เพื่อนสวัสดี!
มีหลายวิธีในการเชื่อมต่อจากบ้านไปยังพื้นที่ทำงานในสำนักงานของคุณ หนึ่งในนั้นคือการใช้ Microsoft Remote Desktop Gateway นี่คือ RDP ผ่าน HTTP ฉันไม่ต้องการพูดถึงการตั้งค่า RDGW ที่นี่ ฉันไม่ต้องการพูดคุยว่าทำไมมันถึงดีหรือไม่ดี เรามาถือว่ามันเป็นหนึ่งในเครื่องมือการเข้าถึงระยะไกลกันดีกว่า ฉันต้องการพูดคุยเกี่ยวกับการปกป้องเซิร์ฟเวอร์ RDGW ของคุณจากอินเทอร์เน็ตที่ชั่วร้าย เมื่อฉันตั้งค่าเซิร์ฟเวอร์ RDGW ฉันเริ่มกังวลเกี่ยวกับความปลอดภัยทันที โดยเฉพาะอย่างยิ่งการป้องกันรหัสผ่านที่ดุร้าย ฉันรู้สึกประหลาดใจที่ไม่พบบทความใด ๆ บนอินเทอร์เน็ตเกี่ยวกับวิธีการทำเช่นนี้ คุณจะต้องทำมันเอง
RDGW เองไม่มีการป้องกันใดๆ ใช่ มันสามารถเปิดเผยได้ด้วยอินเทอร์เฟซเปล่ากับเครือข่ายสีขาว และมันจะทำงานได้ดีมาก แต่สิ่งนี้จะทำให้ผู้ดูแลระบบหรือผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลที่เหมาะสมไม่สบายใจ นอกจากนี้ ยังช่วยให้คุณหลีกเลี่ยงสถานการณ์การบล็อกบัญชี เมื่อพนักงานที่ไม่ระมัดระวังจำรหัสผ่านสำหรับบัญชีบริษัทบนคอมพิวเตอร์ที่บ้าน จากนั้นจึงเปลี่ยนรหัสผ่าน
วิธีที่ดีในการปกป้องทรัพยากรภายในจากสภาพแวดล้อมภายนอกคือผ่านพร็อกซี ระบบการเผยแพร่ และ WAF อื่นๆ โปรดจำไว้ว่า RDGW ยังคงเป็น http ดังนั้นเพียงขอให้เชื่อมต่อโซลูชันพิเศษระหว่างเซิร์ฟเวอร์ภายในและอินเทอร์เน็ต
ฉันรู้ว่ามี F5, A10, Netscaler (ADC) ที่ยอดเยี่ยม ในฐานะผู้ดูแลระบบของระบบใดระบบหนึ่งเหล่านี้ ฉันจะบอกว่าเป็นไปได้ที่จะตั้งค่าการป้องกันจากการใช้ความรุนแรงบนระบบเหล่านี้ ใช่แล้ว ระบบเหล่านี้จะปกป้องคุณจากการซิงค์ฟลัดใดๆ ด้วย
แต่ไม่ใช่ทุกบริษัทที่จะสามารถซื้อโซลูชันดังกล่าวได้ (และหาผู้ดูแลระบบสำหรับระบบดังกล่าว :) แต่ในขณะเดียวกันก็สามารถดูแลเรื่องความปลอดภัยได้!
สามารถติดตั้ง HAProxy เวอร์ชันฟรีบนระบบปฏิบัติการฟรีได้โดยสมบูรณ์ ฉันทดสอบบน Debian 10, haproxy เวอร์ชัน 1.8.19 ในพื้นที่เก็บข้อมูลที่เสถียร ฉันยังได้ทดสอบกับเวอร์ชัน 2.0.xx จากแหล่งเก็บข้อมูลการทดสอบด้วย
เราจะปล่อยให้การตั้งค่าเดเบียนอยู่นอกขอบเขตของบทความนี้ โดยสรุป: บนอินเทอร์เฟซสีขาว ให้ปิดทุกอย่างยกเว้นพอร์ต 443 บนอินเทอร์เฟซสีเทา - ตามนโยบายของคุณ เช่น ปิดทุกอย่างยกเว้นพอร์ต 22 เปิดเฉพาะสิ่งที่จำเป็นสำหรับการทำงาน (เช่น VRRP สำหรับ IP แบบลอยตัว)
ก่อนอื่น ฉันกำหนดค่า haproxy ในโหมดบริดจ์ SSL (หรือที่เรียกว่าโหมด http) และเปิดการบันทึกเพื่อดูว่าเกิดอะไรขึ้นภายใน RDP พูดแล้วฉันก็อยู่ตรงกลาง ดังนั้นเส้นทาง /RDWeb ที่ระบุในบทความ "ทั้งหมด" เกี่ยวกับการตั้งค่า RDGateway หายไป ทั้งหมดที่มีคือ /rpc/rpcproxy.dll และ /remoteDesktopGateway/ ในกรณีนี้ ไม่ได้ใช้คำขอ GET/POST มาตรฐาน แต่จะใช้คำขอประเภทของตัวเอง RDG_IN_DATA, RDG_OUT_DATA
ไม่มาก แต่อย่างน้อยก็มีบางอย่าง
มาทดสอบกัน
