🥇MS 원격 데스크톱 게이트웨이, HAProxy 및 비밀번호 무차별 대입

친구들, 안녕!

집에서 사무실 작업 공간에 연결하는 방법에는 여러 가지가 있습니다. 그 중 하나는 Microsoft 원격 데스크톱 게이트웨이를 사용하는 것입니다. 이는 HTTP를 통한 RDP입니다. 여기서는 RDGW 설정 자체에 대해 다루고 싶지 않습니다. 왜 그것이 좋은지 나쁜지 논의하고 싶지 않습니다. 원격 액세스 도구 중 하나로 다루겠습니다. 저는 사악한 인터넷으로부터 RDGW 서버를 보호하는 방법에 대해 이야기하고 싶습니다. RDGW 서버를 설정하자마자 보안, 특히 비밀번호 무차별 대입에 대한 보호에 대해 걱정하게 되었습니다. 이 작업을 수행하는 방법에 대한 기사를 인터넷에서 찾을 수 없다는 사실에 놀랐습니다. 글쎄요, 직접 하셔야 합니다.

RDGW 자체에는 보호 기능이 없습니다. 예, 화이트 네트워크에 대한 베어 인터페이스로 노출될 수 있으며 훌륭하게 작동할 것입니다. 하지만 이는 올바른 관리자나 정보 보안 전문가를 불안하게 만들 것입니다. 또한 부주의한 직원이 집 컴퓨터에 회사 계정의 비밀번호를 기억하고 비밀번호를 변경했을 때 계정이 차단되는 상황을 피할 수 있습니다.

외부 환경으로부터 내부 리소스를 보호하는 좋은 방법은 다양한 프록시, 게시 시스템 및 기타 WAF를 이용하는 것입니다. RDGW는 여전히 http이며 내부 서버와 인터넷 사이에 특수 솔루션을 연결하도록 요청합니다.

F5, A10, Netscaler(ADC) 등 멋진 제품들이 있는 것으로 알고 있습니다. 이러한 시스템 중 하나의 관리자로서 저는 이러한 시스템에 무차별 대입 방지 기능을 설정하는 것도 가능하다고 말씀드리고 싶습니다. 그리고 그렇습니다. 이러한 시스템은 또한 모든 신 플러드로부터 귀하를 보호할 것입니다.

그러나 모든 회사가 그러한 솔루션을 구매할 여유가 있는 것은 아니지만(그리고 해당 시스템의 관리자를 찾을 수는 있지만) 동시에 보안도 관리할 수 있습니다!

무료 운영 체제에 HAProxy 무료 버전을 설치하는 것은 전적으로 가능합니다. 안정적인 저장소에 있는 Debian 10, haproxy 버전 1.8.19에서 테스트했습니다. 또한 테스트 저장소의 버전 2.0.xx에서도 테스트했습니다.

데비안 자체 설정은 이 글의 범위를 벗어나도록 하겠습니다. 간단히 말해서, 흰색 인터페이스에서는 포트 443을 제외한 모든 항목을 닫고, 회색 인터페이스에서는 정책에 따라 포트 22를 제외한 모든 항목도 닫습니다. 업무에 꼭 필요한 부분만 열어주세요(예를 들어 유동IP의 경우 VRRP).

우선 SSL 브리징 모드(http 모드라고도 함)에서 haproxy를 구성하고 RDP 내부에서 무슨 일이 일어나고 있는지 확인하기 위해 로깅을 켰습니다. 말하자면, 나는 중간에 들어갔다. 따라서 RDGateway 설정에 대한 "모든" 문서에 지정된 /RDWeb 경로가 누락되었습니다. 존재하는 것은 /rpc/rpcproxy.dll 및 /remoteDesktopGateway/뿐입니다. 이 경우 표준 GET/POST 요청은 사용되지 않으며 고유한 요청 유형인 RDG_IN_DATA, RDG_OUT_DATA가 사용됩니다.

많지는 않지만 적어도 뭔가.

테스트해보자.

mstsc를 실행하고 서버로 이동하여 로그에서 401(인증되지 않은) 오류 200개를 확인한 다음 사용자 이름/비밀번호를 입력하고 XNUMX 응답을 확인합니다.

