ملګرو سلام!
د کور څخه ستاسو د دفتر کاري ځای سره د نښلولو لپاره ډیری لارې شتون لري. یو له دوی څخه د مایکروسافټ ریموټ ډیسټاپ ګیټ وے کارول دي. دا د HTTP په اړه RDP دی. زه نه غواړم دلته پخپله د RDGW تنظیم کولو په اړه اړیکه ونیسم، زه نه غواړم بحث وکړم چې ولې دا ښه یا بد دی، راځئ چې دا د لرې لاسرسي وسیلو په توګه چلند وکړو. زه غواړم ستاسو د RDGW سرور د بد انټرنیټ څخه د ساتنې په اړه وغږیږم. کله چې ما د RDGW سرور تنظیم کړ، زه سمدلاسه د امنیت په اړه اندیښمن شوم، په ځانګړې توګه د پټنوم وحشي ځواک په وړاندې محافظت. زه حیران وم چې ما د دې کولو څرنګوالي په اړه په انټرنیټ کې هیڅ مقاله ونه موندله. ښه، تاسو باید دا پخپله وکړئ.
RDGW پخپله هیڅ محافظت نلري. هو، دا د سپینې شبکې ته د بې ځایه انٹرفیس سره ښکاره کیدی شي او دا به ښه کار وکړي. مګر دا به سم مدیر یا د معلوماتو امنیت متخصص ناامنه کړي. سربیره پردې ، دا به د اکاونټ بلاک کولو وضعیت څخه مخنیوی وکړي ، کله چې یو بې پروا کارمند په خپل کور کمپیوټر کې د کارپوریټ حساب لپاره پاسورډ یاد کړ او بیا یې خپل پاسورډ بدل کړ.
د بهرني چاپیریال څخه د داخلي سرچینو د ساتنې لپاره یوه ښه لار د مختلف پراکسيونو، خپرونو سیسټمونو، او نورو WAFs له لارې ده. راځئ چې په یاد ولرو چې RDGW لاهم http دی، بیا دا یوازې د داخلي سرورونو او انټرنیټ ترمنځ د ځانګړي حل پلګ کولو غوښتنه کوي.
زه پوهیږم چې ښه F5، A10، Netscaler (ADC) شتون لري. د دې سیسټمونو څخه د یو مدیر په توګه ، زه به ووایم چې دا هم امکان لري چې پدې سیسټمونو کې د وحشي ځواک پروړاندې محافظت رامینځته شي. او هو، دا سیسټمونه به تاسو د هرډول سیلاب څخه هم ساتي.
مګر هر شرکت نشي کولی دا ډول حل واخلي (او د داسې سیسټم لپاره مدیر ومومي :)، مګر په ورته وخت کې دوی کولی شي امنیت ته پاملرنه وکړي!
دا په بشپړ ډول ممکنه ده چې په وړیا عملیاتي سیسټم کې د HAProxy وړیا نسخه نصب کړئ. ما په ډیبیان 10 کې ازموینه وکړه ، د هاپروکسي نسخه 1.8.19 په مستحکم ذخیره کې. ما دا د ازموینې ذخیره څخه په 2.0.xx نسخه کې هم ازموینه کړې.
موږ به د دې مقالې له ساحې بهر پخپله د دیبیان تنظیم کول پریږدو. په لنډه توګه: په سپینه انٹرفیس کې ، د پورټ 443 پرته هرڅه وتړئ ، په خړ انٹرفیس کې - ستاسو د پالیسۍ مطابق ، د مثال په توګه ، د پورټ 22 پرته هرڅه وتړئ. یوازې هغه څه خلاص کړئ چې د کار لپاره اړین وي (VRRP د مثال په توګه ، د تیرولو ip لپاره).
له هرڅه دمخه ، ما هاپروکسي په SSL برجنګ حالت کې تنظیم کړ (aka http mode) او لاګنګ یې پیل کړ ترڅو وګورم چې د RDP دننه څه روان دي. نو د خبرو کولو لپاره، زه مینځ ته راغلم. نو، د /RDWeb لاره چې د RDGateway تنظیم کولو په اړه "ټولو" مقالو کې مشخص شوي ورک دي. ټول هغه څه دي /rpc/rpcproxy.dll او /remoteDesktopGateway/. په دې حالت کې، معیاري GET/POST غوښتنې نه کارول کیږي؛ د دوی د غوښتنې ډول RDG_IN_DATA، RDG_OUT_DATA کارول کیږي.
ډیر نه، مګر لږترلږه یو څه.
راځئ چې ازموینه وکړو.
