Các bạn ơi, xin chào!
Có nhiều cách để kết nối từ nhà đến không gian làm việc tại văn phòng của bạn. Một trong số đó là sử dụng Microsoft Remote Desktop Gateway. Đây là RDP qua HTTP. Tôi không muốn đề cập đến việc thiết lập RDGW ở đây, tôi không muốn thảo luận tại sao nó tốt hay xấu, hãy coi nó như một trong những công cụ truy cập từ xa. Tôi muốn nói về việc bảo vệ máy chủ RDGW của bạn khỏi mạng Internet độc ác. Khi tôi thiết lập máy chủ RDGW, tôi ngay lập tức lo ngại về vấn đề bảo mật, đặc biệt là việc bảo vệ khỏi sự tấn công mạnh mẽ của mật khẩu. Tôi rất ngạc nhiên khi không tìm thấy bất kỳ bài viết nào trên Internet về cách thực hiện việc này. Vâng, bạn sẽ phải tự làm điều đó.
Bản thân RDGW không có bất kỳ biện pháp bảo vệ nào. Có, nó có thể được hiển thị với giao diện trần với mạng màu trắng và nó sẽ hoạt động tốt. Nhưng điều này sẽ khiến quản trị viên hoặc chuyên gia bảo mật thông tin phải khó chịu. Ngoài ra, nó sẽ giúp bạn tránh được tình trạng bị khóa tài khoản, khi nhân viên bất cẩn ghi nhớ mật khẩu tài khoản công ty trên máy tính ở nhà rồi đổi mật khẩu.
Một cách tốt để bảo vệ tài nguyên nội bộ khỏi môi trường bên ngoài là thông qua nhiều proxy, hệ thống xuất bản và các WAF khác. Hãy nhớ rằng RDGW vẫn là http, sau đó nó chỉ yêu cầu cắm một giải pháp chuyên biệt giữa các máy chủ nội bộ và Internet.
Tôi biết rằng có F5, A10, Netscaler(ADC) thú vị. Với tư cách là quản trị viên của một trong những hệ thống này, tôi sẽ nói rằng cũng có thể thiết lập tính năng bảo vệ chống lại bạo lực trên các hệ thống này. Và vâng, những hệ thống này cũng sẽ bảo vệ bạn khỏi mọi trận lụt đồng bộ.
Nhưng không phải công ty nào cũng có đủ khả năng để mua một giải pháp như vậy (và tìm quản trị viên cho hệ thống như vậy :), nhưng đồng thời họ có thể quan tâm đến vấn đề bảo mật!
Hoàn toàn có thể cài đặt phiên bản HAProxy miễn phí trên hệ điều hành miễn phí. Tôi đã thử nghiệm trên Debian 10, phiên bản haproxy 1.8.19 trong kho ổn định. Tôi cũng đã thử nghiệm nó trên phiên bản 2.0.xx từ kho thử nghiệm.
Chúng tôi sẽ để việc thiết lập debian nằm ngoài phạm vi của bài viết này. Tóm lại: trên giao diện màu trắng, đóng mọi thứ trừ cổng 443, trên giao diện màu xám - chẳng hạn, theo chính sách của bạn, cũng đóng mọi thứ trừ cổng 22. Chỉ mở những gì cần thiết cho công việc (ví dụ VRRP cho ip nổi).
Trước hết, tôi đã định cấu hình haproxy ở chế độ cầu nối SSL (còn gọi là chế độ http) và bật ghi nhật ký để xem điều gì đang diễn ra bên trong RDP. Có thể nói, tôi đã ở giữa. Vì vậy, đường dẫn /RDWeb được chỉ định trong bài viết “tất cả” về cách thiết lập RDGateway bị thiếu. Tất cả những gì có ở đó là /rpc/rpcproxy.dll và /remoteDesktopGateway/. Trong trường hợp này, các yêu cầu GET/POST tiêu chuẩn không được sử dụng; loại yêu cầu riêng của chúng là RDG_IN_DATA, RDG_OUT_DATA được sử dụng.
Không nhiều, nhưng ít nhất là một cái gì đó.
Hãy kiểm tra.
Tôi khởi chạy mstsc, truy cập máy chủ, thấy bốn lỗi 401 (trái phép) trong nhật ký, sau đó nhập tên người dùng/mật khẩu của tôi và xem phản hồi 200.
