Do'stlar, salom!
Uydan ofis ish joyiga ulanishning ko'plab usullari mavjud. Ulardan biri Microsoft Remote Desktop Gateway-dan foydalanishdir. Bu HTTP orqali RDP. Men bu erda RDGW-ning o'zini o'rnatishga tegmoqchi emasman, nima uchun bu yaxshi yoki yomon ekanligini muhokama qilishni xohlamayman, keling, uni masofadan kirish vositalaridan biri sifatida ko'rib chiqaylik. RDGW serveringizni yovuz Internetdan himoya qilish haqida gapirmoqchiman. Men RDGW serverini o'rnatganimda, men darhol xavfsizlik, ayniqsa parolni qo'pol kuchdan himoya qilish haqida tashvishlanardim. Buni qanday qilish kerakligi haqida Internetda hech qanday maqola topmaganimga hayron bo'ldim. Xo'sh, buni o'zingiz qilishingiz kerak.
RDGW ning o'zi hech qanday himoyaga ega emas. Ha, u oq tarmoqqa yalang'och interfeys bilan ta'sir qilishi mumkin va u ajoyib ishlaydi. Ammo bu to'g'ri ma'mur yoki axborot xavfsizligi bo'yicha mutaxassisni bezovta qiladi. Bundan tashqari, bu sizga e'tiborsiz xodim o'z uy kompyuterida korporativ akkaunt parolini eslab qolgan va keyin parolini o'zgartirganida, hisob blokirovkasi holatidan qochish imkonini beradi.
Ichki resurslarni tashqi muhitdan himoya qilishning yaxshi usuli turli proksi-serverlar, nashriyot tizimlari va boshqa WAF-lardir. RDGW hali ham http ekanligini eslaylik, keyin u faqat ichki serverlar va Internet o'rtasida maxsus echimni ulashni iltimos qiladi.
Men ajoyib F5, A10, Netcaler (ADC) borligini bilaman. Ushbu tizimlardan birining administratori sifatida shuni aytamanki, ushbu tizimlarda qo'pol kuchdan himoya qilishni ham o'rnatish mumkin. Va ha, bu tizimlar sizni har qanday sinxron toshqindan himoya qiladi.
Ammo har bir kompaniya bunday echimni sotib olishga qodir emas (va bunday tizim uchun ma'murni toping :), lekin ayni paytda ular xavfsizlikka g'amxo'rlik qilishlari mumkin!
Bepul operatsion tizimda HAProxy-ning bepul versiyasini o'rnatish butunlay mumkin. Men Debian 10, 1.8.19 haproxy versiyasini barqaror omborda sinab ko'rdim. Men uni sinov omboridan 2.0.xx versiyasida ham sinab ko'rdim.
Biz debianni o'rnatishni ushbu maqola doirasidan tashqarida qoldiramiz. Qisqacha aytganda: oq interfeysda 443-portdan tashqari hamma narsani yoping, kulrang interfeysda - siyosatingizga ko'ra, masalan, 22-portdan tashqari hamma narsani yoping. Faqat ish uchun zarur bo'lgan narsalarni oching (VRRP, masalan, suzuvchi ip uchun).
Avvalo, men SSL ko'prik rejimida (aka http rejimi) haproksini sozladim va RDP ichida nima sodir bo'layotganini ko'rish uchun tizimga kirishni yoqdim. Xullas, o‘rtaga tushib qoldim. Shunday qilib, RDGateway-ni sozlash bo'yicha "barcha" maqolalarida ko'rsatilgan /RDWeb yo'li yo'q. U erda hamma narsa /rpc/rpcproxy.dll va /remoteDesktopGateway/. Bunday holda, standart GET/POST so'rovlari ishlatilmaydi, ularning RDG_IN_DATA, RDG_OUT_DATA so'rovlari turi ishlatiladi.
Ko'p emas, lekin hech bo'lmaganda biror narsa.
Keling, sinab ko'raylik.
