬುದರ ಬಗ್ಗೆ ಇಂಟರ್ನೆಟ್‌ನಲ್ಲಿ ಯಾವುದೇ ಲೇಖನಗಳು ಸಿಗಲಿಲ್ಲ ಎಂದು ನನಗೆ ಆಶ್ಚರ್ಯವಾಯಿತು. ಸರಿ, ನಾನು ಅದನ್ನು ನಾನೇ ಮಾಡಬೇಕಾಗಿದೆ.

RDGW ಸ್ವತಃ ಯಾವುದೇ ರಕ್ಷಣೆಯನ್ನು ಹೊಂದಿಲ್ಲ. ಹೌದು, ಇದನ್ನು ಕೇವಲ ಇಂಟರ್ಫೇಸ್‌ನೊಂದಿಗೆ ಬಿಳಿ ನೆಟ್‌ವರ್ಕ್‌ಗೆ ಒಡ್ಡಬಹುದು ಮತ್ತು ಸಂಪೂರ್ಣವಾಗಿ ಕೆಲಸ ಮಾಡುತ್ತದೆ. ಆದರೆ ಸರಿಯಾದ ನಿರ್ವಾಹಕರು ಅಥವಾ ಮಾಹಿತಿ ಭದ್ರತಾ ತಜ್ಞರು ಇದರ ಬಗ್ಗೆ ಆತಂಕಕ್ಕೊಳಗಾಗುತ್ತಾರೆ. ಇದಲ್ಲದೆ, ಅಜಾಗರೂಕ ಉದ್ಯೋಗಿಯೊಬ್ಬರು ಹೋಮ್ ಕಂಪ್ಯೂಟರ್‌ನಲ್ಲಿ ಕಾರ್ಪೊರೇಟ್ ಖಾತೆಯ ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ನೆನಪಿಸಿಕೊಂಡು ನಂತರ ತಮ್ಮ ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ಬದಲಾಯಿಸಿದಾಗ ಖಾತೆ ನಿರ್ಬಂಧಿಸುವ ಪರಿಸ್ಥಿತಿಯನ್ನು ತಪ್ಪಿಸಲು ಇದು ನಿಮ್ಮನ್ನು ಅನುಮತಿಸುತ್ತದೆ.

ಬಾಹ್ಯ ಪರಿಸರದಿಂದ ಆಂತರಿಕ ಸಂಪನ್ಮೂಲಗಳನ್ನು ರಕ್ಷಿಸಲು ಉತ್ತಮ ಮಾರ್ಗವೆಂದರೆ ವಿವಿಧ ಪ್ರಾಕ್ಸಿಗಳು, ಪ್ರಕಾಶನ ವ್ಯವಸ್ಥೆಗಳು ಮತ್ತು ಇತರ WAF ಗಳು. RDGW ಇನ್ನೂ http ಎಂದು ನೆನಪಿನಲ್ಲಿಟ್ಟುಕೊಳ್ಳೋಣ, ಆಗ ಅದು ಆಂತರಿಕ ಸರ್ವರ್‌ಗಳು ಮತ್ತು ಇಂಟರ್ನೆಟ್ ನಡುವೆ ವಿಶೇಷ ಪರಿಹಾರವನ್ನು ಅಂಟಿಸಲು ಬೇಡಿಕೊಳ್ಳುತ್ತದೆ.

ತಂಪಾದ F5, A10, Netscaler(ADC) ಇವೆ ಎಂದು ನನಗೆ ತಿಳಿದಿದೆ. ಈ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ಒಂದರ ನಿರ್ವಾಹಕನಾಗಿ, ಈ ವ್ಯವಸ್ಥೆಗಳ ಮೇಲೆ ವಿವೇಚನಾರಹಿತ ಶಕ್ತಿಯ ವಿರುದ್ಧ ರಕ್ಷಣೆಯನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ಸಹ ಸಾಧ್ಯವಿದೆ ಎಂದು ನಾನು ಹೇಳುತ್ತೇನೆ. ಮತ್ತು ಹೌದು, ಈ ವ್ಯವಸ್ಥೆಗಳು ಯಾವುದೇ ಸಿನ್ ಫ್ಲಡ್‌ನಿಂದ ನಿಮ್ಮನ್ನು ರಕ್ಷಿಸುತ್ತವೆ.

