دوستو، ہیلو!
گھر سے آپ کے دفتر کے کام کی جگہ سے جڑنے کے بہت سے طریقے ہیں۔ ان میں سے ایک Microsoft Remote Desktop Gateway استعمال کرنا ہے۔ یہ HTTP پر RDP ہے۔ میں یہاں خود RDGW کو ترتیب دینے پر ہاتھ نہیں لگانا چاہتا، میں اس بات پر بحث نہیں کرنا چاہتا کہ یہ اچھا یا برا کیوں ہے، آئیے اسے ریموٹ ایکسیس ٹولز میں سے ایک سمجھیں۔ میں آپ کے RDGW سرور کو برے انٹرنیٹ سے بچانے کے بارے میں بات کرنا چاہتا ہوں۔ جب میں نے RDGW سرور سیٹ اپ کیا، تو میں فوراً سیکورٹی کے بارے میں فکر مند ہو گیا، خاص طور پر پاس ورڈ بروٹ فورس کے خلاف تحفظ۔ میں حیران تھا کہ مجھے انٹرنیٹ پر ایسا کرنے کے بارے میں کوئی مضمون نہیں ملا۔ ٹھیک ہے، آپ کو یہ خود کرنا پڑے گا.
خود RDGW کے پاس کوئی تحفظات نہیں ہیں۔ جی ہاں، اسے سفید نیٹ ورک کے ننگے انٹرفیس کے ساتھ بے نقاب کیا جا سکتا ہے اور یہ بہت اچھا کام کرے گا۔ لیکن یہ صحیح منتظم یا انفارمیشن سیکیورٹی ماہر کو پریشان کر دے گا۔ اس کے علاوہ، یہ آپ کو اکاؤنٹ بلاک کرنے کی صورت حال سے بچنے کی اجازت دے گا، جب ایک لاپرواہ ملازم نے اپنے گھر کے کمپیوٹر پر کارپوریٹ اکاؤنٹ کا پاس ورڈ یاد رکھا، اور پھر اپنا پاس ورڈ تبدیل کر دیا۔
اندرونی وسائل کو بیرونی ماحول سے بچانے کا ایک اچھا طریقہ مختلف پراکسیز، پبلشنگ سسٹمز اور دیگر WAFs کے ذریعے ہے۔ آئیے یاد رکھیں کہ RDGW اب بھی http ہے، پھر یہ صرف اندرونی سرورز اور انٹرنیٹ کے درمیان ایک خصوصی حل کو پلگ کرنے کی درخواست کرتا ہے۔
میں جانتا ہوں کہ یہاں ٹھنڈے F5، A10، Netscaler(ADC) ہیں۔ ان نظاموں میں سے ایک کے منتظم کے طور پر، میں یہ کہوں گا کہ ان سسٹمز پر وحشیانہ طاقت کے خلاف تحفظ قائم کرنا بھی ممکن ہے۔ اور ہاں، یہ سسٹمز آپ کو کسی بھی سیلاب سے بھی بچائیں گے۔
لیکن ہر کمپنی اس طرح کا حل خریدنے کی متحمل نہیں ہوسکتی ہے (اور اس طرح کے سسٹم کے لئے ایڈمنسٹریٹر تلاش کریں :) ، لیکن ساتھ ہی وہ سیکیورٹی کا بھی خیال رکھ سکتی ہے!
مفت آپریٹنگ سسٹم پر HAProxy کا مفت ورژن انسٹال کرنا مکمل طور پر ممکن ہے۔ میں نے مستحکم ذخیرے میں ڈیبیان 10، ہاپروکسی ورژن 1.8.19 پر تجربہ کیا۔ میں نے اسے ٹیسٹنگ ریپوزٹری سے ورژن 2.0.xx پر بھی آزمایا۔
ہم اس مضمون کے دائرہ کار سے باہر خود ڈیبیئن قائم کرنے کو چھوڑ دیں گے۔ مختصراً: سفید انٹرفیس پر، گرے انٹرفیس پر پورٹ 443 کے علاوہ ہر چیز کو بند کر دیں - آپ کی پالیسی کے مطابق، مثال کے طور پر، پورٹ 22 کے علاوہ ہر چیز کو بھی بند کر دیں۔ صرف وہی کھولیں جو کام کے لیے ضروری ہے (مثال کے طور پر، تیرتی آئی پی کے لیے VRRP)۔
سب سے پہلے، میں نے SSL برجنگ موڈ (عرف HTTP موڈ) میں ہاپروکسی کو کنفیگر کیا اور یہ دیکھنے کے لیے لاگنگ کو آن کیا کہ RDP کے اندر کیا ہو رہا ہے۔ تو بات کرنے کے لیے، میں بیچ میں آ گیا۔ لہذا، RDGateway کو ترتیب دینے سے متعلق "تمام" مضامین میں متعین کردہ /RDWeb پاتھ غائب ہے۔ جو کچھ ہے وہ ہے /rpc/rpcproxy.dll اور /remoteDesktopGateway/۔ اس صورت میں، معیاری GET/POST درخواستیں استعمال نہیں کی جاتی ہیں؛ ان کی اپنی قسم کی درخواست RDG_IN_DATA، RDG_OUT_DATA استعمال کی جاتی ہے۔
زیادہ نہیں، لیکن کم از کم کچھ۔
آئیے ٹیسٹ کریں۔
میں mstsc لانچ کرتا ہوں، سرور پر جاتا ہوں، لاگز میں چار 401 (غیر مجاز) غلطیاں دیکھیں، پھر میرا صارف نام/پاس ورڈ درج کریں اور جواب 200 دیکھیں۔
میں اسے آف کرتا ہوں، اسے دوبارہ شروع کرتا ہوں، اور لاگز میں مجھے وہی چار 401 غلطیاں نظر آتی ہیں۔ میں غلط لاگ ان/پاس ورڈ داخل کرتا ہوں اور دوبارہ چار 401 خرابیاں دیکھتا ہوں۔ مجھے یہی ضرورت ہے۔ یہ وہی ہے جو ہم پکڑیں گے.
چونکہ لاگ ان یو آر ایل کا تعین کرنا ممکن نہیں تھا، اور اس کے علاوہ، میں نہیں جانتا کہ ہاپروکسی میں 401 کی غلطی کو کیسے پکڑنا ہے، اس لیے میں تمام 4xx غلطیوں کو پکڑوں گا (حقیقت میں نہیں پکڑوں گا، لیکن شمار کروں گا)۔ مسئلہ حل کرنے کے لیے بھی موزوں ہے۔
تحفظ کا خلاصہ یہ ہوگا کہ ہم فی یونٹ وقت کی 4xx غلطیوں (بیک اینڈ پر) کی تعداد شمار کریں گے اور اگر یہ مخصوص حد سے زیادہ ہے، تو مخصوص وقت کے لیے اس آئی پی سے مزید تمام کنکشنز کو (فرنٹ اینڈ پر) مسترد کردیں گے۔ .
تکنیکی طور پر، یہ پاس ورڈ بروٹ فورس کے خلاف تحفظ نہیں ہوگا، یہ 4xx کی غلطیوں سے تحفظ ہوگا۔ مثال کے طور پر، اگر آپ اکثر غیر موجود یو آر ایل (404) کی درخواست کرتے ہیں، تو تحفظ بھی کام کرے گا۔
سب سے آسان اور مؤثر طریقہ یہ ہے کہ بیک اینڈ پر شمار کریں اور اگر کوئی اضافی چیز ظاہر ہو تو واپس رپورٹ کریں:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
بہترین آپشن نہیں، آئیے اسے پیچیدہ بنائیں۔ ہم بیک اینڈ پر شمار کریں گے اور فرنٹ اینڈ پر بلاک کریں گے۔
ہم حملہ آور کے ساتھ ناروا سلوک کریں گے اور اس کا TCP کنکشن ختم کر دیں گے۔
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
ایک ہی چیز، لیکن شائستگی سے، ہم غلطی واپس کر دیں گے HTTP 429 (بہت زیادہ درخواستیں)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
میں چیک کرتا ہوں: میں mstsc لانچ کرتا ہوں اور تصادفی طور پر پاس ورڈ داخل کرنا شروع کرتا ہوں۔ تیسری کوشش کے بعد، 10 سیکنڈ کے اندر یہ مجھے واپس لاتا ہے، اور mstsc ایک ایرر دیتا ہے۔ جیسا کہ نوشتہ جات میں دیکھا جا سکتا ہے۔
وضاحتیں میں ہاپروکسی ماسٹر سے بہت دور ہوں۔ مجھے سمجھ نہیں آتی کیوں، مثال کے طور پر
http-درخواست مسترد deny_status 429 اگر { sc_http_err_rate(0) gt 4 }
یہ کام کرنے سے پہلے آپ کو تقریباً 10 غلطیاں کرنے کی اجازت دیتا ہے۔
میں کاؤنٹرز کی تعداد کے بارے میں الجھن میں ہوں۔ ہاپروکسی کے ماسٹرز، مجھے خوشی ہوگی اگر آپ میری تکمیل کریں، مجھے درست کریں، مجھے بہتر بنائیں۔
تبصروں میں آپ آر ڈی گیٹ وے کی حفاظت کے لیے دوسرے طریقے تجویز کر سکتے ہیں، اس کا مطالعہ کرنا دلچسپ ہوگا۔
ونڈوز ریموٹ ڈیسک ٹاپ کلائنٹ (mstsc) کے بارے میں، یہ بات قابل غور ہے کہ یہ TLS1.2 کو سپورٹ نہیں کرتا (کم از کم ونڈوز 7 میں)، اس لیے مجھے TLS1 چھوڑنا پڑا؛ موجودہ سائفر کو سپورٹ نہیں کرتا، اس لیے مجھے پرانے کو بھی چھوڑنا پڑا۔
ان لوگوں کے لیے جو کچھ نہیں سمجھتے، صرف سیکھ رہے ہیں، اور پہلے ہی اچھا کرنا چاہتے ہیں، میں آپ کو پوری ترتیب دوں گا۔
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
پسدید پر دو سرور کیوں؟ کیونکہ اس طرح آپ غلطی کو برداشت کر سکتے ہیں۔ Haproxy ایک تیرتے ہوئے سفید آئی پی کے ساتھ بھی دو بنا سکتا ہے۔
کمپیوٹنگ وسائل: آپ "دو ٹمٹم، دو کور، گیمنگ پی سی" کے ساتھ شروع کر سکتے ہیں۔ کے مطابق یہ بچانے کے لئے کافی ہو گا.
حوالہ جات:
ماخذ: www.habr.com