MS Remote Desktop Gateway, HAProxy и перебор пароля

Друзья, привет!

Существует множество способов подключения из дома к рабочему месту в офисе. Один из них — это использовать Microsoft Remote Desktop Gateway. Это RDP поверх HTTP. Я не хочу здесь затрагивать настройку самого RDGW, не хочу рассуждать, почему он хорош или плох, давайте отнесёмся к нему, как к одному из инструментов удалённого доступа. Я хочу поговорить о защите вашего RDGW сервера от злого интернета. Когда я настроил RDGW сервера, я тут же озаботился защитой, особенно защитой от перебора пароля. Меня удивило, что я не нашёл в интернетах статей о том, как можно это сделать. Ну что ж, придётся делать самостоятельно.

Сам по себе RDGW не имеет никаких защит. Да, его можно выставить голой ж интерфейсом в белую сеть и будет прекрасно работать. Но правильному администратору или ИБ’шнику будет от этого неспокойно. К тому же позволит избежать ситуации блокирования учётной записи, когда нерадивый сотрудник запомнил пароль корпоративного аккаунта на домашнем компьютере, а затем сменил свой пароль.

Хороший способ защиты внутренних ресурсов от внешней среды — это различные прокси, системы публикации и прочие WAF. Вспомним, что RDGW это всё таки http, тогда прям напрашивается воткнуть специализированное решение между внутренними серверами и интернетом.

Я знаю, что есть крутые F5, A10, Netscaler(ADC). Как администратор одной из этих систем, скажу, что настроить защиту от перебора на этих системах тоже возможно. И да, эти системы попутно защитят вас от всякого syn флуда.

Но далеко не каждая компания может позволить себе приобрести подобное решение (и найти администратора такой системы :), а о безопасности, при этом, позаботиться может!

Вполне возможно установить бесплатную версию HAProxy на бесплатной операционной системе. Я тестировал на Debian 10, в стабильным репозитарии версия haproxy 1.8.19. Так же проверял на версии 2.0.хх из testing репозитария.

Настройку самого debian оставим за пределом статьи. Кратко: на белом интерфейсе закрыть всё, кроме 443 порта, на сером интерфейсе — согласно вашей политике, например тоже закрыть всё, кроме 22 порта. Открыть только то, что необходимо для работы (VRRP например, для плавающего ip).

Перво-наперво настроил haproxy на SSL bridging mode (он же mode http) и включил логирование, чтобы посмотреть, что же там внутри RDP ходит. Так сказать, влез посередине. Так вот, указанный во «всех» статьях по настройке RDGateway путь /RDWeb отсутствует. Всё, что там есть, это /rpc/rpcproxy.dll и /remoteDesktopGateway/. При этом не используются стандартные GET/POST запросы, используется свой тип запроса RDG_IN_DATA, RDG_OUT_DATA.

Не много, но хоть что-то.

Давайте тестировать.

Запускаю mstsc, иду на сервер, в логах вижу четыре ошибки 401 (unauthorized), затем ввожу логин/пароль и вижу ответ 200.

Отключаю, запускаю заново, в логах вижу те же четыре ошибки 401. Ввожу ошибочные логин/пароль и вижу снова четыре ошибки 401. То, что надо. Это и будем отлавливать.

Поскольку определить login url так и не удалось, и к тому же я не знаю, как в haproxy отлавливать именно ошибку 401, то буду отлавливать (на самом деле не отлавливать, а считать) все ошибки 4xx. Тоже устроит для решения задачи.

Суть защиты будет состоять в том, что мы будем считать кол-во ошибок 4xx (на backend) в единицу времени и если оно превысит указанный предел, то отклонять (на frontend) все дальнейшие соединения с этого ip в течении указанного времени.

Технически, это не будет защитой от перебора пароля, это будет защитой от ошибок 4xx. Например, если часто запрашивать несуществующий url (404), то защита так же сработает.

Самый простой и работающий способ — это на backend посчитать и отбить, если чего лишнего появилось:

frontend fe_rdp_tsc     bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem     mode http     ...     default_backend be_rdp_tsc   backend be_rdp_tsc     ...     mode http     ...      #создать таблицу, строковую, 1000 элементов, протухает через 15 сек, записать кол-во ошибок за последние 10 сек     stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)     #запомнить ip     http-request track-sc0 src     #запретить с http ошибкой 429, если за последние 10 сек больше 4 ошибок     http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 } 	 	...     server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01     server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02 

Не самый хороший вариант, усложним. Считать будем на backend, а блокировать на frontend.

