RDP es un protocolo de larga data que ha pasado por muchas versiones. Las versiones recientes del protocolo encapsulan un túnel SSL / TLS a través del cual se realizan los intercambios reales (RDP tiene su propio formato de envío paquetes, y, dentro de ese formato, se envían registros SSL). Esto debería ser seguro siempre y cuando la capa de autenticación (es decir, el inicio de sesión basado en contraseña) sea segura (lo que significa "una contraseña lo suficientemente aleatoria") y el Servicio de escritorio remoto en la máquina no se puede explotar de manera remota agujeros Desafortunadamente, el código RDS puede tener, como cualquier otro software, desbordamientos de búfer y debilidades similares, como se demostró .
Microsoft tiene su propia "solución" para eso, llamada Servicios de Terminal Server Puerta de enlace . Es un servidor adicional que escucha en el puerto 443 las conexiones SSL / TLS entrantes; TSG autentica al cliente (con una contraseña o un certificado) y luego reenvía los paquetes de estilo RDP al servidor que ejecuta los Servicios de Escritorio Remoto. Hay bastantes capas aquí:
- conexión SSL / TLS del cliente al TSG.
- En esos túneles SSL / TLS, algunos paquetes de estilo RDP, se envían al servidor que ejecuta RDS.
- En estos paquetes, los registros SSL / TLS para el túnel SSL / TLS del cliente al servidor RDS.
- En ese túnel SSL / TLS, los paquetes RDP reales que codifican las pulsaciones del teclado, los clics del mouse y las actualizaciones de pantalla.
¿Cuáles son los beneficios del TSG? Principalmente, este es un nuevo servidor que es supuestamente más simple y con un historial de implementación más corto, luego teóricamente con menos errores; lo más probable es que el código externo SSL / TLS (el que se ejecuta por el TSG) sea el mismo código que el utilizado por IIS para servir los sitios web de HTTPS, y la implementación que debe ser razonablemente sólida ya que tiene Amplia exposición a internet y sigue vivo. Además, TSG escucha en el puerto 443, lo que facilita la tarea de los clientes en entornos con cortafuegos restrictivos (el puerto 443 es uno de los puertos con más probabilidades de estar autorizado para las conexiones salientes).
Desde el punto de vista de Microsoft, TSG tiene la ventaja adicional de ser otro servidor y software específico, por lo que son licencias adicionales. No estoy seguro de que pueda poner TSG y el RDS de destino en la misma máquina (el Servicio de escritorio remoto tiende a no permitir las conexiones de "localhost").