Дустон, салом!
Роҳҳои зиёде барои пайвастшавӣ аз хона ба фазои кории офиси худ вуҷуд доранд. Яке аз онҳо истифодаи Microsoft Gateway Remote Desktop мебошад. Ин RDP бар HTTP аст. Ман намехоҳам ба таъсиси худи RDGW дар ин ҷо дахл кунам, ман намехоҳам муҳокима кунам, ки чаро он хуб ё бад аст, биёед онро ҳамчун яке аз воситаҳои дастрасии дурдаст баррасӣ кунем. Ман мехоҳам дар бораи муҳофизати сервери RDGW-и шумо аз Интернети бад сӯҳбат кунам. Вақте ки ман сервери RDGW-ро насб кардам, ман дарҳол дар бораи амният, махсусан муҳофизат аз қувваи бераҳмонаи парол нигарон шудам. Ман ҳайрон шудам, ки дар Интернет ягон мақолае дар бораи чӣ гуна ин корро наёфтам. Хуб, шумо бояд онро худатон иҷро кунед.
Худи RDGW ягон муҳофизат надорад. Бале, он метавонад бо интерфейси бараҳна ба шабакаи сафед фош карда шавад ва он хеле хуб кор хоҳад кард. Аммо ин маъмури дуруст ё мутахассиси амнияти иттилоотиро нороҳат мекунад. Илова бар ин, он ба шумо имкон медиҳад, ки аз вазъияти бастани суратҳисоб канорагирӣ кунед, вақте ки корманди бепарво пароли ҳисоби корпоративиро дар компютери хонагии худ ба хотир оварда, пас пароли худро иваз мекунад.
Роҳи хуби ҳифзи захираҳои дохилӣ аз муҳити беруна тавассути проксиҳои гуногун, системаҳои нашриёт ва дигар WAFҳо мебошад. Биёед дар хотир дорем, ки RDGW ҳоло ҳам http аст, пас он танҳо хоҳиш мекунад, ки ҳалли махсусро байни серверҳои дохилӣ ва Интернет васл кунад.
Ман медонам, ки F5, A10, Netcaler (ADC) ҳастанд. Ҳамчун маъмури яке аз ин системаҳо, ман мегӯям, ки муҳофизат аз қувваи бераҳмона дар ин системаҳо низ имконпазир аст. Ва ҳа, ин системаҳо инчунин шуморо аз ҳама гуна обхезии синхронизатсия муҳофизат мекунанд.
Аммо на ҳар як ширкат қодир аст, ки чунин ҳалли худро харидорӣ кунад (ва мудири чунин системаро пайдо кунад :), аммо дар айни замон онҳо метавонанд дар бораи амният ғамхорӣ кунанд!
Дар системаи оператсионии ройгон насб кардани версияи ройгони HAProxy комилан имконпазир аст. Ман дар Debian 10, версияи haproxy 1.8.19 дар анбори устувор озмоиш кардам. Ман инчунин онро дар версияи 2.0.xx аз анбори санҷиш санҷидам.
Мо худи debian-ро аз доираи ин мақола берун мегузорем. Ба таври мухтасар: дар интерфейси сафед ҳама чизро ба ҷуз порти 443 пӯшед, дар интерфейси хокистарӣ - мувофиқи сиёсати шумо, масалан, ҳама чизро ба ҷуз порти 22 пӯшед. Танҳо он чизеро кушоед, ки барои кор лозим аст (VRRP, масалан, барои ip шинокунанда).
Пеш аз ҳама, ман haproxy-ро дар реҷаи пулии SSL (режими http) танзим кардам ва сабти номро фаъол кардам, то бубинам, ки дар дохили RDP чӣ мегузарад. Ҳамин тавр, ман ба миён омадам. Ҳамин тавр, роҳи /RDWeb, ки дар мақолаҳои "ҳама" дар бораи насб кардани RDGateway нишон дода шудааст, мавҷуд нест. Ҳама чизест, ки дар он ҷо аст /rpc/rpcproxy.dll ва /remoteDesktopGateway/. Дар ин ҳолат, дархостҳои стандартии GET/POST истифода намешаванд, намуди худи онҳо RDG_IN_DATA, RDG_OUT_DATA истифода мешавад.
На он қадар зиёд, аммо ҳадди аққал чизе.
Биёед озмоиш кунем.
