Miqtë, përshëndetje!
Ka shumë mënyra për t'u lidhur nga shtëpia në zyrën tuaj të punës. Një prej tyre është përdorimi i Portës së Desktopit në distancë të Microsoft. Ky është RDP mbi HTTP. Nuk dua të prek konfigurimin e vetë RDGW këtu, nuk dua të diskutoj pse është i mirë apo i keq, le ta trajtojmë atë si një nga mjetet e aksesit në distancë. Unë dua të flas për mbrojtjen e serverit tuaj RDGW nga Interneti i keq. Kur konfigurova serverin RDGW, u shqetësova menjëherë për sigurinë, veçanërisht mbrojtjen kundër forcës brutale të fjalëkalimit. U habita që nuk gjeta ndonjë artikull në internet se si ta bëj këtë. Epo, do të duhet ta bëni vetë.
Vetë RDGW nuk ka asnjë mbrojtje. Po, mund të ekspozohet me një ndërfaqe të zhveshur në një rrjet të bardhë dhe do të funksionojë shkëlqyeshëm. Por kjo do ta bëjë të shqetësuar administratorin ose specialistin e duhur të sigurisë së informacionit. Përveç kësaj, do t'ju lejojë të shmangni situatën e bllokimit të llogarisë, kur një punonjës i pakujdesshëm kujtoi fjalëkalimin për një llogari të korporatës në kompjuterin e tij të shtëpisë dhe më pas ndryshoi fjalëkalimin e tij.
Një mënyrë e mirë për të mbrojtur burimet e brendshme nga mjedisi i jashtëm është përmes përfaqësuesve të ndryshëm, sistemeve të publikimit dhe WAF-ve të tjera. Le të kujtojmë se RDGW është ende http, atëherë thjesht kërkon të lidhet një zgjidhje e specializuar midis serverëve të brendshëm dhe Internetit.
Unë e di që ka F5, A10, Netscaler (ADC) të lezetshme. Si administrator i njërit prej këtyre sistemeve, do të them se është gjithashtu e mundur të vendoset mbrojtje kundër forcës brutale në këto sisteme. Dhe po, këto sisteme do t'ju mbrojnë gjithashtu nga çdo përmbytje sin.
Por jo çdo kompani mund të përballojë të blejë një zgjidhje të tillë (dhe të gjejë një administrator për një sistem të tillë :), por në të njëjtën kohë ata mund të kujdesen për sigurinë!
Është plotësisht e mundur të instaloni një version falas të HAProxy në një sistem operativ falas. Kam testuar në Debian 10, version haproksi 1.8.19 në depon e qëndrueshme. Unë gjithashtu e testova atë në versionin 2.0.xx nga depoja e testimit.
Ne do ta lëmë vetë konfigurimin e debian jashtë objektit të këtij artikulli. Shkurtimisht: në ndërfaqen e bardhë, mbyllni gjithçka përveç portit 443, në ndërfaqen gri - sipas politikës suaj, për shembull, mbyllni gjithashtu gjithçka përveç portit 22. Hapni vetëm atë që është e nevojshme për punë (VRRP për shembull, për ip lundrues).
Para së gjithash, konfigurova haproksinë në modalitetin e urës SSL (aka modaliteti http) dhe aktivizova regjistrimin për të parë se çfarë po ndodhte brenda RDP. Si të thuash, u futa në mes. Pra, rruga /RDWeb e specifikuar në "të gjithë" artikujt për konfigurimin e RDGateway mungon. Gjithçka që është atje është /rpc/rpcproxy.dll dhe /remoteDesktopGateway/. Në këtë rast, kërkesat standarde GET/POST nuk përdoren; përdoret lloji i tyre i kërkesës RDG_IN_DATA, RDG_OUT_DATA.
Jo shumë, por të paktën diçka.
Le të testojmë.
Hap mstsc, shkoj te serveri, shoh katër gabime 401 (të paautorizuara) në regjistrat, më pas fut emrin e përdoruesit/fjalëkalimin tim dhe shoh përgjigjen 200.
E fik, e nis përsëri dhe në regjistra shoh të njëjtat katër gabime 401. Fut hyrjen/fjalëkalimin e gabuar dhe shoh përsëri katër gabime 401. Kjo është ajo që më duhet. Kjo është ajo që ne do të kapim.
Meqenëse nuk ishte e mundur të përcaktohej url-ja e hyrjes, dhe përveç kësaj, nuk e di se si ta kap gabimin 401 në haproxy, do të kap (në të vërtetë jo të kap, por të numëroj) të gjitha gabimet 4xx. Gjithashtu i përshtatshëm për zgjidhjen e problemit.
Thelbi i mbrojtjes do të jetë që ne do të numërojmë numrin e gabimeve 4xx (në pjesën e pasme) për njësi të kohës dhe nëse tejkalon kufirin e specifikuar, atëherë refuzojmë (në pjesën e përparme) të gjitha lidhjet e mëtejshme nga kjo ip për kohën e specifikuar .
Teknikisht, kjo nuk do të jetë mbrojtje kundër forcës brutale të fjalëkalimit, do të jetë mbrojtje kundër gabimeve 4xx. Për shembull, nëse shpesh kërkoni një url që nuk ekziston (404), atëherë mbrojtja do të funksionojë gjithashtu.
Mënyra më e thjeshtë dhe më efektive është të mbështeteni në backend dhe të raportoni nëse shfaqet ndonjë gjë shtesë:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Jo opsioni më i mirë, le ta komplikojmë. Ne do të llogarisim në pjesën e pasme dhe do të bllokojmë në pjesën e përparme.
Ne do ta trajtojmë sulmuesin në mënyrë të vrazhdë dhe do të heqim lidhjen e tij TCP.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
e njëjta gjë, por me mirësjellje, do të kthejmë gabimin http 429 (Shumë Kërkesa)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Kontrolloj: Unë hap mstsc dhe filloj të fus rastësisht fjalëkalimet. Pas përpjekjes së tretë, brenda 10 sekondash më kthen prapa dhe mstsc jep një gabim. Siç mund të shihet në regjistrat.
Shpjegimet. Unë jam larg nga një mjeshtër haproksi. Nuk e kuptoj pse p.sh
http-kërkesa mohoj statusin_status 429 nëse { sc_http_err_rate(0) gt 4 }
ju lejon të bëni rreth 10 gabime përpara se të funksionojë.
Unë jam konfuz për numrin e numëruesve. Mjeshtra të haproksisë, do të jem i lumtur nëse më plotësoni, më korrigjoni, më bëni më të mirë.
Në komentet mund të sugjeroni mënyra të tjera për të mbrojtur RD Gateway, do të jetë interesante të studiohet.
Sa i përket Klientit të Desktopit të Remote të Windows (mstsc), vlen të përmendet se ai nuk mbështet TLS1.2 (të paktën në Windows 7), kështu që më duhej të largohesha nga TLS1; nuk e mbështet shifrën aktuale, kështu që më duhej të lija edhe të vjetrat.
Për ata që nuk kuptojnë asgjë, thjesht po mësojnë dhe tashmë duan të bëjnë mirë, unë do t'ju jap të gjithë konfigurimin.
haproksi.konf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Pse dy serverë në backend? Sepse kështu mund të bësh tolerancë ndaj gabimeve. Haproxy gjithashtu mund të bëjë dy me një ip të bardhë lundrues.
Burimet kompjuterike: mund të filloni me "dy koncerte, dy bërthama, PC lojërash". Sipas kjo do të mjaftojë për të kursyer.
referencat:
Burimi: www.habr.com