Venner, hei!
Det er mange måter å koble fra hjemmet til arbeidsområdet på kontoret. En av dem er å bruke Microsoft Remote Desktop Gateway. Dette er RDP over HTTP. Jeg vil ikke røre ved å sette opp selve RDGW her, jeg vil ikke diskutere hvorfor det er bra eller dårlig, la oss behandle det som et av fjerntilgangsverktøyene. Jeg vil snakke om å beskytte RDGW-serveren din mot det onde Internett. Da jeg satte opp RDGW-serveren, ble jeg umiddelbart bekymret for sikkerhet, spesielt beskyttelse mot brute force med passord. Jeg ble overrasket over at jeg ikke fant noen artikler på Internett om hvordan du gjør dette. Vel, du må gjøre det selv.
RDGW selv har ingen beskyttelse. Ja, den kan eksponeres med et bart grensesnitt til et hvitt nettverk, og det vil fungere utmerket. Men dette vil gjøre den rette administratoren eller informasjonssikkerhetsspesialisten urolig. I tillegg vil det tillate deg å unngå situasjonen med kontoblokkering, når en uforsiktig ansatt husket passordet for en bedriftskonto på hjemmedatamaskinen og deretter endret passordet.
En god måte å beskytte interne ressurser mot det ytre miljøet er gjennom ulike proxyer, publiseringssystemer og andre WAF-er. La oss huske at RDGW fortsatt er http, så ber det bare om å koble til en spesialisert løsning mellom interne servere og Internett.
Jeg vet at det er kule F5, A10, Netscaler(ADC). Som administrator av et av disse systemene vil jeg si at det også er mulig å sette opp beskyttelse mot brute force på disse systemene. Og ja, disse systemene vil også beskytte deg mot enhver synflom.
Men ikke alle bedrifter har råd til å kjøpe en slik løsning (og finne en administrator for et slikt system :), men samtidig kan de ta seg av sikkerheten!
Det er fullt mulig å installere en gratisversjon av HAProxy på et gratis operativsystem. Jeg testet på Debian 10, haproxy versjon 1.8.19 i det stabile depotet. Jeg testet den også på versjon 2.0.xx fra testlageret.
Vi vil la selve oppsettet av debian ligge utenfor rammen av denne artikkelen. Kort sagt: på det hvite grensesnittet, lukk alt unntatt port 443, på det grå grensesnittet - i henhold til retningslinjene dine, for eksempel, lukk alt unntatt port 22. Åpne bare det som er nødvendig for arbeid (VRRP for eksempel for flytende ip).
Først av alt konfigurerte jeg haproxy i SSL-bromodus (alias http-modus) og satte på logging for å se hva som foregikk inne i RDP. Så å si, jeg kom i midten. Så /RDWeb-banen som er spesifisert i "alle" artikler om oppsett av RDGateway mangler. Alt som er der er /rpc/rpcproxy.dll og /remoteDesktopGateway/. I dette tilfellet brukes ikke standard GET/POST-forespørsler; deres egen type forespørsel RDG_IN_DATA, RDG_OUT_DATA brukes.
Ikke mye, men i det minste noe.
La oss teste.
Jeg starter mstsc, går til serveren, ser fire 401 (uautoriserte) feil i loggene, skriver inn brukernavnet/passordet mitt og ser svaret 200.
Jeg slår den av, starter den på nytt, og i loggene ser jeg de samme fire 401-feilene. Jeg skriver inn feil pålogging/passord og ser igjen fire 401-feil. Det er det jeg trenger. Dette er hva vi vil fange.
Siden det ikke var mulig å bestemme påloggings-url, og dessuten ikke vet hvordan jeg fanger 401-feilen i haproxy, vil jeg fange (faktisk ikke fange, men telle) alle 4xx-feilene. Også egnet for å løse problemet.
Essensen av beskyttelsen vil være at vi vil telle antall 4xx-feil (på baksiden) per tidsenhet, og hvis den overskrider den spesifiserte grensen, så avvis (på frontenden) alle ytterligere tilkoblinger fra denne ip-en for den angitte tiden .
Teknisk sett vil ikke dette være beskyttelse mot passord brute force, det vil være beskyttelse mot 4xx feil. For eksempel, hvis du ofte ber om en ikke-eksisterende url (404), vil beskyttelsen også fungere.
Den enkleste og mest effektive måten er å stole på backend og rapportere tilbake hvis noe ekstra dukker opp:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Ikke det beste alternativet, la oss komplisere det. Vi vil stole på backend og blokk på frontend.
Vi vil behandle angriperen frekt og avbryte TCP-forbindelsen hans.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
det samme, men høflig vil vi returnere feilen http 429 (Too Many Requests)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Jeg sjekker: Jeg starter mstsc og begynner å skrive inn passord tilfeldig. Etter det tredje forsøket, innen 10 sekunder, sparker den meg tilbake, og mstsc gir en feilmelding. Som kan sees i loggene.
Forklaringer. Jeg er langt fra en haproxy-mester. Jeg skjønner ikke hvorfor f.eks
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
lar deg gjøre ca 10 feil før det fungerer.
Jeg er forvirret over nummereringen av tellerne. Mestere i haproxy, jeg vil være glad hvis du utfyller meg, korrigerer meg, gjør meg bedre.
I kommentarene kan du foreslå andre måter å beskytte RD Gateway på, det vil være interessant å studere.
Når det gjelder Windows Remote Desktop Client (mstsc), er det verdt å merke seg at den ikke støtter TLS1.2 (i hvert fall i Windows 7), så jeg måtte forlate TLS1; støtter ikke gjeldende chiffer, så jeg måtte også forlate de gamle.
For de som ikke forstår noe, bare lærer og allerede ønsker å gjøre det bra, vil jeg gi deg hele konfigurasjonen.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Hvorfor to servere på backend? For det er slik du kan lage feiltoleranse. Haproxy kan også lage to med en flytende hvit ip.
Dataressurser: du kan starte med "to gig, to kjerner, spill-PC." I følge
referanser:
Kilde: www.habr.com