Mga kaibigan, kumusta!
Maraming paraan para kumonekta mula sa bahay patungo sa workspace ng iyong opisina. Isa sa mga ito ay ang paggamit ng Microsoft Remote Desktop Gateway. Ito ay RDP sa HTTP. Hindi ko nais na hawakan ang pag-set up mismo ng RDGW dito, ayaw kong pag-usapan kung bakit ito mabuti o masama, ituring natin ito bilang isa sa mga remote access tool. Gusto kong pag-usapan ang tungkol sa pagprotekta sa iyong RDGW server mula sa masamang Internet. Nang i-set up ko ang RDGW server, agad akong nabahala tungkol sa seguridad, lalo na sa proteksyon laban sa password brute force. Nagulat ako na wala akong nakitang anumang mga artikulo sa Internet tungkol sa kung paano ito gagawin. Well, kailangan mong gawin ito sa iyong sarili.
Ang RDGW mismo ay walang anumang mga proteksyon. Oo, maaari itong mailantad sa isang hubad na interface sa isang puting network at ito ay gagana nang mahusay. Ngunit gagawin nitong hindi mapakali ang tamang administrator o espesyalista sa seguridad ng impormasyon. Bilang karagdagan, ito ay magbibigay-daan sa iyo upang maiwasan ang sitwasyon ng pagharang ng account, kapag ang isang walang ingat na empleyado ay naalala ang password para sa isang corporate account sa kanyang computer sa bahay, at pagkatapos ay binago ang kanyang password.
Ang isang mahusay na paraan upang maprotektahan ang mga panloob na mapagkukunan mula sa panlabas na kapaligiran ay sa pamamagitan ng iba't ibang mga proxy, mga sistema ng pag-publish, at iba pang mga WAF. Tandaan natin na ang RDGW ay http pa rin, pagkatapos ay nakikiusap lang itong magsaksak ng isang espesyal na solusyon sa pagitan ng mga panloob na server at ng Internet.
Alam ko na may mga cool na F5, A10, Netscaler(ADC). Bilang isang tagapangasiwa ng isa sa mga sistemang ito, sasabihin ko na posible ring mag-set up ng proteksyon laban sa malupit na puwersa sa mga sistemang ito. At oo, poprotektahan ka rin ng mga system na ito mula sa anumang syn flood.
Ngunit hindi lahat ng kumpanya ay kayang bumili ng gayong solusyon (at maghanap ng isang tagapangasiwa para sa gayong sistema :), ngunit sa parehong oras maaari nilang pangalagaan ang seguridad!
Posibleng mag-install ng libreng bersyon ng HAProxy sa isang libreng operating system. Sinubukan ko sa Debian 10, haproxy version 1.8.19 sa stable repository. Sinubukan ko rin ito sa bersyon 2.0.xx mula sa imbakan ng pagsubok.
Iiwan namin ang pag-set up ng debian mismo sa labas ng saklaw ng artikulong ito. Sa madaling sabi: sa puting interface, isara ang lahat maliban sa port 443, sa gray na interface - ayon sa iyong patakaran, halimbawa, isara din ang lahat maliban sa port 22. Buksan lamang kung ano ang kinakailangan para sa trabaho (VRRP halimbawa, para sa lumulutang na ip).
Una sa lahat, na-configure ko ang haproxy sa SSL bridging mode (aka http mode) at binuksan ang pag-log upang makita kung ano ang nangyayari sa loob ng RDP. So to speak, napagitna ako. Kaya, nawawala ang /RDWeb path na tinukoy sa "lahat" ng mga artikulo sa pag-set up ng RDGateway. Ang lahat ng naroroon ay /rpc/rpcproxy.dll at /remoteDesktopGateway/. Sa kasong ito, hindi ginagamit ang mga karaniwang kahilingan sa GET/POST; ang sarili nilang uri ng kahilingan ay RDG_IN_DATA, RDG_OUT_DATA ang ginagamit.
Hindi gaano, ngunit hindi bababa sa isang bagay.
Subukan natin.
Inilunsad ko ang mstsc, pumunta sa server, tingnan ang apat na 401 (hindi awtorisadong) error sa mga log, pagkatapos ay ipasok ang aking username/password at tingnan ang tugon 200.
Ino-off ko ito, simulan itong muli, at sa mga log ay nakikita ko ang parehong apat na 401 na mga error. Naglagay ako ng maling login/password at nakita kong muli ang apat na 401 na mga error. Iyan ang kailangan ko. Ito ang huhulihin natin.
