Actualización: la pregunta desde que se publicó originalmente se editó para resaltar una diferencia, a saber, que se usa RDP v6 sobre TLS. Si bien la respuesta aún puede considerarse "aceptable", ahora debo argumentar que no es necesario canalizar TLS a través de SSH debido a la falta de escenarios de amenazas relevantes y probables, suponiendo que la configuración de los certificados TLS sea correcta, etc.
En un mundo ideal, las decisiones de seguridad siempre deben estar respaldadas por datos, datos objetivos y objetivos. La determinación de si vale o no "vale la pena" el túnel RDP a través de SSH se haría combinando el conocimiento de los ataques conocidos, la clasificación de la información a la que se accede (desde una perspectiva de confidencialidad, integridad y disponibilidad) y el "costo" de implementar contramedidas. / p>
Dato : hay varios problemas con las versiones de protocolo < 6.0 de RDP, como los ataques MiTM (autenticación débil, como se describe brevemente here ).
Si bien no estoy al tanto de ningún ataque real que aproveche la vulnerabilidad mencionada anteriormente, uno claramente no puede excluir la posibilidad de que eso ocurra o que haya ocurrido. Sin embargo, hay una serie de demostraciones dispersas en la web que ilustran cómo podría ser explotada.
Hay una serie de cosas que debes resolver para tomar una "buena" decisión.
- "Sensibilidad" de la información visitada
- El esfuerzo (tiempo) de implementar la contramedida (SSH-tunneling)
- Probabilidad de que alguien se dirija a usted intencionalmente para aprovechar la vulnerabilidad y realizar la amenaza. (Desafortunadamente, es muy difícil, ya que los datos compartidos dentro de la comunidad de seguridad de incidentes pasados son pocos y están muy lejos)
Si el esfuerzo por canalizar la conexión a través de SSH no es demasiado costoso y requiere mucho tiempo, sería una contramedida razonable, ya que mitigaría completamente la amenaza anterior.