🙋🏻 👨🏿‍🏫 🖥️ بوابة MS Remote Desktop و HAProxy وكلمة المرور 🐘 🚢 👶🏽

مرحبا يا أصدقاء!

هناك طرق عديدة للاتصال من المنزل إلى مكان العمل في المكتب. واحد منهم هو استخدام Microsoft Remote Desktop Gateway. هذا هو RDP عبر HTTP. لا أريد أن أتطرق إلى تكوين RDGW نفسه ، ولا أريد مناقشة سبب كونه جيدًا أو سيئًا ، فلنعامله كأحد أدوات الوصول عن بُعد. أريد أن أتحدث عن حماية خادم RDGW من الإنترنت الشرير. عندما أقوم بإعداد خادم RDGW ، أصبحت مشغولاً على الفور بالحماية ، وخاصة حماية كلمة المرور. لقد فوجئت بأنني لم أجد مقالات على الإنترنت حول كيفية القيام بذلك. حسنا ، عليك أن تفعل ذلك بنفسك.

RDGW نفسها ليس لديها أي حماية. نعم ، من الممكن فضح واجهة ~~السكك الحديدية~~ العارية في شبكة بيضاء وستعمل بشكل جيد. لكن المدير المناسب أو IB'shnik سيكون قلقًا من هذا. بالإضافة إلى ذلك ، سيسمح بتجنب وضع حظر الحساب عندما تذكر موظف مهمَل كلمة مرور حساب الشركة على الكمبيوتر المنزلي ، ثم قام بتغيير كلمة المرور الخاصة به.

طريقة جيدة لحماية الموارد الداخلية من البيئة الخارجية هي من خلال مختلف الوكلاء ، وأنظمة النشر ، وغيرها من WAFs. تذكر أن RDGW هو نفس http ، ثم يطلب مباشرة التمسك بحل متخصص بين الخوادم الداخلية والإنترنت.

أعلم أن هناك F5 و A10 و Netscaler (ADC) رائع. بصفتي المسؤول عن أحد هذه الأنظمة ، سأقول أنه من الممكن أيضًا إعداد الحماية ضد خرق هذه الأنظمة. ونعم ، ستحميك هذه الأنظمة من أي فيضان متزامن على طول الطريق.

ولكن لا تستطيع كل شركة شراء مثل هذا الحل (والعثور على المسؤول عن مثل هذا النظام :) ، ولكنها يمكن أن تهتم بالأمن!

من الممكن تثبيت الإصدار المجاني من HAProxy على نظام تشغيل مجاني. اختبرت في دبيان 10 ، في نسخة مستودع مستقرة من haproxy 1.8.19. راجعت أيضًا على الإصدار 2.0.xx من مستودع الاختبار.

يعد إعداد دبيان نفسه خارج نطاق هذه المقالة. باختصار: على الواجهة البيضاء ، أغلق كل شيء باستثناء 443 منفذًا ، على الواجهة الرمادية - وفقًا لسياستك ، على سبيل المثال ، أغلق كل شيء باستثناء 22 منفذًا. افتح فقط ما هو ضروري للعمل (VRRP على سبيل المثال ، للملكية الفكرية العائمة).

بادئ ذي بدء ، قمت بتكوين haproxy على وضع جسر SSL (الملقب http الوضع) وقمت بتشغيل التسجيل لمعرفة ما يحدث داخل RDP. إذا جاز التعبير ، صعد في الوسط. لذلك ، مسار / RDWeb المحدد في "كافة" المقالات حول تكوين RDGateway مفقود. كل ما هو موجود /rpc/rpcproxy.dll و / remoteDesktopGateway /. في هذه الحالة ، لا يتم استخدام طلبات GET / POST القياسية ، ونوع الطلب الخاص بها هو RDG_IN_DATA ، RDG_OUT_DATA.

ليس كثيرًا ، ولكن على الأقل شيء.

دعونا نختبر.

أبدأ mstsc ، وأذهب إلى الخادم ، وأرى أربعة أخطاء 401 (غير مصرح بها) في السجلات ، ثم أدخل إدخال تسجيل الدخول / كلمة المرور وأرى الإجابة 200.