زه mstsc پیلوم، سرور ته لاړ شم، په لاګونو کې څلور 401 (غیر مجاز) تېروتنې وګورئ، بیا زما کارن-نوم / پټنوم دننه کړئ او ځواب 200 وګورئ.
زه یې بند کړم، بیا یې پیل کړم، او په لاګونو کې زه ورته څلور 401 تېروتنې وینم. زه غلط ننوت/پاسورډ داخلوم او بیا څلور 401 تېروتنې ګورم، دا هغه څه دي چې زه ورته اړتیا لرم. دا هغه څه دي چې موږ به یې ونیسو.
څرنګه چې دا ممکنه نه وه چې د ننوتلو یو آر ایل وټاکم، او سربیره پردې، زه نه پوهیږم چې څنګه په هاپروکسي کې د 401 تېروتنه ونیسئ، زه به ټول 4xx غلطی ونیسم (په حقیقت کې نه نیول، مګر شمیرل). د ستونزې د حل لپاره هم مناسب.
د محافظت جوهر به دا وي چې موږ به د وخت په هر واحد کې د 4xx غلطیو شمیر (په شاتنۍ برخه کې) حساب کړو او که چیرې دا له ټاکل شوي حد څخه تیریږي ، نو د ټاکل شوي وخت لپاره د دې ip څخه نور ټولې اړیکې رد کړئ (په مخکینۍ برخه کې) .
په تخنیکي توګه، دا به د پټنوم وحشي ځواک په وړاندې محافظت نه وي، دا به د 4xx غلطیو په وړاندې محافظت وي. د مثال په توګه، که تاسو ډیری وختونه د غیر موجود url (404) غوښتنه وکړئ، نو بیا به محافظت هم کار وکړي.
ترټولو ساده او خورا مؤثره لاره دا ده چې په شاتنۍ برخه کې حساب وکړئ او که کوم اضافي څرګند شي بیرته راپور ورکړئ:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
غوره انتخاب نه دی، راځئ چې دا پیچلې کړو. موږ به په شاتنۍ برخه کې حساب وکړو او په مخکینۍ برخه کې بلاک کړو.
موږ به د برید کوونکي سره بد چلند وکړو او د هغه د TCP اړیکه به پرې کړو.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
ورته شی، مګر په نرمۍ سره، موږ به تېروتنه بیرته راګرځوو http 429 (ډیری غوښتنې)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
زه ګورم: زه mstsc پیلوم او په تصادفي ډول د پاسورډونو داخلول پیل کوم. د دریمې هڅې وروسته، په 10 ثانیو کې دا ما بیرته راکاږي، او mstsc یوه تېروتنه ورکوي. لکه څنګه چې په لوګو کې لیدل کیدی شي.
توضیحات. زه د هاپروکسي ماسټر څخه لرې یم. زه نه پوهیږم ولې، د مثال په توګه
http-غوښتنه رد کړئ deny_status 429 که {sc_http_err_rate(0) gt 4 }
تاسو ته اجازه درکوي د کار کولو دمخه شاوخوا 10 غلطۍ وکړئ.
زه د شمیرونکو شمیرې په اړه مغشوش یم. د هاپروکسي ماسټران ، زه به خوښ شم که تاسو ما بشپړ کړئ ، ما سم کړئ ، ما ښه کړئ.
په نظرونو کې تاسو کولی شئ د RD ګیټ وے د ساتنې لپاره نورې لارې وړاندیز کړئ، دا به د مطالعې لپاره په زړه پورې وي.
د وینډوز ریموټ ډیسټاپ پیرودونکي (mstsc) په اړه ، دا د یادونې وړ ده چې دا د TLS1.2 ملاتړ نه کوي (لږترلږه په وینډوز 7 کې) ، نو زه باید TLS1 پریږدم؛ د اوسني سیفر ملاتړ نه کوي، نو زه هم باید زاړه پریږدم.
د هغو کسانو لپاره چې په هیڅ نه پوهیږي، یوازې زده کړه کوي، او مخکې له دې چې ښه کار وکړي، زه به تاسو ته ټول ترتیب درکړم.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
ولې په پس منظر کې دوه سرورونه؟ ځکه چې دا څنګه تاسو کولی شئ د غلطۍ زغم پیدا کړئ. هاپروکسي کولی شي دوه د تیر شوي سپینې ip سره هم رامینځته کړي.
د کمپیوټر سرچینې: تاسو کولی شئ د "دوه ګیګ، دوه کور، د لوبو کمپیوټر" سره پیل کړئ. په وینا د دا به د خلاصون لپاره کافي وي.
سرچینې:
سرچینه: www.habr.com