Ман mstsc -ро оғоз мекунам, ба сервер меравам, дар гузоришҳо чор хатогиҳои 401 (беиҷозат)-ро мебинам, пас номи корбар/пароли маро ворид кунед ва посухи 200-ро бубинед.
Ман онро хомӯш мекунам, аз нав оғоз мекунам ва дар гузоришҳо ман ҳамон чаҳор хатои 401-ро мебинам. Ман логин/паролро нодуруст ворид мекунам ва боз чаҳор хатои 401-ро мебинам. Ин ба ман лозим аст. Ин аст он чизе ки мо ба даст меорем.
Азбаски муайян кардани URL-и воридшавӣ ғайриимкон буд ва ба ғайр аз ин, ман намедонам, ки чӣ гуна хатогии 401-ро дар haproxy сайд кунам, ман ҳамаи хатогиҳои 4xx-ро мегирам (воқеан сайд намекунам, балки ҳисоб мекунам). Инчунин барои ҳалли мушкилот мувофиқ аст.
Моҳияти муҳофизат аз он иборат хоҳад буд, ки мо шумораи хатогиҳои 4xx-ро (дар ақиб) дар як воҳиди вақт ҳисоб мекунем ва агар он аз ҳадди муқарраршуда зиёд бошад, пас ҳама пайвастҳои минбаъдаро аз ин IP барои вақти муайян рад кунед (дар фронт) .
Аз ҷиҳати техникӣ, ин муҳофизат аз қувваи бераҳмонаи парол нест, он аз хатогиҳои 4xx муҳофизат хоҳад шуд. Масалан, агар шумо зуд-зуд URL-и вуҷуднадоштаро дархост кунед (404), он гоҳ муҳофизат низ кор мекунад.
Роҳи соддатарин ва самараноктарин ин ҳисоб кардан ба пуштибонӣ ва гузориш додан дар сурати пайдо шудани ягон чизи иловагӣ мебошад:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Варианти беҳтарин нест, биёед онро мураккаб кунем. Мо ба пушти сар ва блок дар фронт ҳисоб хоҳем кард.
Мо ба ҳамлагар дағалона муносибат мекунем ва пайвасти TCP-и ӯро қатъ мекунем.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
ҳамон чизест, аммо боадабона, мо хатои http 429-ро бармегардонем (Дархостҳои аз ҳад зиёд)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Ман тафтиш мекунам: Ман mstsc -ро оғоз мекунам ва ба таври тасодуфӣ ворид кардани паролҳоро оғоз мекунам. Пас аз кӯшиши сеюм, дар давоми 10 сония он маро бармегардонад ва mstsc хато медиҳад. Чунон ки дар журналхо дида мешавад.
Шарҳҳо. Ман аз устоди хапрокй дурам. Ман намефаҳмам, ки чаро, масалан
http-дархост рад кардани раддия_status 429 агар { sc_http_err_rate(0) gt 4 }
ба шумо имкон медиҳад, ки пеш аз кор кардан тақрибан 10 хато кунед.
Ман дар бораи рақамгузории ҳисобкунакҳо ошуфтаам. Устодони хапрокй, агар маро мукаммал кунед, маро ислох кунед, маро бехтар гардонед, шодам.
Дар шарҳҳо шумо метавонед роҳҳои дигари муҳофизати RD Gateway-ро пешниҳод кунед, омӯзиши он ҷолиб хоҳад буд.
Дар мавриди мизоҷи мизи кории дурдасти Windows (mstsc), бояд қайд кард, ки он TLS1.2-ро дастгирӣ намекунад (ҳадди ақал дар Windows 7), аз ин рӯ ман маҷбур шудам TLS1 -ро тарк кунам; шифри ҷорӣро дастгирӣ намекунад, бинобар ин ман низ маҷбур шудам, ки рамзҳои кӯҳнаро тарк кунам.
Барои онҳое, ки чизеро намефаҳманд, танҳо меомӯзанд ва аллакай мехоҳанд хуб кор кунанд, ман ба шумо тамоми конфигуратсияро медиҳам.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Чаро ду сервер дар пушти сар? Зеро ҳамин тавр шумо метавонед ба хатогиҳо таҳаммулпазир бошед. Haproxy инчунин метавонад бо як ip сафеди шинокунанда ду созад.
Захираҳои ҳисоббарорӣ: шумо метавонед бо "ду консерт, ду ядро, компютери бозӣ" оғоз кунед. Бино бар ин барои захира кардан кифоя хоҳад буд.
Истинодҳо:
Манбаъ: will.com