أوقف التشغيل ، وأبدأ مرة أخرى ، وأرى نفس الأخطاء الأربعة 401 في السجلات. وأدخل اسم المستخدم / كلمة المرور الخطأ وأرى أربعة مرة أخرى أخطاء 401. ما تحتاجه. هذا ما سنلتقطه.

نظرًا لأنه لم يكن من الممكن تحديد عنوان URL لتسجيل الدخول ، بالإضافة إلى أنني لا أعرف كيفية اكتشاف خطأ 401 في haproxy ، فسوف ألاحظ (ليس في الواقع ، ولكن أحسب) جميع أخطاء 4xx. سعيد أيضا لحل المشكلة.

سيكون جوهر الحماية هو أننا سنحسب عدد أخطاء 4xx (على الواجهة الخلفية) لكل وحدة زمنية وإذا تجاوزت الحد المحدد ، فقم برفض (على الواجهة الأمامية) جميع الاتصالات الإضافية من هذا IP في الوقت المحدد.

من الناحية الفنية ، لن تكون هذه حماية بكلمة مرور ، بل ستكون حماية من الخطأ 4xx. على سبيل المثال ، إذا طلبت بشكل متكرر عنوان url غير موجود (404) ، فستعمل الحماية أيضًا.

الطريقة الأسهل والأكثر عملًا هي العد والضرب على الواجهة الخلفية ، إذا ظهر شيء غير ضروري:

frontend fe_rdp_tsc
    bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
    mode http
    ...
    default_backend be_rdp_tsc


backend be_rdp_tsc
    ...
    mode http
    ...

    # , , 1000 ,   15 ,  -    10 
    stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
    # ip
    http-request track-sc0 src
    #  http  429,    10   4 
    http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
	
	...
    server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
    server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02

ليس خيارًا جيدًا ، معقد. سنعتمد على الواجهة الخلفية ، ونحظرها على الواجهة الأمامية.

سنتصرف بوقاحة مع المهاجم ، وسنسقط اتصال TCP معه.

frontend fe_rdp_tsc
    bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
    mode http
    ...
    #  ip , 1000 ,   15 ,    
    stick-table type ip size 1k expire 15s store gpc0
    # 
    tcp-request connection track-sc0 src
    # tcp ,    >0
    tcp-request connection reject if { sc0_get_gpc0 gt 0 }
	
    ...
    default_backend be_rdp_tsc


backend be_rdp_tsc
    ...
    mode http
    ...
	
    #  ip , 1000 ,   15 ,  -   10 
    stick-table type ip size 1k expire 15s store http_err_rate(10s)
    # ,  -   10   8
    acl errors_too_fast sc1_http_err_rate gt 8
    #     ( )
    acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
    #  
    acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
    # 
    tcp-request content track-sc1 src
    #, ,  
    tcp-request content reject if errors_too_fast mark_as_abuser
    #,   
    tcp-request content accept if !errors_too_fast clear_as_abuser
	
    ...
    server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
    server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02

نفس الشيء ، ولكن بأدب ، سنعرض الخطأ http 429 (طلبات كثيرة جدًا)

frontend fe_rdp_tsc
    ...
    stick-table type ip size 1k expire 15s store gpc0
    http-request track-sc0 src
    http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
    ...
    default_backend be_rdp_tsc

backend be_rdp_tsc
    ...
    stick-table type ip size 1k expire 15s store http_err_rate(10s)
    acl errors_too_fast sc1_http_err_rate gt 8
    acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
    acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
    http-request track-sc1 src
    http-request allow if !errors_too_fast clear_as_abuser
    http-request deny deny_status 429 if errors_too_fast mark_as_abuser
    ...

تحقق: تشغيل mstsc وبدء إدخال كلمات المرور بشكل عشوائي. بعد المحاولة الثالثة ، ركلني خلال 10 ثوانٍ ، وأعطى mstsc خطأ. كما يمكن رؤيته في السجلات.

