دوستو، سلام!
گهر کان توهان جي آفيس جي ڪم جي جڳهه سان ڳنڍڻ جا ڪيترائي طريقا آهن. انهن مان هڪ آهي Microsoft Remote Desktop Gateway استعمال ڪرڻ. هي HTTP تي RDP آهي. مان هتي RDGW قائم ڪرڻ تي پاڻ کي هٿ ڪرڻ نٿو چاهيان، مان بحث ڪرڻ نٿو چاهيان ته اهو سٺو يا خراب ڇو آهي، اچو ته ان کي ريموٽ رسائي واري اوزار مان هڪ سمجهون. مان توهان جي RDGW سرور کي برائي انٽرنيٽ کان بچائڻ بابت ڳالهائڻ چاهيان ٿو. جڏهن مون RDGW سرور قائم ڪيو، مون کي فوري طور تي سيڪيورٽي بابت، خاص طور تي پاسورڊ برٽ فورس جي خلاف تحفظ جي باري ۾ ڳڻتي ٿي. مون کي حيرت ٿي ته مون کي انٽرنيٽ تي ڪو به مضمون نه مليو ته اهو ڪيئن ڪجي. خير، توهان کي اهو پاڻ ڪرڻو پوندو.
RDGW پاڻ کي ڪو به تحفظ نه آهي. ها، اهو هڪ سفيد نيٽ ورڪ تي ننگي انٽرفيس سان بي نقاب ٿي سگهي ٿو ۽ اهو عظيم ڪم ڪندو. پر اهو صحيح منتظم يا انفارميشن سيڪيورٽي ماهر کي بيچيني ڪندو. ان کان سواء، اهو توهان کي اڪائونٽ بلاڪ ڪرڻ جي صورتحال کان بچڻ جي اجازت ڏيندو، جڏهن هڪ بي پرواهه ملازم پنهنجي گهر جي ڪمپيوٽر تي ڪارپوريٽ اڪائونٽ لاء پاسورڊ ياد ڪيو، ۽ پوء هن جو پاسورڊ تبديل ڪيو.
اندروني وسيلن کي ٻاهرين ماحول کان بچائڻ جو هڪ سٺو طريقو مختلف پراڪسيز، پبلشنگ سسٽم، ۽ ٻين WAFs ذريعي آهي. اچو ته ياد رکون ته RDGW اڃا تائين http آهي، پوء اهو صرف اندروني سرورز ۽ انٽرنيٽ جي وچ ۾ هڪ خاص حل پلگ ان ڪرڻ جي درخواست ڪري ٿو.
مون کي خبر آهي ته هتي سٺا F5، A10، Netscaler (ADC) آهن. انهن مان هڪ سسٽم جي منتظم جي حيثيت ۾، مان اهو چوندس ته اهو پڻ ممڪن آهي ته انهن سسٽم تي وحشي قوت جي خلاف تحفظ قائم ڪرڻ. ۽ ها، اهي سسٽم پڻ توهان کي ڪنهن به سيلاب کان بچائي سگهندا.
پر هر ڪمپني اهڙي حل خريد ڪرڻ جي متحمل نه ٿي سگهي (۽ اهڙي نظام لاء منتظم ڳوليو :)، پر ساڳئي وقت اهي سيڪيورٽي جو خيال رکي سگهن ٿا!
اهو مڪمل طور تي ممڪن آهي ته HAProxy جو هڪ مفت نسخو انسٽال ڪرڻ هڪ مفت آپريٽنگ سسٽم تي. مون ڊيبين 10 تي آزمائي ڪئي، هيپروسي ورزن 1.8.19 مستحڪم مخزن ۾. مون ان کي ورزن 2.0.xx تي ٽيسٽنگ ريپوزٽري مان پڻ آزمايو.
اسان هن آرٽيڪل جي دائري کان ٻاهر ڊيبين کي ترتيب ڏيڻ ڇڏينداسين. مختصر طور: سفيد انٽرفيس تي، بندرگاهه 443 کان سواءِ سڀ ڪجهه بند ڪريو، گرين انٽرفيس تي - توهان جي پاليسي مطابق، مثال طور، بندرگاهه 22 کان سواءِ سڀ ڪجهه بند ڪريو. کوليو صرف جيڪو ڪم لاءِ ضروري آهي (VRRP مثال طور، سچل ip لاءِ).
سڀ کان پهريان، مون هاپروڪسي کي SSL برجنگ موڊ ۾ ترتيب ڏنو (اڪا http موڊ) ۽ ڏسڻ لاءِ لاگنگ آن ڪيو RDP اندر ڇا ٿي رهيو آهي. سو ڳالهائڻ لاءِ، مان وچ ۾ پئجي ويس. تنهن ڪري، آر ڊي گيٽ وي کي ترتيب ڏيڻ تي "سڀني" مضمونن ۾ بيان ڪيل /RDWeb رستو غائب آهي. اهو سڀ ڪجهه آهي /rpc/rpcproxy.dll ۽ /remoteDesktopGateway/. انهي صورت ۾، معياري GET/POST درخواستون استعمال نه ڪيون ويون آهن؛ انهن جي پنهنجي قسم جي درخواست RDG_IN_DATA، RDG_OUT_DATA استعمال ٿيل آهي.
گهڻو نه، پر گهٽ ۾ گهٽ ڪجهه.
اچو ته امتحان وٺون.