Tôi tắt nó đi, khởi động lại và trong nhật ký, tôi thấy bốn lỗi 401 tương tự. Tôi nhập sai thông tin đăng nhập/mật khẩu và lại thấy bốn lỗi 401. Đó là những gì tôi cần. Đây là những gì chúng ta sẽ bắt được.
Vì không thể xác định url đăng nhập và hơn nữa, tôi không biết cách bắt lỗi 401 trong haproxy nên tôi sẽ bắt (không thực sự bắt mà đếm) tất cả các lỗi 4xx. Cũng thích hợp để giải quyết vấn đề.
Bản chất của biện pháp bảo vệ là chúng tôi sẽ đếm số lỗi 4xx (trên phần phụ trợ) trên một đơn vị thời gian và nếu vượt quá giới hạn đã chỉ định, thì sẽ từ chối (trên giao diện người dùng) tất cả các kết nối tiếp theo từ ip này trong thời gian đã chỉ định. .
Về mặt kỹ thuật, đây sẽ không phải là biện pháp bảo vệ chống lại sự tấn công mạnh mẽ của mật khẩu mà là bảo vệ chống lại các lỗi 4xx. Ví dụ: nếu bạn thường yêu cầu một url không tồn tại (404), thì tính năng bảo vệ cũng sẽ hoạt động.
Cách đơn giản và hiệu quả nhất là dựa vào phần phụ trợ và báo cáo lại nếu có bất kỳ điều gì bổ sung xuất hiện:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#запомнить ip
http-request track-sc0 src
#запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Không phải là lựa chọn tốt nhất, hãy phức tạp hóa nó. Chúng tôi sẽ dựa vào phần phụ trợ và chặn ở phần giao diện người dùng.
Chúng tôi sẽ đối xử thô lỗ với kẻ tấn công và hủy kết nối TCP của hắn.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика
stick-table type ip size 1k expire 15s store gpc0
#взять источник
tcp-request connection track-sc0 src
#отклонить tcp соединение, если глобальный счётчик >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#много ошибок, если кол-во ошибок за 10 сек превысило 8
acl errors_too_fast sc1_http_err_rate gt 8
#пометить атаку в глобальном счётчике (увеличить счётчик)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#обнулить глобальный счётчик
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#взять источник
tcp-request content track-sc1 src
#отклонить, пометить, что атака
tcp-request content reject if errors_too_fast mark_as_abuser
#разрешить, сбросить флажок атаки
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
điều tương tự, nhưng lịch sự, chúng tôi sẽ trả về lỗi http 429 (Quá nhiều yêu cầu)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Tôi kiểm tra: Tôi khởi chạy mstsc và bắt đầu nhập mật khẩu ngẫu nhiên. Sau lần thử thứ ba, trong vòng 10 giây, nó phản hồi lại tôi và mstsc báo lỗi. Như có thể thấy trong nhật ký.
Giải thích. Tôi không phải là một bậc thầy về haproxy. Tôi không hiểu tại sao, chẳng hạn
http-request từ chối từ chối_status 429 if { sc_http_err_rate(0) gt 4 }
cho phép bạn mắc khoảng 10 lỗi trước khi nó hoạt động.
Tôi bối rối về việc đánh số các quầy. Các bậc thầy về haproxy, tôi sẽ rất vui nếu bạn bổ sung, sửa lỗi cho tôi, làm cho tôi tốt hơn.
Trong phần nhận xét, bạn có thể đề xuất các cách khác để bảo vệ RD Gateway, sẽ rất thú vị khi nghiên cứu.
Về Windows Remote Desktop Client (mstsc), điều đáng chú ý là nó không hỗ trợ TLS1.2 (ít nhất là trong Windows 7), vì vậy tôi phải rời khỏi TLS1; không hỗ trợ mật mã hiện tại nên tôi cũng phải bỏ đi mật mã cũ.
Bạn nào chưa hiểu gì, mới học mà đã muốn làm tốt thì mình gửi full config.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
Tại sao có hai máy chủ ở phần phụ trợ? Bởi vì đây là cách bạn có thể tạo ra khả năng chịu lỗi. Haproxy cũng có thể tạo hai cái với một ip trắng nổi.
Tài nguyên máy tính: bạn có thể bắt đầu với “hai gig, hai lõi, PC chơi game”. Dựa theo điều này sẽ đủ để dự phòng.
Links:
Nguồn: www.habr.com