전원을 껐다가 다시 시작하면 로그에 동일한 401 오류가 401개 표시됩니다. 잘못된 로그인/비밀번호를 입력했는데 XNUMX 오류가 다시 XNUMX개 표시됩니다. 그게 제가 필요한 것입니다. 이것이 우리가 잡을 것입니다.

로그인 URL을 확인할 수 없었고 게다가 haproxy에서 401 오류를 잡는 방법을 모르기 때문에 모든 4xx 오류를 잡아내겠습니다(실제로 잡는 것이 아니라 계산합니다). 문제 해결에도 적합합니다.

보호의 핵심은 단위 시간당 4xx 오류(백엔드에서) 수를 계산하고 지정된 제한을 초과하는 경우 지정된 시간 동안 이 IP로부터의 모든 추가 연결을 (프론트엔드에서) 거부하는 것입니다. .

기술적으로 이는 비밀번호 무차별 대입에 대한 보호가 아니라 4xx 오류에 대한 보호입니다. 예를 들어, 존재하지 않는 URL(404)을 자주 요청하는 경우 보호 기능도 작동합니다.

가장 간단하고 효과적인 방법은 백엔드를 믿고 추가 항목이 나타나면 다시 보고하는 것입니다.

frontend fe_rdp_tsc
    bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
    mode http
    ...
    default_backend be_rdp_tsc


backend be_rdp_tsc
    ...
    mode http
    ...

    #создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
    stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
    #запомнить ip
    http-request track-sc0 src
    #запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
    http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
	
	...
    server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
    server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02

최선의 선택은 아닙니다. 복잡하게 만들어 보겠습니다. 우리는 백엔드를 믿고 프론트엔드를 차단할 것입니다.

우리는 공격자를 무례하게 대하고 그의 TCP 연결을 끊을 것입니다.

frontend fe_rdp_tsc
    bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
    mode http
    ...
    #создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
    stick-table type ip size 1k expire 15s store gpc0
    #взять источник
    tcp-request connection track-sc0 src
    #отклонить tcp соединение, если глобальный счётчик >0
    tcp-request connection reject if { sc0_get_gpc0 gt 0 }
	
    ...
    default_backend be_rdp_tsc


backend be_rdp_tsc
    ...
    mode http
    ...
	
    #создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
    stick-table type ip size 1k expire 15s store http_err_rate(10s)
    #много ошибок, если кол-во ошибок за 10 сек превысило 8
    acl errors_too_fast sc1_http_err_rate gt 8
    #пометить атаку в глобальном счётчике (увеличить счётчик)
    acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
    #обнулить глобальный счётчик
    acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
    #взять источник
    tcp-request content track-sc1 src
    #отклонить, пометить, что атака
    tcp-request content reject if errors_too_fast mark_as_abuser
    #разрешить, сбросить флажок атаки
    tcp-request content accept if !errors_too_fast clear_as_abuser
	
    ...
    server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
    server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02

똑같지만 정중하게 http 429(요청이 너무 많음) 오류를 반환합니다.

frontend fe_rdp_tsc
    ...
    stick-table type ip size 1k expire 15s store gpc0
    http-request track-sc0 src
    http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
    ...
    default_backend be_rdp_tsc

backend be_rdp_tsc
    ...
    stick-table type ip size 1k expire 15s store http_err_rate(10s)
    acl errors_too_fast sc1_http_err_rate gt 8
    acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
    acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
    http-request track-sc1 src
    http-request allow if !errors_too_fast clear_as_abuser
    http-request deny deny_status 429 if errors_too_fast mark_as_abuser
    ...

확인: mstsc를 시작하고 무작위로 비밀번호를 입력하기 시작합니다. 세 번째 시도 후 10초 이내에 다시 시작되고 mstsc에 오류가 발생합니다. 로그에서 볼 수 있듯이.

설명. 나는 haproxy 마스터와는 거리가 멀다. 예를 들어 왜 그런지 이해가 안 돼요.
http-request 거부 거부_상태 429 if { sc_http_err_rate(0) gt 4 }
작동하기 전에 약 10개의 실수를 할 수 있습니다.

