Prijatelji, pozdravljeni!
Obstaja veliko načinov za povezavo od doma do pisarniškega delovnega prostora. Eden od njih je uporaba prehoda Microsoft Remote Desktop Gateway. To je RDP prek HTTP. Tu se ne želim dotikati same nastavitve RDGW, ne želim razpravljati o tem, zakaj je dobra ali slaba, obravnavajmo jo kot eno od orodij za oddaljeni dostop. Želim govoriti o zaščiti vašega strežnika RDGW pred zlobnim internetom. Ko sem nastavil strežnik RDGW, me je takoj začela skrbeti varnost, zlasti zaščita pred grobo uporabo gesel. Presenečen sem bil, da na internetu nisem našel nobenega članka o tem, kako to storiti. No, to boste morali storiti sami.
Sam RDGW nima nobenih zaščit. Da, z golim vmesnikom ga je mogoče izpostaviti belemu omrežju in delovalo bo odlično. Toda to bo pravega skrbnika ali strokovnjaka za informacijsko varnost povzročilo nelagodje. Poleg tega se boste izognili situaciji blokade računa, ko si je nepreviden uslužbenec zapomnil geslo za račun podjetja na domačem računalniku in nato spremenil geslo.
Dober način za zaščito notranjih virov pred zunanjim okoljem so različni posredniki, sistemi za objavljanje in drugi WAF-ji. Spomnimo se, da je RDGW še vedno http, potem samo prosi, da priključite specializirano rešitev med notranje strežnike in internet.
Vem, da obstajajo kul F5, A10, Netscaler(ADC). Kot skrbnik enega od teh sistemov bom rekel, da je na teh sistemih možno nastaviti tudi zaščito pred brute force. In ja, ti sistemi vas bodo zaščitili tudi pred kakršno koli sin poplavo.
Sicer pa si vsako podjetje ne more privoščiti nakupa takšne rešitve (in najti skrbnika za tak sistem :), hkrati pa lahko poskrbi za varnost!
Povsem mogoče je namestiti brezplačno različico HAProxy na brezplačen operacijski sistem. Preizkusil sem na Debianu 10, različica haproxy 1.8.19 v stabilnem repozitoriju. Preizkusil sem ga tudi na različici 2.0.xx iz testnega repozitorija.
Samo nastavitev debiana bomo pustili zunaj obsega tega članka. Na kratko: na belem vmesniku zaprite vse razen porta 443, na sivem vmesniku - po vaši politiki npr. prav tako zaprite vse razen porta 22. Odprite samo tisto, kar je potrebno za delo (VRRP na primer za plavajoči ip).
Najprej sem konfiguriral haproxy v načinu premostitve SSL (aka http način) in vklopil beleženje, da vidim, kaj se dogaja znotraj RDP. Tako rekoč prišel sem na sredino. Torej manjka pot /RDWeb, podana v »vseh« člankih o nastavitvi RDGateway. Vse, kar je tam, sta /rpc/rpcproxy.dll in /remoteDesktopGateway/. V tem primeru se ne uporabljajo standardne zahteve GET/POST, ampak se uporablja lasten tip zahteve RDG_IN_DATA, RDG_OUT_DATA.
Ne veliko, a vsaj nekaj.
Testirajmo.
Zaženem mstsc, grem na strežnik, v dnevnikih vidim štiri napake 401 (unauthorized), nato vnesem svoje uporabniško ime/geslo in vidim odgovor 200.
Izklopim ga, znova zaženem in v dnevnikih vidim iste štiri napake 401. Vnesem napačno prijavo/geslo in znova vidim štiri napake 401. To je tisto, kar potrebujem. To je tisto, kar bomo ujeli.
Ker ni bilo mogoče določiti prijavnega url-ja, poleg tega pa ne vem, kako ujeti napako 401 v haproxyju, bom ujel (ne dejansko ujel, ampak preštel) vse napake 4xx. Primeren tudi za rešitev problema.
Bistvo zaščite bo v tem, da bomo prešteli število napak 4xx (na backendu) na časovno enoto in če bo preseglo navedeno mejo, potem zavrnili (na frontendu) vse nadaljnje povezave s tega ip-ja za določen čas. .
Tehnično to ne bo zaščita pred surovo uporabo gesla, ampak zaščita pred napakami 4xx. Na primer, če pogosto zahtevate neobstoječ url (404), bo tudi zaščita delovala.
Najenostavnejši in najučinkovitejši način je, da se zanesete na zaledje in poročate, če se pojavi kaj dodatnega:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Ni najboljša možnost, zakomplicirajmo. Računali bomo na backend in blokirali na frontend.
Z napadalcem bomo ravnali nesramno in prekinili njegovo povezavo TCP.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
ista stvar, vendar vljudno, vrnili bomo napako http 429 (preveč zahtev)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Obkljukam: zaženem mstsc in začnem naključno vnašati gesla. Po tretjem poskusu me v 10 sekundah brcne nazaj in mstsc izda napako. Kot je razvidno iz dnevnikov.
Pojasnila. Daleč sem od haproxy mojstra. Ne razumem zakaj je npr
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
vam omogoča, da naredite približno 10 napak, preden začne delovati.
Zmeden sem glede oštevilčenja števcev. Mojstri haproxyja, vesel bom, če me boste dopolnili, popravili, izboljšali.
V komentarjih lahko predlagate druge načine za zaščito RD Gateway, zanimivo bo preučiti.
Kar zadeva Windows Remote Desktop Client (mstsc), velja omeniti, da ne podpira TLS1.2 (vsaj v Windows 7), zato sem moral zapustiti TLS1; ne podpira trenutne šifre, zato sem moral tudi zapustiti stare.
Za tiste, ki ne razumete ničesar, se šele učite in že želite dobro delati, vam bom dal celotno konfiguracijo.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Zakaj dva strežnika na zaledju? Ker tako lahko ustvarite toleranco za napake. Haproxy lahko naredi tudi dva s plavajočim belim ip-jem.
Računalniški viri: začnete lahko z "dva koncerta, dve jedri, igralni računalnik." Po navedbah to bo dovolj za rezervo.
Reference:
Vir: www.habr.com