TL; DR Estamos analizando la apertura del puerto 3389 para un servidor de terminal. Todo lo que he visto es que es suicida, pero sin una buena explicación de por qué. ¿Es realmente tan malo?
Estamos considerando configurar un servidor de terminal para que el personal pueda acceder de forma remota. Van a utilizar una gran cantidad de dispositivos que incluyen iPads, Divices de Android, Windows (XP a 8), OSX, Linux, casi cualquier cosa con un cliente RDP.
Quiero que esto sea estúpido simple y funcione en todo. Mi plan es configurar remote.example.com (obviamente con nuestro nombre de dominio real) para apuntar a nuestro servidor y luego asegurarlo mediante:
- Cortafuegos todo excepto el puerto 3389.
- Establezca el nivel de cifrado más alto (con un certificado) y no permita "Negociar"
- Bloquee las cuentas con más de 7 intentos fallidos y vea tal vez algún script para bloquear en función de las direcciones IP con inicios de sesión fallidos ( enlace )
- Otras cosas obvias, como las actualizaciones del sistema operativo y los antivirus.
Sin embargo, cuando hablo sobre la configuración de un RDP orientado al público, las respuestas generalmente están en línea con:
"No abra el puerto 3389, coloque una VPN delante de él" , pero, por lo que puedo ver, los dos argumentos principales para esto son el cifrado (¿RDP ya hace esto? ) y una mejor autenticación porque la gente usará fuerza bruta RDP. Ya tenemos una configuración PPTP VPN pero solo usa la misma combinación de nombre de usuario y contraseña de la cuenta para autenticarse como lo haría nuestro servidor de Terminal Server, por lo que no veo un servidor de Terminal Server en nuestra superficie de ataque. El único argumento que creo que tiene algún peso es configurar una VPN (como Cisco) que admita la autenticación de dos factores, que suena bien pero que reducirá enormemente la cantidad de dispositivos compatibles.
"No lo hagas, usa una puerta de enlace de Escritorio remoto" Hasta donde puedo ver que lee enlace , las ventajas de una Puerta de enlace de RD son:
Administre múltiples servidores desde un único punto de entrada con un control detallado sobre quién puede conectarse a qué y así sucesivamente. - Suena bien, pero solo tenemos un servidor de terminal.
Utiliza el puerto 443 / HTTPS para que las personas que se encuentran detrás de cortafuegos de salida mal configurados puedan conectarse. Suena bien, pero RDP ya ofrece cifrado y cambiar el puerto no agrega seguridad. Además, para toda la facilidad adicional de no tener que lidiar con los cortafuegos salientes, viene la falta de soporte de la mayoría de los clientes RDP (la última vez que verifiqué que los clientes OSX no podían conectarse a la Puerta de enlace de Escritorio remoto)
"No use RDP, use (Hamachi / Team Viewer / Jump Desktop / VNC ... en serio / alguna otra herramienta RDP) es más seguro" Para mí, cualquiera de estas sugerencias va desde poner todos sus huevos en una cesta (Microsoft) hasta poner todos sus huevos en otra cesta (Hamachi) pero sin un beneficio de seguridad tangible.
¿Solo estoy siendo desdeñoso? ¿Es una mala idea configurar un servidor RDP público?