Amigos, olá!
Há muitas maneiras de conectar-se de casa ao espaço de trabalho do escritório. Uma delas é usar o Microsoft Remote Desktop Gateway. Este é RDP sobre HTTP. Não quero tocar aqui na configuração do RDGW em si, não quero discutir por que é bom ou ruim, vamos tratá-lo como uma das ferramentas de acesso remoto. Quero falar sobre como proteger seu servidor RDGW da malvada Internet. Quando configurei o servidor RDGW, fiquei imediatamente preocupado com a segurança, especialmente com a proteção contra força bruta de senha. Fiquei surpreso por não encontrar nenhum artigo na Internet sobre como fazer isso. Bem, você terá que fazer isso sozinho.
O próprio RDGW não possui nenhuma proteção. Sim, ele pode ser exposto com uma interface simples a uma rede branca e funcionará muito bem. Mas isso deixará o administrador certo ou o especialista em segurança da informação desconfortável. Além disso, permitirá evitar a situação de bloqueio de conta, quando um funcionário descuidado lembrou a senha de uma conta corporativa em seu computador doméstico e alterou sua senha.
Uma boa maneira de proteger os recursos internos do ambiente externo é através de vários proxies, sistemas de publicação e outros WAFs. Lembremos que RDGW ainda é http, então apenas implora para conectar uma solução especializada entre servidores internos e a Internet.
Eu sei que existem F5, A10, Netscaler (ADC) legais. Como administrador de um desses sistemas, direi que também é possível configurar proteção contra força bruta nesses sistemas. E sim, esses sistemas também irão protegê-lo de qualquer inundação de sincronização.
Mas nem toda empresa pode adquirir tal solução (e encontrar um administrador para tal sistema :), mas ao mesmo tempo pode cuidar da segurança!
É perfeitamente possível instalar uma versão gratuita do HAProxy em um sistema operacional gratuito. Testei no Debian 10, haproxy versão 1.8.19 no repositório estável. Também testei na versão 2.0.xx do repositório de testes.
Deixaremos a configuração do próprio debian fora do escopo deste artigo. Resumidamente: na interface branca feche tudo exceto a porta 443, na interface cinza - de acordo com sua política, por exemplo, feche também tudo exceto a porta 22. Abra apenas o necessário para o trabalho (VRRP por exemplo, para ip flutuante).
Primeiro de tudo, configurei o haproxy no modo de ponte SSL (também conhecido como modo http) e ativei o registro para ver o que estava acontecendo dentro do RDP. Por assim dizer, entrei no meio. Portanto, o caminho /RDWeb especificado em “todos” os artigos sobre como configurar o RDGateway está faltando. Tudo o que existe é /rpc/rpcproxy.dll e /remoteDesktopGateway/. Neste caso, as solicitações GET/POST padrão não são usadas; seu próprio tipo de solicitação RDG_IN_DATA, RDG_OUT_DATA é usado.
Não muito, mas pelo menos alguma coisa.
Vamos testar.
Eu inicio o mstsc, vou para o servidor, vejo quatro erros 401 (não autorizados) nos logs, insiro meu nome de usuário/senha e vejo a resposta 200.
Desligo, inicio novamente e nos logs vejo os mesmos quatro erros 401. Insiro o login/senha errados e vejo novamente quatro erros 401. É disso que preciso. Isso é o que vamos pegar.
Como não foi possível determinar o URL de login e, além disso, não sei como capturar o erro 401 no haproxy, irei capturar (na verdade não capturar, mas contar) todos os erros 4xx. Também adequado para resolver o problema.
A essência da proteção será contar o número de erros 4xx (no back-end) por unidade de tempo e, se exceder o limite especificado, rejeitaremos (no front-end) todas as conexões adicionais deste IP pelo tempo especificado .
Tecnicamente, isso não será proteção contra força bruta de senha, será proteção contra erros 4xx. Por exemplo, se você solicita frequentemente um URL inexistente (404), a proteção também funcionará.
A maneira mais simples e eficaz é contar com o backend e reportar caso apareça algo extra:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Não é a melhor opção, vamos complicar. Contaremos com backend e bloquearemos no frontend.
Trataremos o invasor com grosseria e interromperemos sua conexão TCP.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
a mesma coisa, mas educadamente, retornaremos o erro http 429 (Too Many Requests)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Eu verifico: inicio o mstsc e começo a inserir senhas aleatoriamente. Após a terceira tentativa, em 10 segundos, ele me responde e o mstsc dá um erro. Como pode ser visto nos logs.
Explicações. Estou longe de ser um mestre haproxy. Não entendo por que, por exemplo
solicitação http negar deny_status 429 if { sc_http_err_rate(0) gt 4 }
permite que você cometa cerca de 10 erros antes de funcionar.
Estou confuso sobre a numeração dos contadores. Mestres da haproxy, ficarei feliz se vocês me complementarem, me corrigirem, me tornarem melhor.
Nos comentários você pode sugerir outras formas de proteger o RD Gateway, será interessante estudar.
Em relação ao Windows Remote Desktop Client (mstsc), vale ressaltar que ele não suporta TLS1.2 (pelo menos no Windows 7), então tive que deixar o TLS1; não suporta a cifra atual, então também tive que deixar as antigas.
Para quem não entende nada, está apenas aprendendo e já quer se sair bem, vou passar a configuração completa.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Por que dois servidores no backend? Porque é assim que você pode criar tolerância a falhas. O Haproxy também pode fazer dois com um ip branco flutuante.
Recursos de computação: você pode começar com “PC para jogos de dois gigabytes e dois núcleos”. De acordo com isso será suficiente para sobrar.
Links:
Fonte: habr.com