카운터 번호가 헷갈리네요. haproxy의 주인님, 저를 보완해 주시고, 바로잡아 주시고, 더 좋게 만들어 주시면 기쁠 것입니다.

댓글을 통해 RD 게이트웨이를 보호하는 다른 방법을 제안할 수 있으며 연구해 보는 것도 흥미로울 것입니다.

Windows 원격 데스크톱 클라이언트(mstsc)와 관련하여 TLS1.2(적어도 Windows 7에서는)를 지원하지 않는다는 점에 주목할 가치가 있으므로 TLS1을 떠나야 했습니다. 는 현재 암호를 지원하지 않으므로 이전 암호도 그대로 두어야 했습니다.

아무것도 모르는 분들, 배우고 있는 분들, 이미 잘하고 싶은 분들을 위해 전체 구성을 알려드리겠습니다.

haproxy.conf

global
        log /dev/log    local0
        log /dev/log    local1 notice
        chroot /var/lib/haproxy
        stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
        stats timeout 30s
        user haproxy
        group haproxy
        daemon

        # Default SSL material locations
        ca-base /etc/ssl/certs
        crt-base /etc/ssl/private

        # See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
        #ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
        ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
        ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
        #ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
        ssl-default-bind-options no-sslv3
        ssl-server-verify none


defaults
        log     global
        mode    http
        option  httplog
        option  dontlognull
        timeout connect 5000
        timeout client  15m
        timeout server  15m
        errorfile 400 /etc/haproxy/errors/400.http
        errorfile 403 /etc/haproxy/errors/403.http
        errorfile 408 /etc/haproxy/errors/408.http
        errorfile 500 /etc/haproxy/errors/500.http
        errorfile 502 /etc/haproxy/errors/502.http
        errorfile 503 /etc/haproxy/errors/503.http
        errorfile 504 /etc/haproxy/errors/504.http


frontend fe_rdp_tsc
    bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
    mode http
    capture request header Host len 32
    log global
    option httplog
    timeout client 300s
    maxconn 1000

    stick-table type ip size 1k expire 15s store gpc0
    tcp-request connection track-sc0 src
    tcp-request connection reject if { sc0_get_gpc0 gt 0 }

    acl rdweb_domain hdr(host) -i beg dektop.example.com
    http-request deny deny_status 400 if !rdweb_domain
    default_backend be_rdp_tsc


backend be_rdp_tsc
    balance source
    mode http
    log global

    stick-table type ip size 1k expire 15s store http_err_rate(10s)
    acl errors_too_fast sc1_http_err_rate gt 8
    acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
    acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
    tcp-request content track-sc1 src
    tcp-request content reject if errors_too_fast mark_as_abuser
    tcp-request content accept if !errors_too_fast clear_as_abuser

    option forwardfor
    http-request add-header X-CLIENT-IP %[src]

    option httpchk GET /
    cookie RDPWEB insert nocache
    default-server inter 3s    rise 2  fall 3
    server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
    server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02


frontend fe_stats
    mode http
    bind *:8080
    acl ip_allow_admin src 192.168.66.66
    stats enable
    stats uri /stats
    stats refresh 30s
    #stats admin if LOCALHOST
    stats admin if ip_allow_admin

백엔드에 서버가 두 개인 이유는 무엇입니까? 이것이 내결함성을 만들 수 있는 방법이기 때문입니다. Haproxy는 떠다니는 흰색 IP로 두 개를 만들 수도 있습니다.

컴퓨팅 리소스: "XNUMX개의 기가, XNUMX개의 코어, 게이밍 PC"로 시작할 수 있습니다. 에 따르면 위키 백과 이 정도면 충분할 것입니다.

링크 :

HAProxy에서 rdp-gateway 설정
내가 찾은 유일한 기사는 그들이 비밀번호를 무차별 대입하여 시도한 것입니다.

출처 : habr.com

MS 원격 데스크톱 게이트웨이, HAProxy 및 비밀번호 무차별 대입

코멘트를 추가 답장을 취소