Друзі, привіт!
Існує безліч способів підключення з дому до робочого місця в офісі. Один із них – це використовувати Microsoft Remote Desktop Gateway. Це RDP поверх HTTP. Я не хочу тут торкатися налаштування самого RDGW, не хочу міркувати, чому він хороший чи поганий, давайте поставимося до нього як до одного з інструментів віддаленого доступу. Я хочу поговорити про захист вашого сервера RDGW від злого інтернету. Коли я налаштував RDGW сервера, я одразу перейнявся захистом, особливо захистом від перебору пароля. Мене здивувало, що я не знайшов в інтернетах статей про те, як це можна зробити. Ну що ж, доведеться робити самостійно.
Сам по собі RDGW не має жодних захистів. Так, його можна виставити голою ж інтерфейсом у білу мережу і чудово працюватиме. Але правильному адміністратору чи ІБ'шнику буде від цього неспокійно. До того ж дозволить уникнути ситуації блокування облікового запису, коли недбайливий співробітник запам'ятав пароль корпоративного облікового запису на домашньому комп'ютері, а потім змінив свій пароль.
Хороший спосіб захисту внутрішніх ресурсів від зовнішнього середовища – це різні проксі, системи публікації та інші WAF. Згадаймо, що RDGW це все ж таки http, тоді прям напрошується встромити спеціалізоване рішення між внутрішніми серверами та інтернетом.
Я знаю, що є круті F5, A10, Netscaler (ADC). Як адміністратор однієї з цих систем скажу, що налаштувати захист від перебору на цих системах теж можливо. І так, ці системи принагідно захистять вас від будь-якого syn флуду.
Але далеко не кожна компанія може дозволити собі придбати подібне рішення (і знайти адміністратора такої системи:), а про безпеку, при цьому, подбати може!
Цілком можливо встановити безкоштовну версію HAProxy на безкоштовній операційній системі. Я тестував на Debian 10 у стабільному репозитарії версія haproxy 1.8.19. Також перевіряв на версії 2.0.хх з testing репозитарію.
Налаштування самого debian залишимо за межами статті. Коротко: на білому інтерфейсі закрити все, окрім 443 порти, на сірому інтерфейсі — відповідно до вашої політики, наприклад теж закрити все, окрім 22 порти. Відкрити тільки те, що необхідно для роботи (VRRP, наприклад, для плаваючого ip).
Насамперед налаштував haproxy на SSL bridging mode (він же mode http) і включив логування, щоб подивитися, що там всередині RDP ходить. Так би мовити, вліз посередині. Так от, вказаний у всіх статтях з налаштування RDGateway шлях / RDWeb відсутня. Все, що там є, це /rpc/rpcproxy.dll та /remoteDesktopGateway/. При цьому не використовуються стандартні запити GET/POST, використовується свій тип запиту RDG_IN_DATA, RDG_OUT_DATA.
Небагато, але хоч щось.
Давайте тестувати.
Запускаю mstsc, йду на сервер, у логах бачу чотири помилки 401 (unauthorized), потім вводжу логін/пароль і бачу відповідь 200.
Вимикаю, запускаю заново, у логах бачу ті самі чотири помилки 401. Вводжу помилкові логін/пароль і бачу знову чотири помилки 401. Те, що треба. Це і відловлюватимемо.
Оскільки визначити login url так і не вдалося, і до того ж я не знаю, як у haproxy відловлюватиму саме помилку 401, то відловлюватиму (насправді не відловлюватиму, а вважати) всі помилки 4xx. Теж влаштує на вирішення завдання.
Суть захисту буде в тому, що ми будемо вважати кількість помилок 4xx (на backend) в одиницю часу і якщо вона перевищить зазначену межу, то відхиляти (на frontend) всі подальші з'єднання з цього ip протягом зазначеного часу.
Технічно це не буде захистом від перебору пароля, це буде захистом від помилок 4xx. Наприклад, якщо часто запитувати неіснуючий url (404), захист так само спрацює.
Найпростіший і працюючий спосіб – це на backend порахувати та відбити, якщо чогось зайвого з'явилося:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Не найкращий варіант, ускладнимий. Рахувати будемо на backend, а блокувати на frontend.
З атакуючим надійдемо грубо, будемо скидати йому tcp з'єднання.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
теж саме, але ввічливо, повертатимемо помилку http 429 (Too Many Requests)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Перевіряю: запускаю mstsc і починаю безладно вводити паролі. Після третьої спроби за 10 сек мене відкидає, а mstsc видає помилку. Що й видно у логах.
Пояснення. Я далеко не майстер haproxy. Я не розумію, чому, наприклад
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
дозволяє зробити близько 10 помилок, перш ніж спрацює.
Я плутаюсь у нумерації лічильників. Майстри haproxy, буду радий, якщо доповните мене, виправте, зробите краще.
У коментарях можете накидати інші засоби захисту RD Gateway, буде цікаво вивчити.
Стосовно клієнта віддаленого робочого столу Windows (mstsc), варто зазначити, що він не підтримує TLS1.2 (принаймні у Windows 7), тому довелося залишити TLS1; не підтримує актуальних цифер, тому так само довелося залишити старі.
Для тих, хто нічого не зрозумів тільки вчиться і вже хоче зробити добре, наведу весь конфіг.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Чому два сервери на backend? Тому що так можна зробити стійкість до відмов. Haproxy також можете зробити два з плаваючим білим IP.
Обчислювальні ресурси: можна почати з «два гіги, два ядра, ігровий ПК». Згідно цього буде достатньо із запасом.
Посилання:
Джерело: habr.com