ಆದರೆ ಪ್ರತಿಯೊಂದು ಕಂಪನಿಯು ಅಂತಹ ಪರಿಹಾರವನ್ನು ಖರೀದಿಸಲು ಶಕ್ತವಾಗಿಲ್ಲ (ಮತ್ತು ಅಂತಹ ವ್ಯವಸ್ಥೆಗೆ ನಿರ್ವಾಹಕರನ್ನು ಹುಡುಕಿ :), ಆದರೆ ಅದು ಭದ್ರತೆಯನ್ನು ನೋಡಿಕೊಳ್ಳಬಹುದು!

ಉಚಿತ ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಂನಲ್ಲಿ HAProxy ಯ ಉಚಿತ ಆವೃತ್ತಿಯನ್ನು ಸ್ಥಾಪಿಸುವುದು ಸಾಕಷ್ಟು ಸಾಧ್ಯ. ನಾನು ಅದನ್ನು Debian 10 ನಲ್ಲಿ ಪರೀಕ್ಷಿಸಿದೆ, ಸ್ಥಿರ ರೆಪೊಸಿಟರಿಯಲ್ಲಿ haproxy ಆವೃತ್ತಿ 1.8.19 ಆಗಿದೆ. ನಾನು ಅದನ್ನು ಪರೀಕ್ಷಾ ರೆಪೊಸಿಟರಿಯಿಂದ ಆವೃತ್ತಿ 2.0.xx ನಲ್ಲಿಯೂ ಪರೀಕ್ಷಿಸಿದೆ.

ಡೆಬಿಯನ್‌ನ ಸಂರಚನೆಯನ್ನು ನಾವು ಲೇಖನದ ಹೊರಗೆ ಬಿಡುತ್ತೇವೆ. ಸಂಕ್ಷಿಪ್ತವಾಗಿ: ಬಿಳಿ ಇಂಟರ್ಫೇಸ್‌ನಲ್ಲಿ, ಪೋರ್ಟ್ 443 ಹೊರತುಪಡಿಸಿ ಎಲ್ಲವನ್ನೂ ಮುಚ್ಚಿ, ಬೂದು ಇಂಟರ್ಫೇಸ್‌ನಲ್ಲಿ - ಉದಾಹರಣೆಗೆ, ನಿಮ್ಮ ನೀತಿಯ ಪ್ರಕಾರ, ಪೋರ್ಟ್ 22 ಹೊರತುಪಡಿಸಿ ಎಲ್ಲವನ್ನೂ ಮುಚ್ಚಿ. ಕಾರ್ಯಾಚರಣೆಗೆ ಅಗತ್ಯವಿರುವದನ್ನು ಮಾತ್ರ ತೆರೆಯಿರಿ (VRRP, ಉದಾಹರಣೆಗೆ, ತೇಲುವ IP ಗಾಗಿ).

ಮೊದಲನೆಯದಾಗಿ, ನಾನು ಹ್ಯಾಪ್ರಾಕ್ಸಿಯನ್ನು SSL ಬ್ರಿಡ್ಜಿಂಗ್ ಮೋಡ್‌ಗೆ (ಅಕಾ http ಮೋಡ್) ಕಾನ್ಫಿಗರ್ ಮಾಡಿದ್ದೇನೆ ಮತ್ತು RDP ಒಳಗೆ ಏನು ನಡೆಯುತ್ತಿದೆ ಎಂಬುದನ್ನು ನೋಡಲು ಲಾಗಿಂಗ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದ್ದೇನೆ. ಹಾಗೆ ಹೇಳುವುದಾದರೆ, ನಾನು ಮಧ್ಯದಲ್ಲಿ ಸಿಕ್ಕಿದ್ದೇನೆ. ಆದ್ದರಿಂದ, RDGateway ಸೆಟಪ್‌ನಲ್ಲಿನ "ಎಲ್ಲಾ" ಲೇಖನಗಳಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ /RDWeb ಮಾರ್ಗವು ಕಾಣೆಯಾಗಿದೆ. ಅಲ್ಲಿ ಇರುವುದು /rpc/rpcproxy.dll ಮತ್ತು /remoteDesktopGateway/ ಮಾತ್ರ. ಅದೇ ಸಮಯದಲ್ಲಿ, ಪ್ರಮಾಣಿತ GET/POST ವಿನಂತಿಗಳನ್ನು ಬಳಸಲಾಗುವುದಿಲ್ಲ, ಅವುಗಳ ಸ್ವಂತ ವಿನಂತಿ ಪ್ರಕಾರ RDG_IN_DATA, RDG_OUT_DATA ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ.

ಹೆಚ್ಚು ಅಲ್ಲ, ಆದರೆ ಕನಿಷ್ಠ ಏನಾದರೂ.

ಅದನ್ನು ಪರೀಕ್ಷಿಸೋಣ.

ನಾನು mstsc ಅನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತೇನೆ, ಸರ್ವರ್‌ಗೆ ಹೋಗುತ್ತೇನೆ, ಲಾಗ್‌ಗಳಲ್ಲಿ ನನಗೆ ನಾಲ್ಕು 401 ದೋಷಗಳು (ಅನಧಿಕೃತ) ಕಾಣುತ್ತವೆ, ನಂತರ ನಾನು ಲಾಗಿನ್/ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ನಮೂದಿಸುತ್ತೇನೆ ಮತ್ತು ಪ್ರತಿಕ್ರಿಯೆ 200 ಅನ್ನು ನೋಡುತ್ತೇನೆ.

ನಾನು ಅದನ್ನು ಆಫ್ ಮಾಡಿ, ಮರುಪ್ರಾರಂಭಿಸಿ, ಲಾಗ್‌ಗಳಲ್ಲಿ ಅದೇ ನಾಲ್ಕು 401 ದೋಷಗಳನ್ನು ನೋಡುತ್ತೇನೆ. ನಾನು ತಪ್ಪಾದ ಲಾಗಿನ್/ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ನಮೂದಿಸುತ್ತೇನೆ ಮತ್ತು ಮತ್ತೆ ನಾಲ್ಕು 401 ದೋಷಗಳನ್ನು ನೋಡುತ್ತೇನೆ. ನಮಗೆ ಬೇಕಾಗಿರುವುದು ಅದನ್ನೇ. ನಾವು ಹಿಡಿಯುವುದು ಅದನ್ನೇ.

ನನಗೆ ಲಾಗಿನ್ URL ಅನ್ನು ನಿರ್ಧರಿಸಲು ಸಾಧ್ಯವಾಗದ ಕಾರಣ, ಮತ್ತು ಹ್ಯಾಪ್ರಾಕ್ಸಿಯಲ್ಲಿ 401 ದೋಷವನ್ನು ಹೇಗೆ ಹಿಡಿಯುವುದು ಎಂದು ನನಗೆ ತಿಳಿದಿಲ್ಲದ ಕಾರಣ, ನಾನು ಎಲ್ಲಾ 4xx ದೋಷಗಳನ್ನು ಹಿಡಿಯುತ್ತೇನೆ (ವಾಸ್ತವವಾಗಿ, ಹಿಡಿಯುವುದಿಲ್ಲ, ಆದರೆ ಎಣಿಸುತ್ತೇನೆ). ಅದು ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲು ಸಹ ಕೆಲಸ ಮಾಡುತ್ತದೆ.

ರಕ್ಷಣೆಯ ಸಾರವೆಂದರೆ ನಾವು ಪ್ರತಿ ಯುನಿಟ್ ಸಮಯಕ್ಕೆ 4xx ದೋಷಗಳ ಸಂಖ್ಯೆಯನ್ನು (ಬ್ಯಾಕೆಂಡ್‌ನಲ್ಲಿ) ಎಣಿಸುತ್ತೇವೆ ಮತ್ತು ಅದು ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಮಿತಿಯನ್ನು ಮೀರಿದರೆ, ನಿರ್ದಿಷ್ಟ ಸಮಯದವರೆಗೆ ಈ IP ಯಿಂದ ಎಲ್ಲಾ ಮುಂದಿನ ಸಂಪರ್ಕಗಳನ್ನು (ಮುಂಭಾಗದಲ್ಲಿ) ತಿರಸ್ಕರಿಸುತ್ತೇವೆ.