Dahil hindi posible na matukoy ang url sa pag-login, at bukod pa, hindi ko alam kung paano mahuhuli ang 401 error sa haproxy, mahuhuli ko (hindi talaga mahuli, ngunit mabibilang) ang lahat ng 4xx na error. Angkop din para sa paglutas ng problema.
Ang kakanyahan ng proteksyon ay bibilangin namin ang bilang ng mga 4xx na error (sa backend) bawat yunit ng oras at kung lumampas ito sa tinukoy na limitasyon, pagkatapos ay tanggihan (sa frontend) ang lahat ng karagdagang koneksyon mula sa ip na ito para sa tinukoy na oras .
Sa teknikal na paraan, hindi ito magiging proteksyon laban sa brute force ng password, ito ay magiging proteksyon laban sa mga 4xx error. Halimbawa, kung madalas kang humiling ng hindi umiiral na url (404), gagana rin ang proteksyon.
Ang pinakasimple at pinakaepektibong paraan ay ang umasa sa backend at mag-ulat pabalik kung may lalabas na karagdagang bagay:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#ΡΠΎΠ·Π΄Π°ΡΡ ΡΠ°Π±Π»ΠΈΡΡ, ΡΡΡΠΎΠΊΠΎΠ²ΡΡ, 1000 ΡΠ»Π΅ΠΌΠ΅Π½ΡΠΎΠ², ΠΏΡΠΎΡΡΡ
Π°Π΅Ρ ΡΠ΅ΡΠ΅Π· 15 ΡΠ΅ΠΊ, Π·Π°ΠΏΠΈΡΠ°ΡΡ ΠΊΠΎΠ»-Π²ΠΎ ΠΎΡΠΈΠ±ΠΎΠΊ Π·Π° ΠΏΠΎΡΠ»Π΅Π΄Π½ΠΈΠ΅ 10 ΡΠ΅ΠΊ
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#Π·Π°ΠΏΠΎΠΌΠ½ΠΈΡΡ ip
http-request track-sc0 src
#Π·Π°ΠΏΡΠ΅ΡΠΈΡΡ Ρ http ΠΎΡΠΈΠ±ΠΊΠΎΠΉ 429, Π΅ΡΠ»ΠΈ Π·Π° ΠΏΠΎΡΠ»Π΅Π΄Π½ΠΈΠ΅ 10 ΡΠ΅ΠΊ Π±ΠΎΠ»ΡΡΠ΅ 4 ΠΎΡΠΈΠ±ΠΎΠΊ
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Hindi ang pinakamagandang opsyon, gawing kumplikado ito. Magbibilang tayo sa backend at mag-block sa frontend.
Tatratuhin namin ang umaatake nang walang pakundangan at ibababa ang kanyang koneksyon sa TCP.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#ΡΠΎΠ·Π΄Π°ΡΡ ΡΠ°Π±Π»ΠΈΡΡ ip Π°Π΄ΡΠ΅ΡΠΎΠ², 1000 ΡΠ»Π΅ΠΌΠ΅Π½ΡΠΎΠ², ΠΏΡΠΎΡΡΡ
Π½Π΅Ρ ΡΠ΅ΡΠ΅Π· 15 ΡΠ΅ΠΊ, ΡΠΎΡ
ΡΡΠ½ΡΡΡ ΠΈΠ· Π³Π»ΠΎΠ±Π°Π»ΡΠ½ΠΎΠ³ΠΎ ΡΡΡΡΡΠΈΠΊΠ°
stick-table type ip size 1k expire 15s store gpc0
#Π²Π·ΡΡΡ ΠΈΡΡΠΎΡΠ½ΠΈΠΊ
tcp-request connection track-sc0 src
#ΠΎΡΠΊΠ»ΠΎΠ½ΠΈΡΡ tcp ΡΠΎΠ΅Π΄ΠΈΠ½Π΅Π½ΠΈΠ΅, Π΅ΡΠ»ΠΈ Π³Π»ΠΎΠ±Π°Π»ΡΠ½ΡΠΉ ΡΡΡΡΡΠΈΠΊ >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#ΡΠΎΠ·Π΄Π°ΡΡ ΡΠ°Π±Π»ΠΈΡΡ ip Π°Π΄ΡΠ΅ΡΠΎΠ², 1000 ΡΠ»Π΅ΠΌΠ΅Π½ΡΠΎΠ², ΠΏΡΠΎΡΡΡ
Π½Π΅Ρ ΡΠ΅ΡΠ΅Π· 15 ΡΠ΅ΠΊ, ΡΠΎΡ
ΡΠ°Π½ΡΡΡ ΠΊΠΎΠ»-Π²ΠΎ ΠΎΡΠΈΠ±ΠΎΠΊ Π·Π° 10 ΡΠ΅ΠΊ
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#ΠΌΠ½ΠΎΠ³ΠΎ ΠΎΡΠΈΠ±ΠΎΠΊ, Π΅ΡΠ»ΠΈ ΠΊΠΎΠ»-Π²ΠΎ ΠΎΡΠΈΠ±ΠΎΠΊ Π·Π° 10 ΡΠ΅ΠΊ ΠΏΡΠ΅Π²ΡΡΠΈΠ»ΠΎ 8