تفسيرات أنا بعيد عن سيد haproxy. لا أفهم لماذا ، على سبيل المثال ،
رفض http-request deny_status 429 إذا كان {sc_http_err_rate (0) gt 4}
يسمح لك بارتكاب حوالي 10 أخطاء قبل أن يعمل.

أنا مرتبك في ترقيم العدادات. سادة Haproxy ، سأكون سعيدًا إذا قمت بتكملي ، صححني ، أحسنت.

في التعليقات ، يمكنك رمي طرق أخرى لحماية بوابة RD ، سيكون من المثير للاهتمام الدراسة.

فيما يتعلق ببرنامج Windows Remote Desktop Client (mstsc) ، تجدر الإشارة إلى أنه لا يدعم TLS1.2 (على الأقل في Windows 7) ، لذلك اضطررت لمغادرة TLS1 ؛ لا يدعم التشفير الحالي ، لذلك اضطررت أيضًا إلى مغادرة القديمة.

بالنسبة لأولئك الذين ~~لا يفهمون أي شيء ،~~ مجرد التعلم ، ويريدون فعلًا جيدًا ، سأقدم التكوين بالكامل.

haproxy.conf

global
        log /dev/log    local0
        log /dev/log    local1 notice
        chroot /var/lib/haproxy
        stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
        stats timeout 30s
        user haproxy
        group haproxy
        daemon

        # Default SSL material locations
        ca-base /etc/ssl/certs
        crt-base /etc/ssl/private

        # See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
        #ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
        ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
        ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
        #ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
        ssl-default-bind-options no-sslv3
        ssl-server-verify none


defaults
        log     global
        mode    http
        option  httplog
        option  dontlognull
        timeout connect 5000
        timeout client  15m
        timeout server  15m
        errorfile 400 /etc/haproxy/errors/400.http
        errorfile 403 /etc/haproxy/errors/403.http
        errorfile 408 /etc/haproxy/errors/408.http
        errorfile 500 /etc/haproxy/errors/500.http
        errorfile 502 /etc/haproxy/errors/502.http
        errorfile 503 /etc/haproxy/errors/503.http
        errorfile 504 /etc/haproxy/errors/504.http


frontend fe_rdp_tsc
    bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
    mode http
    capture request header Host len 32
    log global
    option httplog
    timeout client 300s
    maxconn 1000

    stick-table type ip size 1k expire 15s store gpc0
    tcp-request connection track-sc0 src
    tcp-request connection reject if { sc0_get_gpc0 gt 0 }

    acl rdweb_domain hdr(host) -i beg dektop.example.com
    http-request deny deny_status 400 if !rdweb_domain
    default_backend be_rdp_tsc


backend be_rdp_tsc
    balance source
    mode http
    log global

    stick-table type ip size 1k expire 15s store http_err_rate(10s)
    acl errors_too_fast sc1_http_err_rate gt 8
    acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
    acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
    tcp-request content track-sc1 src
    tcp-request content reject if errors_too_fast mark_as_abuser
    tcp-request content accept if !errors_too_fast clear_as_abuser

    option forwardfor
    http-request add-header X-CLIENT-IP %[src]

    option httpchk GET /
    cookie RDPWEB insert nocache
    default-server inter 3s    rise 2  fall 3
    server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
    server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02


frontend fe_stats
    mode http
    bind *:8080
    acl ip_allow_admin src 192.168.66.66
    stats enable
    stats uri /stats
    stats refresh 30s
    #stats admin if LOCALHOST
    stats admin if ip_allow_admin

لماذا خادمان على الواجهة الخلفية؟ لأن هذه هي الطريقة التي يمكن أن يتم بها التسامح مع الخطأ. يمكن لـ Haproxy أيضًا القيام باثنين مع IP أبيض عائم.

موارد الحوسبة: يمكنك البدء بـ "اثنين من العربات ، نواتين ، كمبيوتر ألعاب". وفقًا لويكيبيديا ، سيكون هذا كافيًا بهامش.

الروابط:

تكوين بوابة rdp من HAProxy المقال الوحيد الذي وجدته حيث انزعجت من كسر كلمة المرور

بوابة MS Remote Desktop و HAProxy وكلمة المرور

More articles: