¿Cómo configuro el Terminal Server (y los clientes) para su uso en redes Wifi no confiables?

3

Supongamos que un cliente desea conectarse directamente a Terminal Server expuesto a Internet, sin una VPN, ... qué software & ¿Se necesitan ajustes para proteger adecuadamente contra ataques basados en WiFi? (Supongamos que MITM es posible, y se permiten múltiples plataformas de clientes)

Información de fondo

El RDP sin VPN es común no solo en las sucursales, sino que también se usa con frecuencia en servidores alojados en la nube. Dado que RDP es el mecanismo predeterminado para administrar las soluciones IaaS y PaaS, estoy tratando de estimar la probabilidad de que un administrador no capacitado pueda conectarse a estos hosts sin los controles de seguridad necesarios.

Me interesa la información sobre cómo configurar correctamente un servidor y cualquier software adicional requerido para una PC, OSX y posiblemente Linux.

    
pregunta random65537 28.11.2012 - 03:50
fuente

1 respuesta

3

Las versiones anteriores de RDP pueden hacer algo de encriptación, pero es vulnerable a los ataques Man-in-the-Middle por falta de validación de la clave pública del servidor (las versiones anteriores también utilizaban un cifrado débil, o incluso ningún cifrado excepto el envío de la contraseña).

A partir de la versión 5.2 del protocolo, se puede utilizar SSL / TLS (el tráfico TLS está encapsulado en el protocolo de transporte específico de RDP), por lo tanto, con un certificado del servidor que el cliente puede validar; Esto proporciona la protección necesaria contra los atacantes, incluido MitM. El servidor debe ser Windows Server 2003 o más reciente; Como servidor RDP, Windows XP no puede hacer eso. Sin embargo, el cliente de RDP que viene con WinXP SP3 conoce este protocolo y puede usarlo.

Una alternativa es Terminal Service Gateway , que es un servicio adicional que revierte la estructura: una conexión SSL / TLS, en el puerto 443, y dentro de ella el protocolo RDP. El TSG debe ser Windows 2008 o más reciente. Una vez más, el cliente en WinXP SP3 puede usar eso.

Lamentablemente, los clientes alternativos para otros sistemas operativos, como rdesktop , todavía no son compatibles con RDP 5.2 o TSG (si hacer, me encantaría saberlo. El cliente de Microsoft existe para MacOS X (viene con Office, puede ser descargable por separado) pero no para Linux. Para la seguridad adecuada de RDP con soporte multiplataforma, necesitará un VPN .

    
respondido por el Thomas Pornin 28.11.2012 - 14:41
fuente

Lea otras preguntas en las etiquetas