acl errors_too_fast sc1_http_err_rate gt 8
#ΠΏΠΎΠΌΠ΅ΡΠΈΡΡ Π°ΡΠ°ΠΊΡ Π² Π³Π»ΠΎΠ±Π°Π»ΡΠ½ΠΎΠΌ ΡΡΡΡΡΠΈΠΊΠ΅ (ΡΠ²Π΅Π»ΠΈΡΠΈΡΡ ΡΡΡΡΡΠΈΠΊ)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#ΠΎΠ±Π½ΡΠ»ΠΈΡΡ Π³Π»ΠΎΠ±Π°Π»ΡΠ½ΡΠΉ ΡΡΡΡΡΠΈΠΊ
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#Π²Π·ΡΡΡ ΠΈΡΡΠΎΡΠ½ΠΈΠΊ
tcp-request content track-sc1 src
#ΠΎΡΠΊΠ»ΠΎΠ½ΠΈΡΡ, ΠΏΠΎΠΌΠ΅ΡΠΈΡΡ, ΡΡΠΎ Π°ΡΠ°ΠΊΠ°
tcp-request content reject if errors_too_fast mark_as_abuser
#ΡΠ°Π·ΡΠ΅ΡΠΈΡΡ, ΡΠ±ΡΠΎΡΠΈΡΡ ΡΠ»Π°ΠΆΠΎΠΊ Π°ΡΠ°ΠΊΠΈ
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
ang parehong bagay, ngunit magalang, ibabalik namin ang error na http 429 (Masyadong Maraming Kahilingan)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Sinusuri ko: Inilunsad ko ang mstsc at nagsimulang random na magpasok ng mga password. Pagkatapos ng pangatlong pagtatangka, sa loob ng 10 segundo ay binabalikan ako nito, at nagbibigay ng error ang mstsc. Tulad ng makikita sa mga tala.
Mga paliwanag. Malayo ako sa haproxy master. Hindi ko maintindihan kung bakit, halimbawa
http-request deny deny_status 429 kung { sc_http_err_rate(0) gt 4 }
nagbibigay-daan sa iyong gumawa ng mga 10 pagkakamali bago ito gumana.
Nalilito ako sa pag-numero ng mga counter. Mga master ng haproxy, matutuwa ako kung pupunan mo ako, itama ako, pagbutihin mo ako.
Sa mga komento maaari kang magmungkahi ng iba pang mga paraan upang maprotektahan ang RD Gateway, magiging kawili-wiling pag-aralan.
Tungkol sa Windows Remote Desktop Client (mstsc), nararapat na tandaan na hindi nito sinusuportahan ang TLS1.2 (hindi bababa sa Windows 7), kaya kinailangan kong umalis sa TLS1; ay hindi sumusuporta sa kasalukuyang cipher, kaya kailangan ko ring iwanan ang mga luma.
Para sa mga hindi nakakaintindi ng kahit ano, nag-aaral pa lang, at gusto na ng maayos, ibibigay ko sa inyo ang buong config.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Bakit dalawang server sa backend? Dahil ito ang paraan kung paano ka makakagawa ng fault tolerance. Ang Haproxy ay maaari ding gumawa ng dalawa na may lumulutang na puting ip.
Mga mapagkukunan sa pag-compute: maaari kang magsimula sa "dalawang gig, dalawang core, gaming PC." Ayon kay
Link:
Pinagmulan: www.habr.com