Draugi, sveiki!
Ir daudz veidu, kā izveidot savienojumu no mājām ar biroja darbvietu. Viens no tiem ir izmantot Microsoft Remote Desktop Gateway. Tas ir RDP, izmantojot HTTP. Es nevēlos šeit pieskarties pašas RDGW iestatīšanai, es nevēlos apspriest, kāpēc tas ir labi vai slikti, uzskatīsim to par vienu no attālās piekļuves rīkiem. Es vēlos runāt par jūsu RDGW servera aizsardzību no ļaunā interneta. Kad es iestatīju RDGW serveri, es uzreiz satraucos par drošību, īpaši aizsardzību pret paroles brutālu spēku. Biju pārsteigts, ka internetā neatradu nevienu rakstu par to, kā to izdarīt. Nu, tas būs jādara pašam.
Pašam RDGW nav nekādu aizsardzības. Jā, to var eksponēt ar tukšu saskarni baltajam tīklam, un tas darbosies lieliski. Bet tas padarīs nemierīgu pareizo administratoru vai informācijas drošības speciālistu. Turklāt tas ļaus izvairīties no konta bloķēšanas situācijas, kad neuzmanīgs darbinieks savā mājas datorā atcerējās uzņēmuma konta paroli un pēc tam nomainīja paroli.
Labs veids, kā aizsargāt iekšējos resursus no ārējās vides, ir dažādi starpniekserveri, publicēšanas sistēmas un citi WAF. Atcerēsimies, ka RDGW joprojām ir http, tad tas tikai lūdz pieslēgt specializētu risinājumu starp iekšējiem serveriem un internetu.
Es zinu, ka ir forši F5, A10, Netscaler(ADC). Kā vienas no šīm sistēmām administrators teikšu, ka šajās sistēmās ir iespējams arī iestatīt aizsardzību pret brutālu spēku. Un jā, šīs sistēmas arī pasargās jūs no jebkuriem sin plūdiem.
Bet ne katrs uzņēmums var atļauties iegādāties šādu risinājumu (un atrast administratoru šādai sistēmai :), bet tajā pašā laikā viņi var parūpēties par drošību!
Bezmaksas HAProxy versiju ir pilnīgi iespējams instalēt bezmaksas operētājsistēmā. Es pārbaudīju Debian 10, haproxy versiju 1.8.19 stabilajā repozitorijā. Es to pārbaudīju arī versijā 2.0.xx no testēšanas repozitorija.
Pašu debian iestatīšanu mēs atstāsim ārpus šī raksta darbības jomas. Īsumā: baltajā saskarnē aizveriet visu, izņemot portu 443, pelēkajā interfeisā - saskaņā ar jūsu politiku, piemēram, aizveriet arī visu, izņemot portu 22. Atveriet tikai to, kas nepieciešams darbam (VRRP piemēram, peldošajam ip).
Pirmkārt, es konfigurēju haproxy SSL savienojuma režīmā (aka http režīmā) un ieslēdzu reģistrēšanu, lai redzētu, kas notiek RDP. Tā teikt, es nokļuvu pa vidu. Tātad trūkst /RDWeb ceļa, kas norādīts “visos” rakstos par RDGateway iestatīšanu. Viss, kas tur ir, ir /rpc/rpcproxy.dll un /remoteDesktopGateway/. Šajā gadījumā standarta GET/POST pieprasījumi netiek izmantoti; tiek izmantots viņu pašu pieprasījuma veids RDG_IN_DATA, RDG_OUT_DATA.
Nav daudz, bet vismaz kaut kas.
Pārbaudīsim.
Palaižu mstsc, dodos uz serveri, žurnālos redzu četras 401 (nesankcionētas) kļūdas, pēc tam ievadu savu lietotājvārdu/paroli un redzu atbildi 200.
Es to izslēdzu, sāku no jauna, un žurnālos redzu tās pašas četras kļūdas 401. Ievadu nepareizu pieteikumvārdu/paroli un atkal redzu četras 401 kļūdas. Tas ir tas, kas man vajadzīgs. Tas ir tas, ko mēs noķersim.
Tā kā nebija iespējams noteikt pieteikšanās URL, un turklāt es nezinu, kā noķert kļūdu 401 haproxy, es noķeršu (faktiski nevis noķeršu, bet saskaitīšu) visas 4xx kļūdas. Piemērots arī problēmas risināšanai.
Aizsardzības būtība būs tāda, ka saskaitīsim 4xx kļūdu skaitu (backend) laika vienībā un, ja tas pārsniegs noteikto limitu, tad noraidīsim (frontendā) visus turpmākos savienojumus no šī ip uz norādīto laiku. .
Tehniski šī nebūs aizsardzība pret paroles brutālu spēku, tā būs aizsardzība pret 4xx kļūdām. Piemēram, ja jūs bieži pieprasāt neesošu URL (404), arī aizsardzība darbosies.
Vienkāršākais un efektīvākais veids ir paļauties uz aizmugursistēmu un ziņot, ja parādās kaut kas papildu:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Nav labākais variants, sarežģīsim. Mēs rēķināsimies ar aizmuguri un bloķēsim priekšgalā.
Mēs pret uzbrucēju izturēsimies rupji un pārtrauksim viņa TCP savienojumu.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
tas pats, bet pieklājīgi, mēs atgriezīsim kļūdu http 429 (Pārāk daudz pieprasījumu)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Es pārbaudu: es palaižu mstsc un sāku nejauši ievadīt paroles. Pēc trešā mēģinājuma 10 sekunžu laikā tas mani atgrūž, un mstsc parāda kļūdu. Kā redzams žurnālos.
Paskaidrojumi. Es esmu tālu no haproxy meistara. Es nesaprotu, kāpēc, piemēram
http-pieprasījums noliegt deny_status 429 if { sc_http_err_rate(0) gt 4}
ļauj pieļaut apmēram 10 kļūdas, pirms tas darbojas.
Esmu neizpratnē par skaitītāju numerāciju. Haproxy meistari, priecāšos, ja jūs mani papildināsiet, labosiet, padarīsiet labāku.
Komentāros varat ieteikt citus veidus kā aizsargāt RD Gateway, būs interesanti papētīt.
Attiecībā uz Windows Remote Desktop Client (mstsc) ir vērts atzīmēt, ka tas neatbalsta TLS1.2 (vismaz operētājsistēmā Windows 7), tāpēc man bija jāatstāj TLS1; neatbalsta pašreizējo šifru, tāpēc man arī bija jāatstāj vecie.
Tiem, kas neko nesaprot, tikai mācās un jau vēlas darīt labi, es jums sniegšu visu konfigurāciju.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Kāpēc aizmugursistēmā ir divi serveri? Jo šādi jūs varat izveidot kļūdu toleranci. Haproxy var izveidot arī divus ar peldošu baltu ip.
Skaitļošanas resursi: varat sākt ar “divi koncerti, divi kodoli, spēļu dators”. Saskaņā ar ar to pietiks.
Saites:
Avots: www.habr.com