¿Hay alguna razón convincente para ssh tunnel RDP connections?

4

No ejecutamos ningún producto de Microsoft de forma nativa en nuestra oficina, pero hay algunas personas que utilizan un cliente RDP de Linux para acceder a una aplicación en escritorios virtuales remotos con un proveedor de servicios. ¿Valdría la pena el esfuerzo de canalizar el RDP a través de ssh, o no debería preocuparme demasiado?

Actualmente estamos usando Remmina, que a su vez usa FreeDesktop (RDP versión 6) con TLS.

    
pregunta Bryan Agee 13.08.2011 - 23:58
fuente

3 respuestas

7

Actualización: la pregunta desde que se publicó originalmente se editó para resaltar una diferencia, a saber, que se usa RDP v6 sobre TLS. Si bien la respuesta aún puede considerarse "aceptable", ahora debo argumentar que no es necesario canalizar TLS a través de SSH debido a la falta de escenarios de amenazas relevantes y probables, suponiendo que la configuración de los certificados TLS sea correcta, etc.

En un mundo ideal, las decisiones de seguridad siempre deben estar respaldadas por datos, datos objetivos y objetivos. La determinación de si vale o no "vale la pena" el túnel RDP a través de SSH se haría combinando el conocimiento de los ataques conocidos, la clasificación de la información a la que se accede (desde una perspectiva de confidencialidad, integridad y disponibilidad) y el "costo" de implementar contramedidas. / p>

Dato : hay varios problemas con las versiones de protocolo < 6.0 de RDP, como los ataques MiTM (autenticación débil, como se describe brevemente here ).

Si bien no estoy al tanto de ningún ataque real que aproveche la vulnerabilidad mencionada anteriormente, uno claramente no puede excluir la posibilidad de que eso ocurra o que haya ocurrido. Sin embargo, hay una serie de demostraciones dispersas en la web que ilustran cómo podría ser explotada.

Hay una serie de cosas que debes resolver para tomar una "buena" decisión.

  1. "Sensibilidad" de la información visitada
  2. El esfuerzo (tiempo) de implementar la contramedida (SSH-tunneling)
  3. Probabilidad de que alguien se dirija a usted intencionalmente para aprovechar la vulnerabilidad y realizar la amenaza. (Desafortunadamente, es muy difícil, ya que los datos compartidos dentro de la comunidad de seguridad de incidentes pasados son pocos y están muy lejos)

Si el esfuerzo por canalizar la conexión a través de SSH no es demasiado costoso y requiere mucho tiempo, sería una contramedida razonable, ya que mitigaría completamente la amenaza anterior.

    
respondido por el Christoffer 14.08.2011 - 01:30
fuente
0

Teniendo en cuenta que ssh tunneling puede configurarse junto con los archivos clave y ssh-agent (por lo tanto, debe descifrar su clave una vez durante una sesión), diría que es obvio que se configure de esta manera.

Sugeriría que usar la autenticación de nivel de red junto con el cliente enlace , la tunelización SSH o VPN es la seguridad más baja recomendada.

    
respondido por el Hubert Kario 14.08.2011 - 15:46
fuente
0

Bloquear RDP puede ser una buena idea. MS dice que RDP debe parchearse inmediatamente

    
respondido por el rox0r 15.03.2012 - 04:34
fuente

Lea otras preguntas en las etiquetas