ฉันเปิดใช้ mstsc ไปที่เซิร์ฟเวอร์ ดูข้อผิดพลาด 401 (ไม่ได้รับอนุญาต) สี่รายการในบันทึก จากนั้นป้อนชื่อผู้ใช้/รหัสผ่านของฉัน และดูการตอบกลับ 200
ฉันปิดมัน เริ่มใหม่อีกครั้ง และในบันทึก ฉันเห็นข้อผิดพลาด 401 เหมือนกันสี่รายการ ฉันเข้าสู่ระบบ/รหัสผ่านผิด และเห็นข้อผิดพลาด 401 สี่ครั้งอีกครั้ง นั่นคือสิ่งที่ฉันต้องการ นี่คือสิ่งที่เราจะจับ
เนื่องจากไม่สามารถระบุ URL สำหรับเข้าสู่ระบบได้ และนอกจากนี้ ฉันไม่รู้วิธีจับข้อผิดพลาด 401 ใน haproxy ฉันจะจับ (ไม่ใช่ที่จับจริง แต่นับ) ข้อผิดพลาด 4xx ทั้งหมด ยังเหมาะกับการแก้ปัญหาอีกด้วย
สาระสำคัญของการป้องกันคือเราจะนับจำนวนข้อผิดพลาด 4xx (บนแบ็กเอนด์) ต่อหน่วยเวลา และหากเกินขีดจำกัดที่ระบุ ให้ปฏิเสธ (ที่ส่วนหน้า) การเชื่อมต่อเพิ่มเติมทั้งหมดจาก IP นี้ตามเวลาที่กำหนด .
ในทางเทคนิคแล้ว สิ่งนี้จะไม่ใช่การป้องกันรหัสผ่านที่ดุร้าย แต่จะป้องกันข้อผิดพลาด 4xx ตัวอย่างเช่น หากคุณมักจะขอ URL ที่ไม่มีอยู่ (404) การป้องกันก็จะทำงานเช่นกัน
วิธีที่ง่ายและมีประสิทธิภาพมากที่สุดคือการนับแบ็กเอนด์และรายงานกลับหากมีสิ่งใดเพิ่มเติมปรากฏขึ้น:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
ไม่ใช่ตัวเลือกที่ดีที่สุด มาทำให้มันซับซ้อนกันดีกว่า เราจะวางใจในแบ็กเอนด์และบล็อกในส่วนหน้า
เราจะปฏิบัติต่อผู้โจมตีอย่างหยาบคายและยกเลิกการเชื่อมต่อ TCP ของเขา
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
สิ่งเดียวกัน แต่สุภาพ เราจะส่งคืนข้อผิดพลาด http 429 (คำขอมากเกินไป)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
ฉันตรวจสอบ: ฉันเปิด mstsc และเริ่มป้อนรหัสผ่านแบบสุ่ม หลังจากพยายามครั้งที่สาม ภายใน 10 วินาที มันก็เตะฉันกลับ และ mstsc ก็แจ้งข้อผิดพลาด ดังที่เห็นได้ในบันทึก
คำอธิบาย ฉันยังห่างไกลจากปรมาจารย์แห่งความสุข ฉันไม่เข้าใจว่าทำไมเช่น
คำขอ http ปฏิเสธ deny_status 429 ถ้า { sc_http_err_rate (0) gt 4 }
ช่วยให้คุณทำผิดพลาดประมาณ 10 ข้อก่อนที่จะได้ผล
ฉันสับสนเกี่ยวกับหมายเลขของตัวนับ ปรมาจารย์แห่ง haproxy ฉันจะดีใจถ้าคุณเติมเต็มฉัน แก้ไขฉัน ทำให้ฉันดีขึ้น
ในความคิดเห็นคุณสามารถแนะนำวิธีอื่นในการปกป้อง RD Gateway ได้จะน่าสนใจที่จะศึกษา
เกี่ยวกับ Windows Remote Desktop Client (mstsc) เป็นที่น่าสังเกตว่ามันไม่รองรับ TLS1.2 (อย่างน้อยใน Windows 7) ดังนั้นฉันจึงต้องออกจาก TLS1 ไม่รองรับการเข้ารหัสปัจจุบัน ดังนั้นฉันจึงต้องทิ้งอันเก่าไว้ด้วย
สำหรับผู้ที่ไม่เข้าใจอะไรเลย แค่กำลังเรียนรู้ และอยากทำให้ดีอยู่แล้ว ฉันจะให้ Config ทั้งหมดแก่คุณ
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
ทำไมต้องมีสองเซิร์ฟเวอร์บนแบ็กเอนด์? เพราะนี่คือวิธีที่คุณสามารถทนต่อความผิดพลาดได้ Haproxy สามารถสร้างสองรายการด้วย IP สีขาวลอยได้
ทรัพยากรคอมพิวเตอร์: คุณสามารถเริ่มต้นด้วย "XNUMX กิ๊ก, XNUMX คอร์, พีซีสำหรับเล่นเกม" ตาม แค่นี้ก็เพียงพอแล้ว
อ้างอิง:
ที่มา: will.com