Riesgos del acceso a Microsoft Remote Desktop detrás de una VPN segura

Question

Riesgos del acceso a Microsoft Remote Desktop detrás de una VPN segura

#1 de gowenfawr (3 votos)

2

Esto es principalmente para mi propia educación, pero surgió un escenario en el trabajo que me tiene escéptico. Me gustaría que los expertos en seguridad me informen si esta política es dominante o no.

Control remoto en una VPN desde la PC de mi casa, no emitida por la compañía. Instala Aventail en la máquina y destruye todos los datos almacenados en caché al cerrar la sesión. También hace algún tipo de escaneo a través de Sonicwall. Mi pregunta es la siguiente: la VPN me brinda acceso total a la red, que incluye la capacidad de control remoto en mi PC de trabajo. La compañía ahora está apagando esto, citando un gran riesgo de seguridad. ¿Es eso realmente cierto? Si alguien ya tiene mi inicio de sesión en la VPN y les da acceso completo a la red, ¿no está ya poniendo a la compañía en modo DEFCON 1? ¿Es todo el asunto de RDP realmente un gran riesgo adicional después de eso? Realmente no veo el razonamiento detrás de esto, pero espero que alguien pueda arrojar algo de luz sobre él.

vpn rdp remote-desktop

pregunta jlrolin 14.06.2013 - 21:36

fuente

1 respuesta

Lea otras preguntas en las etiquetas vpn rdp remote-desktop

¿Estas dos formas son seguras? Certificados de seguridad: herramientas para generar certificados de seguridad

score 3 · Accepted Answer

Es estricto, pero no diría que es dominante.

Digamos que hay dos extremos del grupo, con redes corporativas. En el extremo poco profundo, está totalmente abierto, sin firewalls internos entre los escritorios y los servidores. Puede ir a cualquier aplicación, a cualquier servidor, a cualquier puerto, desde cualquier lugar. En el extremo profundo, las redes están segmentadas y se aplican controles de acceso. Solo Finanzas puede ir a los servidores de Finanzas. Todo el mundo puede ir al puerto 443 en el servidor Wiki, solo la red de administración puede ir al puerto 22. Algo así.

En todas las redes, excepto en las menos profundas, los usuarios de acceso remoto se consideran los menos confiables. Cualquier filtro en su lugar estará en su lugar para ellos. La empresa no tiene control físico sobre esos sistemas, por lo que no obtienen el conjunto completo de acceso.

Permitir RDP a usuarios de escritorio es una forma de anular ese control. Alguien en una PC remota no confiable que puede hacer un RDP a un escritorio interno obtiene, en esencia, acceso de confianza. Y eso puede ser un gran problema. Puedo recordar cómo Xerox se desconectó de Internet durante una semana a mediados de los años 90 porque alguien irrumpió en la casa de un ingeniero para sentarse frente a su PC que tenía acceso RDSI a la red interna de Xerox. Les tomó una semana para limpiar, y simplemente apagaron las tuberías hasta que estuvieran limpias.

Ahora, argumentarán, el hecho de que las credenciales secundarias sean necesarias para RDP después de que haya VPNed es un control de compensación. Ese es un punto verdadero. Pero el hecho es que, si existen ACL de algún tipo para limitar el acceso de los usuarios de VPN, RDP es una manera de sortear esos límites. Por eso te encuentras con este tipo de política con cierta regularidad.