مان mstsc لانچ ڪيو، سرور ڏانھن وڃو، لاگز ۾ چار 401 (غير مجاز) غلطيون ڏسو، پوء منھنجي يوزرنيم/پاسورڊ داخل ڪريو ۽ جواب 200 ڏسو.
مان ان کي بند ڪريان ٿو، ان کي ٻيهر شروع ڪريو، ۽ لاگس ۾ مون کي ساڳيا چار 401 غلطيون نظر اچن ٿيون. مون غلط لاگ ان/پاسورڊ داخل ڪيو ۽ ٻيهر چار 401 غلطيون ڏسو. اھو اھو آھي جيڪو مون کي گھرجي. اهو آهي جيڪو اسان پڪڙينداسين.
جيئن ته لاگ ان url کي طئي ڪرڻ ممڪن نه هو، ۽ ان کان علاوه، مون کي خبر ناهي ته ڪيئن پڪڙي 401 غلطي haproxy ۾، مان پڪڙيندس (اصل ۾ نه پڪڙي، پر ڳڻيو) سڀ 4xx غلطيون. مسئلو حل ڪرڻ لاء پڻ مناسب.
تحفظ جو خلاصو اهو هوندو ته اسان 4xx غلطين جو تعداد شمار ڪنداسين (پٺاڻ تي) في يونٽ وقت ۽ جيڪڏهن اهو مخصوص حد کان وڌي وڃي ته پوءِ رد ڪريون (فرنٽ اينڊ تي) هن ip کان وڌيڪ ڪنيڪشن مخصوص وقت لاءِ. .
ٽيڪنيڪل طور تي، هي پاسورڊ برٽ فورس جي خلاف تحفظ نه هوندو، اهو 4xx غلطين جي خلاف تحفظ هوندو. مثال طور، جيڪڏهن توهان اڪثر غير موجود url (404) جي درخواست ڪندا آهيو، ته پوءِ تحفظ به ڪم ڪندو.
سڀ کان آسان ۽ مؤثر طريقو آهي پس منظر تي ڳڻڻ ۽ واپس رپورٽ ڪرڻ جيڪڏهن ڪا به اضافي شيءِ ظاهر ٿئي ٿي:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
بهترين اختيار نه آهي، اچو ته ان کي پيچيده ڪريون. اسان پس منظر تي شمار ڪنداسين ۽ فرنٽ اينڊ تي بلاڪ.
اسان حملي آور سان بدتميزي سان سلوڪ ڪنداسين ۽ سندس TCP ڪنيڪشن ختم ڪنداسين.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
ساڳي شيء، پر شائستگي سان، اسان غلطي واپس ڪنداسين http 429 (تمام گهڻيون درخواستون)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
مان چيڪ ڪريو: مان mstsc شروع ڪريان ٿو ۽ بي ترتيب سان پاسورڊ داخل ڪرڻ شروع ڪريان ٿو. ٽين ڪوشش کان پوء، 10 سيڪنڊن اندر اهو مون کي واپس ڪڪي ٿو، ۽ mstsc هڪ غلطي ڏئي ٿو. جيئن لکين ۾ ڏسي سگھجي ٿو.
وضاحتون. مان هڪ هاپروڪسي ماسٽر کان پري آهيان. مون کي سمجھ ۾ نه ٿو اچي ڇو، مثال طور
http-درخواست رد ڪريو deny_status 429 if { sc_http_err_rate(0) gt 4 }
توهان کي ڪم ڪرڻ کان پهريان اٽڪل 10 غلطيون ڪرڻ جي اجازت ڏئي ٿي.
مان ڳڻپيندڙن جي تعداد بابت پريشان آهيان. هاپروڪسي جا ماسٽر، مون کي خوشي ٿيندي جيڪڏهن توهان مون کي پورو ڪيو، مون کي درست ڪريو، مون کي بهتر بڻائي.
تبصرن ۾ توهان آر ڊي گيٽ وي جي حفاظت لاء ٻيا طريقا تجويز ڪري سگهو ٿا، اهو مطالعو ڪرڻ لاء دلچسپ هوندو.
ونڊوز ريموٽ ڊيسڪ ٽاپ ڪلائنٽ (mstsc) جي حوالي سان، اهو نوٽ ڪرڻ جي قابل آهي ته اهو TLS1.2 کي سپورٽ نٿو ڪري (گهٽ ۾ گهٽ ونڊوز 7 ۾)، تنهنڪري مون کي TLS1 ڇڏڻو پيو؛ موجوده cipher کي سپورٽ نٿو ڪري، تنهنڪري مون کي به پراڻن کي ڇڏڻو پيو.
انهن لاءِ جيڪي ڪجھ به نه ٿا سمجھن، صرف سکيا آھن، ۽ اڳ ۾ ئي سٺو ڪرڻ چاھين ٿا، مان توھان کي پوري ترتيب ڏيندس.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
پس منظر تي ٻه سرور ڇو؟ ڇو ته هي ڪيئن توهان غلطي برداشت ڪري سگهو ٿا. Haproxy هڪ سچل اڇو ip سان پڻ ٻه ٺاهي سگھي ٿو.
ڪمپيوٽنگ جا وسيلا: توھان شروع ڪري سگھو ٿا "ٻه گيگ، ٻه ڪور، گیمنگ پي سي." جي مطابق اهو بچائڻ لاء ڪافي ٿيندو.
حوالا:
جو ذريعو: www.habr.com