Get best of the week

Gateway de Área de Trabalho Remota da Microsoft, HAProxy e adivinhação de senha

Oi amigos!

Existem muitas maneiras de conectar-se de casa a um local de trabalho em um escritório. Um deles é usar o Microsoft Remote Desktop Gateway. Este é RDP sobre HTTP. Não quero abordar a configuração do RDGW, não quero discutir por que ele é bom ou ruim, vamos tratá-lo como uma das ferramentas de acesso remoto. Quero falar sobre como proteger seu servidor RDGW da Internet maligna. Quando configurei o servidor RDGW, fiquei imediatamente preocupado com a proteção, principalmente com a senha. Fiquei surpreso por não encontrar artigos na Internet sobre como fazer isso. Bem, você tem que fazer isso sozinho.

O RDGW em si não possui nenhuma proteção. Sim, é possível expor uma interface bare rail em uma rede branca e funcionará perfeitamente. Mas o administrador certo ou o IB'shnik ficarão inquietos com isso. Além disso, permitirá evitar a situação de bloqueio de uma conta quando um funcionário negligente se lembrar da senha da conta corporativa no computador doméstico e depois alterar sua senha.

Uma boa maneira de proteger recursos internos do ambiente externo é por meio de vários proxies, sistemas de publicação e outros WAFs. Lembre-se de que o RDGW é o mesmo http e, em seguida, implora diretamente para manter uma solução especializada entre servidores internos e a Internet.

Eu sei que existem legais F5, A10, Netscaler (ADC). Como administrador de um desses sistemas, direi que também é possível configurar a proteção contra falhas nesses sistemas. E sim, esses sistemas o protegerão de qualquer inundação de sincronia ao longo do caminho.

Mas nem toda empresa pode comprar uma solução desse tipo (e encontrar o administrador desse sistema :), mas ela pode cuidar da segurança!

É possível instalar a versão gratuita do HAProxy em um sistema operacional livre. Eu testei no Debian 10, na versão do repositório estável do haproxy 1.8.19. Também verifiquei a versão 2.0.xx do repositório de testes.

A instalação do próprio debian está além do escopo deste artigo. Resumidamente: na interface branca, feche tudo, exceto 443 portas, na interface cinza - de acordo com sua política, por exemplo, feche tudo, exceto 22 portas. Abra apenas o necessário para o trabalho (VRRP, por exemplo, para ip flutuante).

Antes de tudo, configurei o haproxy para o modo de ponte SSL (também conhecido como modo http) e ativei o log para ver o que se passa dentro do RDP. Por assim dizer, subiu no meio. Portanto, o caminho / RDWeb especificado em "todos" artigos sobre a configuração de RDGateway está ausente. Tudo o que existe é /rpc/rpcproxy.dll e / remoteDesktopGateway /. Nesse caso, as solicitações GET / POST padrão não são usadas, seu próprio tipo de solicitação é RDG_IN_DATA, RDG_OUT_DATA.

Não muito, mas pelo menos alguma coisa.

Vamos testar.

Inicio mstsc, vou para o servidor, vejo quatro erros 401 (não autorizados) nos logs, digito o login / senha e vejo a resposta 200. Desligo

, inicio novamente, vejo os mesmos quatro erros 401 nos logs. Digito o nome de usuário / senha incorretos e vejo quatro novamente erros 401. O que você precisa. É isso que vamos pegar.

Como não foi possível determinar o URL de login e, além disso, não sei como capturar o erro 401 no haproxy, capturarei (na verdade não capturarei, mas contarei) todos os erros 4xx. Também feliz em resolver o problema.

A essência da proteção será que contaremos o número de erros 4xx (no back-end) por unidade de tempo e, se exceder o limite especificado, rejeitaremos (no front-end) todas as conexões adicionais deste ip pelo tempo especificado.

Tecnicamente, isso não será uma proteção por senha, será uma proteção de erro 4xx. Por exemplo, se você solicitar frequentemente um URL inexistente (404), a proteção também funcionará.

A maneira mais fácil e mais eficaz é contar e bater no back-end, se algo supérfluo aparecer:

frontend fe_rdp_tsc
    bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
    mode http
    ...
    default_backend be_rdp_tsc


backend be_rdp_tsc
    ...
    mode http
    ...

    # , , 1000 ,   15 ,  -    10 
    stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
    # ip
    http-request track-sc0 src
    #  http  429,    10   4 
    http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
	
	...
    server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
    server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02

Não é uma boa opção, complique. Contaremos com o back-end e o bloquearemos no front-end.

Agiremos de maneira grosseira com o atacante, derrubaremos a conexão TCP para ele.

frontend fe_rdp_tsc
    bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
    mode http
    ...
    #  ip , 1000 ,   15 ,    
    stick-table type ip size 1k expire 15s store gpc0
    # 
    tcp-request connection track-sc0 src
    # tcp ,    >0
    tcp-request connection reject if { sc0_get_gpc0 gt 0 }
	
    ...
    default_backend be_rdp_tsc


backend be_rdp_tsc
    ...
    mode http
    ...
	
    #  ip , 1000 ,   15 ,  -   10 
    stick-table type ip size 1k expire 15s store http_err_rate(10s)
    # ,  -   10   8
    acl errors_too_fast sc1_http_err_rate gt 8
    #     ( )
    acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
    #  
    acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
    # 
    tcp-request content track-sc1 src
    #, ,  
    tcp-request content reject if errors_too_fast mark_as_abuser
    #,   
    tcp-request content accept if !errors_too_fast clear_as_abuser
	
    ...
    server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
    server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02

a mesma coisa, mas educadamente, retornaremos o erro http 429 (muitas solicitações)

frontend fe_rdp_tsc
    ...
    stick-table type ip size 1k expire 15s store gpc0
    http-request track-sc0 src
    http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
    ...
    default_backend be_rdp_tsc

backend be_rdp_tsc
    ...
    stick-table type ip size 1k expire 15s store http_err_rate(10s)
    acl errors_too_fast sc1_http_err_rate gt 8
    acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
    acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
    http-request track-sc1 src
    http-request allow if !errors_too_fast clear_as_abuser
    http-request deny deny_status 429 if errors_too_fast mark_as_abuser
    ...

Verifique: execute o mstsc e comece a digitar senhas aleatoriamente. Após a terceira tentativa, ele me chuta em 10 segundos e o mstsc dá um erro. Como pode ser visto nos logs.

Explicações Estou longe de ser um mestre haproxy. Não entendo por que, por exemplo,
a solicitação http nega deny_status 429 se {sc_http_err_rate (0) gt 4}
permite que você faça cerca de 10 erros antes que funcione.

Estou confuso na numeração dos contadores. Mestres da haproxia, ficarei feliz se você me suplementar, me corrigir, fazer melhor.

Nos comentários, você pode lançar outras maneiras de proteger o RD Gateway, será interessante estudar.

Em relação ao cliente de área de trabalho remota do Windows (mstsc), vale ressaltar que ele não suporta o TLS1.2 (pelo menos no Windows 7), então tive que sair do TLS1; não suporta cifra atual, então eu também tive que deixar as antigas.

Para quem não entende nada, apenas está aprendendo e já quer se sair bem, darei toda a configuração.

haproxy.conf
global
        log /dev/log    local0
        log /dev/log    local1 notice
        chroot /var/lib/haproxy
        stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
        stats timeout 30s
        user haproxy
        group haproxy
        daemon

        # Default SSL material locations
        ca-base /etc/ssl/certs
        crt-base /etc/ssl/private

        # See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
        #ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
        ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
        ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
        #ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
        ssl-default-bind-options no-sslv3
        ssl-server-verify none


defaults
        log     global
        mode    http
        option  httplog
        option  dontlognull
        timeout connect 5000
        timeout client  15m
        timeout server  15m
        errorfile 400 /etc/haproxy/errors/400.http
        errorfile 403 /etc/haproxy/errors/403.http
        errorfile 408 /etc/haproxy/errors/408.http
        errorfile 500 /etc/haproxy/errors/500.http
        errorfile 502 /etc/haproxy/errors/502.http
        errorfile 503 /etc/haproxy/errors/503.http
        errorfile 504 /etc/haproxy/errors/504.http


frontend fe_rdp_tsc
    bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
    mode http
    capture request header Host len 32
    log global
    option httplog
    timeout client 300s
    maxconn 1000

    stick-table type ip size 1k expire 15s store gpc0
    tcp-request connection track-sc0 src
    tcp-request connection reject if { sc0_get_gpc0 gt 0 }

    acl rdweb_domain hdr(host) -i beg dektop.example.com
    http-request deny deny_status 400 if !rdweb_domain
    default_backend be_rdp_tsc


backend be_rdp_tsc
    balance source
    mode http
    log global

    stick-table type ip size 1k expire 15s store http_err_rate(10s)
    acl errors_too_fast sc1_http_err_rate gt 8
    acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
    acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
    tcp-request content track-sc1 src
    tcp-request content reject if errors_too_fast mark_as_abuser
    tcp-request content accept if !errors_too_fast clear_as_abuser

    option forwardfor
    http-request add-header X-CLIENT-IP %[src]

    option httpchk GET /
    cookie RDPWEB insert nocache
    default-server inter 3s    rise 2  fall 3
    server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
    server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02


frontend fe_stats
    mode http
    bind *:8080
    acl ip_allow_admin src 192.168.66.66
    stats enable
    stats uri /stats
    stats refresh 30s
    #stats admin if LOCALHOST
    stats admin if ip_allow_admin


Por que dois servidores no back-end? Porque é assim que a tolerância a falhas pode ser feita. Haproxy também pode fazer dois com ip branco flutuante.

Recursos de computação: você pode começar com "dois shows, dois núcleos, um PC para jogos". Segundo a Wikipedia, isso será suficiente com uma margem.

Links:

Configurando o rdp-gateway a partir do HAProxy O único artigo que encontrei onde me incomodava com quebra de senhas

More articles:


All Articles