С атакующим поступим грубо, будем скидывать ему tcp соединение.

frontend fe_rdp_tsc     bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem     mode http     ...     #создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохрянять из глобального счётчика     stick-table type ip size 1k expire 15s store gpc0     #взять источник     tcp-request connection track-sc0 src     #отклонить tcp соединение, если глобальный счётчик >0     tcp-request connection reject if { sc0_get_gpc0 gt 0 } 	     ...     default_backend be_rdp_tsc   backend be_rdp_tsc     ...     mode http     ... 	     #создать таблицу ip адресов, 1000 элементов, протухнет через 15 сек, сохранять кол-во ошибок за 10 сек     stick-table type ip size 1k expire 15s store http_err_rate(10s)     #много ошибок, если кол-во ошибок за 10 сек превысило 8     acl errors_too_fast sc1_http_err_rate gt 8     #пометить атаку в глобальном счётчике (увеличить счётчик)     acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0     #обнулить глобальный счётчик     acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0     #взять источник     tcp-request content track-sc1 src     #отклонить, пометить, что атака     tcp-request content reject if errors_too_fast mark_as_abuser     #разрешить, сбросить флажок атаки     tcp-request content accept if !errors_too_fast clear_as_abuser 	     ...     server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01     server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02 

тоже же самое, но вежливо, будем возвращать ошибку http 429 (Too Many Requests)

frontend fe_rdp_tsc     ...     stick-table type ip size 1k expire 15s store gpc0     http-request track-sc0 src     http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }     ...     default_backend be_rdp_tsc  backend be_rdp_tsc     ...     stick-table type ip size 1k expire 15s store http_err_rate(10s)     acl errors_too_fast sc1_http_err_rate gt 8     acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0     acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0     http-request track-sc1 src     http-request allow if !errors_too_fast clear_as_abuser     http-request deny deny_status 429 if errors_too_fast mark_as_abuser     ... 

Проверяю: запускаю mstsc и начинаю беспорядочно вводить пароли. После третьей попытки за 10 сек меня отпинывает, а mstsc выдаёт ошибку. Что и видно в логах.

Пояснения. Я далеко не мастер haproxy. Я не понимаю, почему, например
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
позволяет сделать около 10 ошибок, прежде чем сработает.

Я путаюсь в нумерации счётчиков. Мастера haproxy, буду рад, если дополните меня, поправите, сделаете лучше.

В комментариях можете накидать других способов защиты RD Gateway, будет интересно изучить.

Касательно клиент удалённого рабочего стола Windows (mstsc), стоит отметить, что он не поддерживает TLS1.2 (во всяком случае в Windows 7), поэтому пришлось оставить TLS1; не поддерживает актуальные cipher, поэтому так же пришлось оставить старые.

Для тех, кто ничего не понял только учится, и уже хочет сделать хорошо, приведу весь конфиг.

haproxy.conf

global         log /dev/log    local0         log /dev/log    local1 notice         chroot /var/lib/haproxy         stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners         stats timeout 30s         user haproxy         group haproxy         daemon          # Default SSL material locations         ca-base /etc/ssl/certs         crt-base /etc/ssl/private          # See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate         #ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE -RSA-AES256-GCM-SHA384         ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS         ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256         #ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets         ssl-default-bind-options no-sslv3         ssl-server-verify none   defaults         log     global         mode    http         option  httplog         option  dontlognull         timeout connect 5000         timeout client  15m         timeout server  15m         errorfile 400 /etc/haproxy/errors/400.http         errorfile 403 /etc/haproxy/errors/403.http         errorfile 408 /etc/haproxy/errors/408.http         errorfile 500 /etc/haproxy/errors/500.http         errorfile 502 /etc/haproxy/errors/502.http         errorfile 503 /etc/haproxy/errors/503.http         errorfile 504 /etc/haproxy/errors/504.http   frontend fe_rdp_tsc     bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem     mode http     capture request header Host len 32     log global     option httplog     timeout client 300s     maxconn 1000      stick-table type ip size 1k expire 15s store gpc0     tcp-request connection track-sc0 src     tcp-request connection reject if { sc0_get_gpc0 gt 0 }      acl rdweb_domain hdr(host) -i beg dektop.example.com     http-request deny deny_status 400 if !rdweb_domain     default_backend be_rdp_tsc   backend be_rdp_tsc     balance source     mode http     log global      stick-table type ip size 1k expire 15s store http_err_rate(10s)     acl errors_too_fast sc1_http_err_rate gt 8     acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0     acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0     tcp-request content track-sc1 src     tcp-request content reject if errors_too_fast mark_as_abuser     tcp-request content accept if !errors_too_fast clear_as_abuser      option forwardfor     http-request add-header X-CLIENT-IP %[src]      option httpchk GET /     cookie RDPWEB insert nocache     default-server inter 3s    rise 2  fall 3     server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01     server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02   frontend fe_stats     mode http     bind *:8080     acl ip_allow_admin src 192.168.66.66     stats enable     stats uri /stats     stats refresh 30s     #stats admin if LOCALHOST     stats admin if ip_allow_admin 

Почему два сервера на backend? Потомучто так можно сделать отказоустойчивость. Haproxy тоже можете сделать два с плавающим белым ip.

Вычислительные ресурсы: можно начать с «два гига, два ядра, игровой ПК». Согласно википедии этого будет достаточно с запасом.

Ссылки:

Настройка rdp-gateway от HAProxy
Единственная найденная мною статья, где озаботились перебором пароля

FavoriteLoadingДобавить в избранное
Posted in Без рубрики

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *