Nem427 May 23 2020 at 20:45

MS Remote Desktop Gateway, HAProxy и перебор пароля

7 min

18K

Information Security*System administration*IT Infrastructure*

+11

Comments 24

click0 May 24 2020 at 01:27

Ждем конфиг для nginx в качестве https балансировщика.

zomby May 24 2020 at 10:58

RDG и так работает, разумеется, через HTTPS. Почему автор так упорно пишет HTTP, я не понимаю.

-1

gotch May 24 2020 at 14:15

Можно его заставить по HTTP работать, сделав SSL-offload на балансировщик.
Смысл в этом каждый ищет сам, а настраивается в SSL Bridging, HTTPS-HTTP bridging.

zomby May 24 2020 at 15:00

Так можно и с habr.com поступить, и даже смысл можно найти (если у меня нестабильное соединение с очень большой задержкой, а логиниться мне не надо, почему бы где-нибудь не поднять гейт https->http).
Пора пилить статью?

vainkop May 24 2020 at 07:24

Не стоит сервисы от Microsoft выставлять наружу в интернет, особенно с такой сомнительной "защитой".
Рекомендую просто использовать vpn по сертификатам перед rdgw (который вам возможно и не нужен, а нужен лишь rdp?).

Nem427 May 24 2020 at 07:32

Не стоит сервисы от Microsoft выставлять наружу в интернет

полностью согласен.
Их можно выставлять только через специализированные шлюзы. Даже у самого MS раньше был ISA, затем TMG, затем UAG. После они слились с этой темы. Вот и крутимся, кто как может.

использовать vpn по сертификатам

Не будем рассуждать что лучше, что хуже. Как администратор, я за vpn по серт-ам, но как тех.подд сможет условному «бухгалтеру» по телефону объяснить настройку vpn, и почему у него после поднятия vpn перестал работать вконтактик.

Sergey-S-Kovalev May 24 2020 at 11:50

Вы преувеличиваете сложность данного процесса в отношении условных «бухгалтеров». Те кто не уверен в своих силах либо привозят ноуты, либо пользуются тимвьювером. Остальные могут скачать предподготовленный клиент и вбить логин и пароль «как от компьютера»

Не заворачивайте весь трафик через свой шлюз, и не пропадут вконтактики. Ну или добавьте вконтактики в доступ.

vainkop May 24 2020 at 13:51

Всем накатывается клиент (предпочитаю openvpn + udp) + раздаётся конфиг с вшитым в него сертификатом + настаивается автоподключение при загрузке + splitdns, чтобы трафик шёл в туннель только для рабочих адресов. Рекомендуется защищать конфиг паролем при подключении, но можно и без него, чтобы пользователи совсем не беспокоились. К openvpn ещё и двухфакторная авторизация прикручивается очень легко (смс, google authenticator и т.п.).

Можно для каждого бандл (установщик+конфиг) сформировать и накатить какими-нибудь политиками или чем вы машины конфигурируете.

Множество самого не продвинутого персонала работает с таким абсолютно нормально (говорю из опыта), а есть персонал и гораздо более непродвинутый, чем бухгалтера.

Знают, что если иконка в углу экрана красная, то скорее всего нужно проверить своё подключение к интернет, т.к. openvpn обычно работает как часы.

gotch May 24 2020 at 14:20

Как вы делаете splitdns?

vainkop May 24 2020 at 15:06

Посмотрел одну из последний стабильных установок OpenVPN и там сделан не splitdns, а именно маршрут в корпоративную подсеть «пушается»(push) на клиента, а остальной трафик туда, соответственно, не заворачивается.
Например, вот так выглядит конфиг сервера OpenVPN 2.4.6.x (server.opvn) на Windows Server:

port 1194

proto udp

dev tun

server 10.8.0.0 255.255.255.0

push "route 10.8.0.0 255.255.0.0 vpn_gateway"

mssfix

tun-mtu 1500

keepalive 10 120 

reneg-sec 0

comp-lzo 

persist-key 

persist-tun 

verb 4

ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"

cert "C:\\Program Files\\OpenVPN\\config\\server.crt"

key "C:\\Program Files\\OpenVPN\\config\\server.key"

dh "C:\\Program Files\\OpenVPN\\config\\dh2048.pem"

tls-auth "C:\\Program Files\\OpenVPN\\config\\ta.key" 0

crl-verify "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\crl.pem"

ifconfig-pool-persist "C:\\Program Files\\OpenVPN\\config\\ipp.txt" 

status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"

log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"

Конфиг именно с реализованным splitdns под рукой нет, но гуглится это достаточно легко, вариантов масса.

