Arkadaşlar, merhaba!
Evden ofis çalışma alanınıza bağlanmanın birçok yolu vardır. Bunlardan biri Microsoft Uzak Masaüstü Ağ Geçidini kullanmaktır. Bu, HTTP üzerinden RDP'dir. Burada RDGW kurulumuna değinmek istemiyorum, neden iyi ya da kötü olduğunu tartışmak istemiyorum, uzaktan erişim araçlarından biri olarak ele alalım. RDGW sunucunuzu kötü internetten korumak hakkında konuşmak istiyorum. RDGW sunucusunu kurduğumda, güvenlik, özellikle de parola kaba kuvvetine karşı koruma konusunda hemen endişe duymaya başladım. İnternette bunun nasıl yapılacağına dair herhangi bir makale bulamadığıma şaşırdım. Peki, bunu kendin yapman gerekecek.
RDGW'nin kendisinde herhangi bir koruma yoktur. Evet, beyaz bir ağa çıplak bir arayüzle maruz bırakılabilir ve harika çalışacaktır. Ancak bu durum doğru yöneticiyi veya bilgi güvenliği uzmanını tedirgin edecektir. Ek olarak, dikkatsiz bir çalışanın ev bilgisayarındaki kurumsal hesabın şifresini hatırlaması ve ardından şifresini değiştirmesi durumunda hesap bloke edilmesi durumundan kaçınmanıza olanak sağlayacaktır.
İç kaynakları dış ortamdan korumanın iyi bir yolu çeşitli proxy'ler, yayımlama sistemleri ve diğer WAF'lardır. RDGW'nin hala http olduğunu hatırlayalım, o zaman dahili sunucular ile İnternet arasına özel bir çözüm takmak için yalvarır.
Harika F5, A10, Netscaler(ADC) olduğunu biliyorum. Bu sistemlerden birinin yöneticisi olarak bu sistemler üzerinde kaba kuvvete karşı koruma kurulumunun da mümkün olduğunu söyleyeceğim. Ve evet, bu sistemler aynı zamanda sizi her türlü syn selinden de koruyacaktır.
Ancak her şirketin böyle bir çözümü satın almaya (ve böyle bir sistem için yönetici bulmaya) gücü yetmez, ancak aynı zamanda güvenliği de sağlayabilirler!
Ücretsiz bir işletim sistemine HAProxy'nin ücretsiz bir sürümünü yüklemek tamamen mümkündür. Kararlı depoda Debian 10, haproxy sürüm 1.8.19'da test ettim. Ayrıca test deposundaki 2.0.xx sürümünde de test ettim.
Debian'ın kurulumunu bu makalenin kapsamı dışında bırakacağız. Kısaca: beyaz arayüzde 443 numaralı bağlantı noktası dışındaki her şeyi kapatın, gri arayüzde - örneğin politikanıza göre, 22 numaralı bağlantı noktası dışındaki her şeyi de kapatın. Yalnızca iş için gerekli olanı açın (örneğin, kayan IP için VRRP).
Her şeyden önce haproxy'yi SSL köprüleme modunda (diğer adıyla http modu) yapılandırdım ve RDP'de neler olup bittiğini görmek için günlüğe kaydetmeyi açtım. Deyim yerindeyse, ortasına girdim. Bu nedenle, RDGateway kurulumuyla ilgili "tüm" makalelerde belirtilen /RDWeb yolu eksik. Yalnızca /rpc/rpcproxy.dll ve /remoteDesktopGateway/ var. Bu durumda standart GET/POST istekleri kullanılmaz; kendi istek türleri olan RDG_IN_DATA, RDG_OUT_DATA kullanılır.
Çok değil ama en azından bir şeyler.
Hadi test edelim.
Mstsc'yi başlatıyorum, sunucuya gidiyorum, günlüklerde dört 401 (yetkisiz) hata görüyorum, ardından kullanıcı adımı/şifremi giriyorum ve 200 yanıtını görüyorum.
Kapatıyorum, yeniden başlatıyorum ve kayıtlarda aynı dört 401 hatasını görüyorum, yanlış giriş/şifre giriyorum ve yine dört 401 hatası görüyorum, ihtiyacım olan şey bu. Yakalayacağımız şey bu.
Giriş URL'sini belirlemek mümkün olmadığından ve ayrıca haproxy'de 401 hatasını nasıl yakalayacağımı bilmediğim için, tüm 4xx hatalarını yakalayacağım (aslında yakalayamayacağım ama sayacağım). Sorunu çözmek için de uygundur.
Korumanın özü, birim zaman başına 4xx hata sayısını (arka uçta) saymamız ve belirtilen sınırı aşarsa, belirtilen süre boyunca bu IP'den gelen diğer tüm bağlantıları (ön uçta) reddetmemiz olacaktır. .
Teknik olarak bu şifre kaba kuvvete karşı koruma olmayacak, 4xx hatalarına karşı koruma olacaktır. Örneğin, var olmayan bir URL'yi (404) sık sık talep ediyorsanız, koruma da işe yarayacaktır.
En basit ve en etkili yol, arka uca güvenmek ve fazladan bir şey ortaya çıkarsa rapor vermektir:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
En iyi seçenek değil, hadi karmaşıklaştıralım. Arka uca güveneceğiz ve ön uçtan engelleyeceğiz.
Saldırgana kaba davranacağız ve TCP bağlantısını keseceğiz.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
aynı şey, ancak kibarca http 429 (Çok Fazla İstek) hatasını döndüreceğiz.
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Kontrol ediyorum: mstsc'yi başlatıyorum ve rastgele şifreler girmeye başlıyorum. Üçüncü denemeden sonra 10 saniye içinde beni geri atıyor ve mstsc hata veriyor. Loglarda görüldüğü gibi.
Açıklamalar. Bir happroxy ustasından çok uzağım. Nedenini anlamıyorum örneğin
http-isteği reddi Denk_durum 429 if { sc_http_err_rate(0) gt 4 }
işe yaramadan önce yaklaşık 10 hata yapmanızı sağlar.
Sayaçların numaralandırılması konusunda kafam karıştı. Haproxy ustaları, beni tamamlarsanız, düzeltirseniz, daha iyi hale getirirseniz çok sevinirim.
Yorumlarda RD Ağ Geçidini korumanın başka yollarını önerebilirsiniz, incelemek ilginç olacaktır.
Windows Uzak Masaüstü İstemcisi (mstsc) ile ilgili olarak, TLS1.2'yi (en azından Windows 7'de) desteklemediğini belirtmekte fayda var, bu yüzden TLS1'den ayrılmak zorunda kaldım; mevcut şifreyi desteklemiyor, bu yüzden eskilerini de bırakmak zorunda kaldım.
Hiçbir şey anlamayan, sadece öğrenen ve zaten başarılı olmak isteyenler için, size tüm yapılandırmayı vereceğim.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Neden arka uçta iki sunucu? Çünkü hata toleransını bu şekilde sağlayabilirsiniz. Haproxy ayrıca yüzen beyaz ip ile iki tane yapabilir.
Bilgi işlem kaynakları: "iki gig, iki çekirdek, oyun bilgisayarı" ile başlayabilirsiniz. Buna göre bu yedek için yeterli olacaktır.
Bağlantılar:
Kaynak: habr.com