ತಾಂತ್ರಿಕವಾಗಿ, ಇದು ಪಾಸ್‌ವರ್ಡ್ ಊಹಿಸುವಿಕೆಯ ವಿರುದ್ಧ ರಕ್ಷಣೆಯಾಗಿರುವುದಿಲ್ಲ, ಇದು 4xx ದೋಷಗಳ ವಿರುದ್ಧ ರಕ್ಷಣೆಯಾಗಿರುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, ನೀವು ಆಗಾಗ್ಗೆ ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ url (404) ಅನ್ನು ವಿನಂತಿಸಿದರೆ, ರಕ್ಷಣೆಯೂ ಸಹ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ.

ಸರಳ ಮತ್ತು ಅತ್ಯಂತ ಪರಿಣಾಮಕಾರಿ ಮಾರ್ಗವೆಂದರೆ ಬ್ಯಾಕೆಂಡ್ ಅನ್ನು ಎಣಿಸುವುದು ಮತ್ತು ಹೆಚ್ಚುವರಿಯಾಗಿ ಏನಾದರೂ ಕಾಣಿಸಿಕೊಂಡರೆ ತ್ಯಜಿಸುವುದು:

frontend fe_rdp_tsc
    bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
    mode http
    ...
    default_backend be_rdp_tsc


backend be_rdp_tsc
    ...
    mode http
    ...

    #создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
    stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
    #запомнить ip
    http-request track-sc0 src
    #запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
    http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
	
	...
    server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
    server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02

ಉತ್ತಮ ಆಯ್ಕೆಯಲ್ಲ, ಅದನ್ನು ಸಂಕೀರ್ಣಗೊಳಿಸೋಣ. ನಾವು ಬ್ಯಾಕೆಂಡ್ ಅನ್ನು ಎಣಿಸುತ್ತೇವೆ ಮತ್ತು ಮುಂಭಾಗದಲ್ಲಿ ನಿರ್ಬಂಧಿಸುತ್ತೇವೆ.

ನಾವು ದಾಳಿಕೋರನೊಂದಿಗೆ ಸ್ಥೂಲವಾಗಿ ವ್ಯವಹರಿಸುತ್ತೇವೆ, ಅವನಿಗೆ TCP ಸಂಪರ್ಕವನ್ನು ಕಡಿತಗೊಳಿಸುತ್ತೇವೆ.

frontend fe_rdp_tsc
    bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
    mode http
    ...
    #создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
    stick-table type ip size 1k expire 15s store gpc0
    #взять источник
    tcp-request connection track-sc0 src
    #отклонить tcp соединение, если глобальный счётчик >0
    tcp-request connection reject if { sc0_get_gpc0 gt 0 }
	
    ...
    default_backend be_rdp_tsc


backend be_rdp_tsc
    ...
    mode http
    ...
	
    #создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
    stick-table type ip size 1k expire 15s store http_err_rate(10s)
    #много ошибок, если кол-во ошибок за 10 сек превысило 8
    acl errors_too_fast sc1_http_err_rate gt 8
    #пометить атаку в глобальном счётчике (увеличить счётчик)
    acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
    #обнулить глобальный счётчик
    acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
    #взять источник
    tcp-request content track-sc1 src
    #отклонить, пометить, что атака
    tcp-request content reject if errors_too_fast mark_as_abuser
    #разрешить, сбросить флажок атаки
    tcp-request content accept if !errors_too_fast clear_as_abuser
	
    ...
    server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
    server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02

ಅದೇ ವಿಷಯ, ಆದರೆ ಸೌಜನ್ಯದಿಂದ, ನಾವು http 429 ದೋಷವನ್ನು ಹಿಂತಿರುಗಿಸುತ್ತೇವೆ (ತುಂಬಾ ವಿನಂತಿಗಳು)

frontend fe_rdp_tsc
    ...
    stick-table type ip size 1k expire 15s store gpc0
    http-request track-sc0 src
    http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
    ...
    default_backend be_rdp_tsc

backend be_rdp_tsc
    ...
    stick-table type ip size 1k expire 15s store http_err_rate(10s)
    acl errors_too_fast sc1_http_err_rate gt 8
    acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
    acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
    http-request track-sc1 src
    http-request allow if !errors_too_fast clear_as_abuser
    http-request deny deny_status 429 if errors_too_fast mark_as_abuser
    ...

ನಾನು ಪರಿಶೀಲಿಸುತ್ತೇನೆ: ನಾನು mstsc ಅನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತೇನೆ ಮತ್ತು ಯಾದೃಚ್ಛಿಕವಾಗಿ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ನಮೂದಿಸಲು ಪ್ರಾರಂಭಿಸುತ್ತೇನೆ. ಮೂರನೇ ಪ್ರಯತ್ನದ ನಂತರ, ನಾನು 10 ಸೆಕೆಂಡುಗಳಲ್ಲಿ ಹೊರಹಾಕಲ್ಪಡುತ್ತೇನೆ ಮತ್ತು mstsc ದೋಷವನ್ನು ನೀಡುತ್ತದೆ. ಇದು ಲಾಗ್‌ಗಳಲ್ಲಿ ಗೋಚರಿಸುತ್ತದೆ.

ವಿವರಣೆಗಳು: ನಾನು ಹ್ಯಾಪ್ರಾಕ್ಸಿಯಲ್ಲಿ ಪರಿಣಿತನಾಗಿರುವುದರಿಂದ ದೂರವಿದೆ. ಉದಾಹರಣೆಗೆ, ಏಕೆ ಎಂದು ನನಗೆ ಅರ್ಥವಾಗುತ್ತಿಲ್ಲ.
http-request deny deny_status 429 ಅನ್ನು ನಿರಾಕರಿಸಿ if { sc_http_err_rate(0) gt 4 }
ಅದು ಕೆಲಸ ಮಾಡುವ ಮೊದಲು ಸುಮಾರು 10 ತಪ್ಪುಗಳನ್ನು ಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.

ಕೌಂಟರ್ ನಂಬರಿಂಗ್ ನನಗೆ ಗೊಂದಲವಾಗಿದೆ. ಹ್ಯಾಪ್ರಾಕ್ಸಿ ಮಾಸ್ಟರ್ಸ್, ನೀವು ನನಗೆ ಸೇರಿಸಿದರೆ, ಸರಿಪಡಿಸಿದರೆ, ಉತ್ತಮಗೊಳಿಸಿದರೆ ನನಗೆ ಸಂತೋಷವಾಗುತ್ತದೆ.

ಕಾಮೆಂಟ್‌ಗಳಲ್ಲಿ ನೀವು RD ಗೇಟ್‌ವೇ ಅನ್ನು ರಕ್ಷಿಸಲು ಇತರ ಮಾರ್ಗಗಳನ್ನು ನೀಡಬಹುದು, ಅದನ್ನು ಅಧ್ಯಯನ ಮಾಡುವುದು ಆಸಕ್ತಿದಾಯಕವಾಗಿರುತ್ತದೆ.

ವಿಂಡೋಸ್ ರಿಮೋಟ್ ಡೆಸ್ಕ್‌ಟಾಪ್ ಕ್ಲೈಂಟ್ (mstsc) ಗೆ ಸಂಬಂಧಿಸಿದಂತೆ, ಇದು TLS1.2 ಅನ್ನು ಬೆಂಬಲಿಸುವುದಿಲ್ಲ (ಕನಿಷ್ಠ ವಿಂಡೋಸ್ 7 ನಲ್ಲಿ), ಆದ್ದರಿಂದ ನಾನು TLS1 ಅನ್ನು ಬಿಡಬೇಕಾಯಿತು; ಇದು ಪ್ರಸ್ತುತ ಸೈಫರ್‌ಗಳನ್ನು ಬೆಂಬಲಿಸುವುದಿಲ್ಲ, ಆದ್ದರಿಂದ ನಾನು ಹಳೆಯದನ್ನು ಸಹ ಬಿಡಬೇಕಾಯಿತು.

ಏನನ್ನೂ ಅರ್ಥಮಾಡಿಕೊಳ್ಳದವರಿಗೆ, ಈಗಷ್ಟೇ ಕಲಿಯುತ್ತಿರುವವರಿಗೆ ಮತ್ತು ಈಗಾಗಲೇ ಅದನ್ನು ಚೆನ್ನಾಗಿ ಮಾಡಲು ಬಯಸುವವರಿಗೆ, ನಾನು ಸಂಪೂರ್ಣ ಸಂರಚನೆಯನ್ನು ಒದಗಿಸುತ್ತೇನೆ.

ಹ್ಯಾಪ್ರಾಕ್ಸಿ.ಕಾನ್ಫ್

global
        log /dev/log    local0
        log /dev/log    local1 notice
        chroot /var/lib/haproxy
        stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
        stats timeout 30s
        user haproxy
        group haproxy
        daemon

        # Default SSL material locations
        ca-base /etc/ssl/certs
        crt-base /etc/ssl/private

        # See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
        #ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
        ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
        ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
        #ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
        ssl-default-bind-options no-sslv3
        ssl-server-verify none


defaults
        log     global
        mode    http
        option  httplog
        option  dontlognull
        timeout connect 5000
        timeout client  15m
        timeout server  15m
        errorfile 400 /etc/haproxy/errors/400.http
        errorfile 403 /etc/haproxy/errors/403.http
        errorfile 408 /etc/haproxy/errors/408.http
        errorfile 500 /etc/haproxy/errors/500.http
        errorfile 502 /etc/haproxy/errors/502.http
        errorfile 503 /etc/haproxy/errors/503.http
        errorfile 504 /etc/haproxy/errors/504.http


frontend fe_rdp_tsc
    bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
    mode http
    capture request header Host len 32
    log global
    option httplog
    timeout client 300s
    maxconn 1000

    stick-table type ip size 1k expire 15s store gpc0
    tcp-request connection track-sc0 src
    tcp-request connection reject if { sc0_get_gpc0 gt 0 }

    acl rdweb_domain hdr(host) -i beg dektop.example.com
    http-request deny deny_status 400 if !rdweb_domain
    default_backend be_rdp_tsc


backend be_rdp_tsc
    balance source
    mode http
    log global

    stick-table type ip size 1k expire 15s store http_err_rate(10s)
    acl errors_too_fast sc1_http_err_rate gt 8
    acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
    acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
    tcp-request content track-sc1 src
    tcp-request content reject if errors_too_fast mark_as_abuser
    tcp-request content accept if !errors_too_fast clear_as_abuser

    option forwardfor
    http-request add-header X-CLIENT-IP %[src]

    option httpchk GET /
    cookie RDPWEB insert nocache
    default-server inter 3s    rise 2  fall 3
    server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
    server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02


frontend fe_stats
    mode http
    bind *:8080
    acl ip_allow_admin src 192.168.66.66
    stats enable
    stats uri /stats
    stats refresh 30s
    #stats admin if LOCALHOST
    stats admin if ip_allow_admin

ಬ್ಯಾಕೆಂಡ್‌ನಲ್ಲಿ ಎರಡು ಸರ್ವರ್‌ಗಳು ಏಕೆ? ಏಕೆಂದರೆ ಈ ರೀತಿಯಲ್ಲಿ ನೀವು ದೋಷ ಸಹಿಷ್ಣುತೆಯನ್ನು ಮಾಡಬಹುದು. ನೀವು ತೇಲುವ ಬಿಳಿ IP ಯೊಂದಿಗೆ ಎರಡು ಹ್ಯಾಪ್ರಾಕ್ಸಿಗಳನ್ನು ಸಹ ಮಾಡಬಹುದು.

ಕಂಪ್ಯೂಟಿಂಗ್ ಸಂಪನ್ಮೂಲಗಳು: ನೀವು "ಎರಡು ಗಿಗ್, ಎರಡು ಕೋರ್, ಗೇಮಿಂಗ್ ಪಿಸಿ" ಯೊಂದಿಗೆ ಪ್ರಾರಂಭಿಸಬಹುದು. ಪ್ರಕಾರ ವಿಕಿಪೀಡಿಯಾ ಇದು ಸಾಕಷ್ಟು ಹೆಚ್ಚು ಇರುತ್ತದೆ.

ಉಲ್ಲೇಖಗಳು:

HAProxy ನಿಂದ rdp-gateway ಅನ್ನು ಹೊಂದಿಸಲಾಗುತ್ತಿದೆ
ಪಾಸ್‌ವರ್ಡ್‌ನ ಬ್ರೂಟ್-ಫೋರ್ಸ್‌ಗೆ ಸಂಬಂಧಿಸಿದ ಒಂದೇ ಒಂದು ಲೇಖನ ನನಗೆ ಸಿಕ್ಕಿತು.

ಮೂಲ: www.habr.com

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