Hardened May 25 2020 at 03:44

Split VPN удобен пользователям, но является потенциальной дырой в корпоративной сети. Вернее дырами, по числу пользователей, домашние ПК которых не так хорошо защищены, как корпоративные. Во многих крупных компаниях запрещен политиками ИБ.

vainkop May 25 2020 at 03:52

В таких компаниях уж точно наружу не выставляется rdgw с такими решениями, которые привёл автор статьи.
Использовать или не использовать splitdns это уже второй вопрос.

apkotelnikov May 24 2020 at 14:50

Ответов на вопрос «почему перестал работать вконтактик после поднятия vpn» всего два. Первый — политика безопасности компании и в этом случае объяснять условно у «бухгалтеру» вообще нечего. И второй — рукожопый админ VPNc, который умеет заворачивать в VPN только весь трафик и настройки делал по «примеру из интернета» даже не удосужившись разбораться что к чему.

Pilotro May 25 2020 at 09:20

через CMAK делается красивенький конфигуратор, с рюшечками и иконками, (и с отключением шлюза по дефолту). Любые бухгалтера и менеджеры вне себя от счастья.

evros May 24 2020 at 07:34

А парольная политика домена? Пять раз и в блок по GPO. Если не через шлз, то cyberarms.
А Неудачные логировать и отчет на почту?
На край нетврикс или manageengine adaudit.

andreyle May 24 2020 at 09:41

Используя блокировку через GPO вы блокируете учетку, в таком случае вам могут устроить DDOS ваших пользователей, как минимум стандартных очень просто. А зная домен можно попробовать и обычных вычислить. Если блочить, то по IP.

А Неудачные логировать и отчет на почту?

В таком случае у вас быстро ящик переполнится, боты очень активны.

Sergey-S-Kovalev May 24 2020 at 12:00

Блокируйте ip перебирающий больше 5 логинов, можно даже отчет не генерировать.
Блокируйте ip при более чем 5 неверных попытках входа, с генерацией отчета.
Используйте для авторизации RADIUS и/или двухфакторку. Используйте сертификаты. Используйте индивидуальные сертификаты.
Блокируйте ip при любом результате авторизации, если геозона «не путешествующего» сотрудника резко изменилась. Блочьте учетку если авторизация удачная, меняйте пароли автоматом. Лучше разбираться с учёткой утром, чем с утечкой к вечеру.

Этих простых правил хватит для того то бы отсечь любого скрипт-кидди любого уровня упоротости.

Stanislavvv May 24 2020 at 18:42

Интересно, а соединения в tarpit можно засунуть через haproxy?

avelor May 24 2020 at 21:35

В более простой ситуации (терминальник один) сделал следующее
1. Выставляем rdg на нестандартный порт (старые клиенты вин хр этого не умеют, если таких не осталось ок) — на самом деле просто прокинул нестандартный порт на 443
2. На самом трерминальнике воткнул fail2ban (емнип rdp defender, но подойдёт любой аналог, хоть самопис — банит ip-шки брутфорсеров на базе логов винды и виндового же фаера).

Ну и сплю спокойно, на удивление брутфорсеров нет совсем.
А так да, я за впн:) в идеале виндовыми средствами, чтобы не морочиться со сборкой установщика, который и админские права требует.

mumische May 26 2020 at 08:53

Поддержка UDP транспорта позабыта случайно или специально?

Nem427 May 26 2020 at 08:56

между домашним компьютером сотрудника и офисным RDGW шлюзом устанавливается обычное https соединение по 443 порту. Разве в этом месте можно перейти на UDP?

mumische May 26 2020 at 09:40

Можно. Но, в принципе, если рабочая нагрузка не выходит за рамки ворда и 1с, то не обязательно. Вот хорошая статья на тему: habr.com/ru/post/501132

iv1 May 28 2020 at 12:54

Используйте многофакторную аутентификацию на RDGW, посмотрите на пример rdgw.n-kraft.ru

iv1 May 28 2020 at 14:03

Show the best of all time