Men mstsc ni ishga tushiraman, serverga o'taman, jurnallarda to'rtta 401 (ruxsatsiz) xatolarni ko'raman, keyin mening foydalanuvchi nomim/parolimni kiritaman va 200 javobini ko'raman.
Men uni o'chirib qo'yaman, qaytadan boshlayman va jurnallarda men bir xil to'rtta 401 xatoni ko'raman. Men noto'g'ri login/parolni kiritdim va yana to'rtta 401 xatoni ko'raman. Bu menga kerak. Bu biz qo'lga kiritadigan narsadir.
Kirish url-ni aniqlashning iloji bo'lmagani uchun va bundan tashqari, haproxy-da 401 xatosini qanday aniqlashni bilmayman, men barcha 4xx xatolarini ushlayman (aslida tutmayman, lekin hisoblayman). Muammoni hal qilish uchun ham mos keladi.
Himoyaning mohiyati shundan iboratki, biz vaqt birligi uchun 4xx xatolik (orqa tomonda) sonini hisoblaymiz va agar u belgilangan chegaradan oshib ketsa, belgilangan vaqt davomida ushbu IP-dan keyingi barcha ulanishlarni rad etamiz (frontendda). .
Texnik jihatdan, bu parol qo'pol kuchdan himoya bo'lmaydi, bu 4xx xatolaridan himoya bo'ladi. Misol uchun, agar siz tez-tez mavjud bo'lmagan URL manzilini (404) so'rasangiz, himoya ham ishlaydi.
Eng oddiy va eng samarali usul bu orqa qismga ishonish va qo'shimcha biror narsa paydo bo'lsa, hisobot berishdir:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Eng yaxshi variant emas, keling, uni murakkablashtiramiz. Biz orqa tomonda hisoblaymiz va old tomondan bloklaymiz.
Biz tajovuzkorga qo'pol muomala qilamiz va uning TCP ulanishini uzamiz.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Xuddi shu narsa, lekin muloyimlik bilan biz http 429 xatosini qaytaramiz (juda ko'p so'rovlar)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Men tekshiraman: mstsc-ni ishga tushiraman va parollarni tasodifiy kiritishni boshlayman. Uchinchi urinishdan so'ng, 10 soniya ichida u meni orqaga qaytaradi va mstsc xato beradi. Jurnallarda ko'rinib turganidek.
Tushuntirishlar. Men haproksi ustasidan yiroqman. Men tushunmayapman, masalan, nima uchun
http-so'rov rad etish rad etish_status 429 agar { sc_http_err_rate(0) gt 4}
ishlashdan oldin taxminan 10 ta xatoga yo'l qo'yish imkonini beradi.
Men hisoblagichlarni raqamlashdan adashdim. Haproxy ustalari, agar siz meni to'ldirsangiz, tuzatsangiz va yaxshilasangiz xursand bo'laman.
Izohlarda siz RD Gateway-ni himoya qilishning boshqa usullarini taklif qilishingiz mumkin, o'rganish qiziqarli bo'ladi.
Windows masofaviy ish stoli mijoziga (mstsc) kelsak, shuni ta'kidlash kerakki, u TLS1.2 ni qo'llab-quvvatlamaydi (hech bo'lmaganda Windows 7 da), shuning uchun men TLS1 ni tark etishga majbur bo'ldim; joriy shifrni qo'llab-quvvatlamaydi, shuning uchun men ham eskilarini tark etishga majbur bo'ldim.
Hech narsani tushunmaydigan, endigina o'rganayotgan va allaqachon yaxshi ishlamoqchi bo'lganlar uchun men sizga butun konfiguratsiyani beraman.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Nima uchun ikkita server orqa tomonda? Chunki shunday qilib siz xatolarga chidamli bo'lishingiz mumkin. Haproxy shuningdek, suzuvchi oq ip bilan ikkita yaratishi mumkin.
Hisoblash resurslari: siz "ikki konsert, ikkita yadro, o'yin kompyuteri" dan boshlashingiz mumkin. Ga binoan bu zaxira qilish uchun etarli bo'ladi.
Manbalar:
Manba: www.habr.com