Hai teman!Ada banyak cara untuk terhubung dari rumah ke tempat kerja di kantor. Salah satunya adalah dengan menggunakan Microsoft Remote Desktop Gateway. Ini adalah RDP melalui HTTP. Saya tidak ingin menyentuh konfigurasi RDGW itu sendiri, saya tidak ingin membahas mengapa ini baik atau buruk, mari kita perlakukan itu sebagai salah satu alat akses jarak jauh. Saya ingin berbicara tentang melindungi server RDGW Anda dari Internet jahat. Ketika saya mengatur server RDGW, saya langsung disibukkan dengan perlindungan, terutama perlindungan kata sandi. Saya terkejut bahwa saya tidak menemukan artikel di Internet tentang cara melakukan ini. Nah, Anda harus melakukannya sendiri.RDGW sendiri tidak memiliki perlindungan. Ya, dimungkinkan untuk mengekspos antarmuka rel kosong di jaring putih dan akan berfungsi dengan baik. Tetapi administrator yang tepat atau IB'shnik akan resah karenanya. Selain itu, ini akan memungkinkan menghindari situasi memblokir akun ketika karyawan yang lalai mengingat kata sandi akun perusahaan di komputer rumah, dan kemudian mengubah kata sandinya.Cara yang baik untuk melindungi sumber daya internal dari lingkungan eksternal adalah melalui berbagai proksi, sistem penerbitan, dan WAF lainnya. Ingat bahwa RDGW adalah http yang sama, maka secara langsung memohon untuk tetap menggunakan solusi khusus antara server internal dan Internet.Saya tahu ada F5, A10, Netscaler (ADC) yang keren. Sebagai administrator dari salah satu sistem ini, saya akan mengatakan bahwa itu juga mungkin untuk mengatur perlindungan terhadap penghancuran pada sistem ini. Dan ya, sistem ini akan melindungi Anda dari setiap banjir sin di sepanjang jalan.Tetapi tidak setiap perusahaan mampu membeli solusi seperti itu (dan menemukan administrator dari sistem seperti itu :), tetapi dapat menjaga keamanan!Dimungkinkan untuk menginstal versi gratis HAProxy pada sistem operasi gratis. Saya menguji pada Debian 10, dalam versi repositori stabil haproxy 1.8.19. Saya juga memeriksa versi 2.0.xx dari repositori pengujian.Menyiapkan debian sendiri berada di luar cakupan artikel ini. Secara singkat: pada antarmuka putih, tutup semuanya kecuali 443 port, pada antarmuka abu-abu - sesuai dengan kebijakan Anda, misalnya, tutup semuanya kecuali 22 port. Buka hanya apa yang diperlukan untuk bekerja (VRRP misalnya, untuk ip mengambang).Pertama-tama, saya mengkonfigurasi haproxy ke mode bridging SSL (alias mode http) dan menyalakan logging untuk melihat apa yang terjadi di dalam RDP. Jadi untuk berbicara, naik di tengah. Jadi, path / RDWeb yang ditentukan dalam "semua" artikel tentang konfigurasi RDGateway hilang. Semua yang ada di sana adalah /rpc/rpcproxy.dll dan / remoteDesktopGateway /. Dalam hal ini, permintaan GET / POST standar tidak digunakan, jenis permintaannya sendiri adalah RDG_IN_DATA, RDG_OUT_DATA.Tidak banyak, tapi setidaknya sesuatu.Ayo tes.Saya mulai mstsc, pergi ke server, saya melihat empat 401 kesalahan (tidak sah) di log, kemudian saya masukkan login / kata sandi dan saya melihat jawabannya 200. Sayamematikan, saya mulai lagi, saya melihat empat 401 kesalahan yang sama dalam log. Saya memasukkan nama pengguna / kata sandi yang salah dan saya melihat empat lagi kesalahan 401. Apa yang Anda butuhkan. Ini yang akan kita tangkap.Karena tidak mungkin untuk menentukan url login, dan selain itu, saya tidak tahu bagaimana cara menangkap kesalahan 401 di haproxy, saya akan menangkap (tidak benar-benar menangkap, tetapi menghitung) semua kesalahan 4xx. Juga senang untuk menyelesaikan masalah.Inti dari perlindungan adalah bahwa kita akan menghitung jumlah kesalahan 4xx (di backend) per unit waktu dan jika melebihi batas yang ditentukan, maka tolak (di frontend) semua koneksi lebih lanjut dari ip ini untuk waktu yang ditentukan.Secara teknis, ini bukan proteksi kata sandi, melainkan proteksi kesalahan 4xx. Misalnya, jika Anda sering meminta url yang tidak ada (404), perlindungan juga akan berfungsi.Cara termudah dan paling berhasil adalah menghitung dan mengalahkan backend, jika sesuatu yang berlebihan muncul:frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
http-request track-sc0 src
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
Bukan pilihan yang bagus, rumit. Kami akan mengandalkan backend, dan memblokirnya di frontend.Kami akan bertindak kasar dengan penyerang, kami akan menjatuhkan koneksi tcp kepadanya.frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
hal yang sama, tetapi dengan sopan, kami akan mengembalikan kesalahan http 429 (Terlalu Banyak Permintaan)frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
Periksa: jalankan mstsc dan mulai masukkan kata sandi secara acak. Setelah upaya ketiga, itu menendang saya dalam 10 detik, dan mstsc memberikan kesalahan. Seperti yang bisa dilihat di log.Penjelasan Saya jauh dari master haproxy. Saya tidak mengerti mengapa, misalnya,http-request deny deny_status 429 jika {sc_http_err_rate (0) gt 4}memungkinkan Anda membuat sekitar 10 kesalahan sebelum berfungsi.Saya bingung dalam penomoran konter. Haproxy master, saya akan senang jika Anda melengkapi saya, koreksi saya, lakukan lebih baik.Dalam komentar, Anda bisa menggunakan cara lain untuk melindungi RD Gateway, itu akan menarik untuk dipelajari.Mengenai Windows Remote Desktop Client (mstsc), perlu dicatat bahwa itu tidak mendukung TLS1.2 (setidaknya di Windows 7), jadi saya harus meninggalkan TLS1; tidak mendukung cipher saat ini, jadi saya juga harus meninggalkan yang lama.Bagi mereka yang tidak mengerti apa-apa, hanya belajar, dan sudah ingin melakukannya dengan baik, saya akan memberikan seluruh konfigurasi.haproxy.confglobal
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
stats admin if ip_allow_admin
Mengapa dua server di backend? Karena inilah cara toleransi kesalahan dapat dilakukan. Haproxy juga dapat melakukan dua dengan ip putih mengambang.Sumber daya komputasi: Anda dapat mulai dengan "dua pertunjukan, dua inti, PC game." Menurut Wikipedia, ini akan cukup dengan margin.Tautan:Mengkonfigurasi rdp-gateway dari HAProxy Satu-satunya artikel yang saya temukan di mana saya merasa terganggu dengan pemecahan kata sandi