Estoy a punto de presionar fuertemente contra los poderes existentes y recomiendo encarecidamente que cambiemos a nuestros muchos (20+) consultores del acceso público directo a RDP & SSH para clientes VPN (que se conectan a una VLAN / subred que tiene acceso restringido solo a los recursos necesarios).
Dado que tenemos un SOC de terceros que administra un IDS y supervisa las conexiones, ¿cuáles son los riesgos de exponer RDP y SSH a Internet que solucionará el acceso remoto mediante VPN?
Se me ocurren inmediatamente dos riesgos que se reducirían al usar una VPN
Está evitando el riesgo de que una sola vulnerabilidad proporcione acceso a sus sistemas. Con SSH / RDP directo, una vulnerabilidad de ejecución remota de código en el servicio podría permitir el compromiso completo de su entorno. Con una VPN que luego permite el acceso al servicio, el atacante tendría que comprometer el servicio VPN y el servicio de acceso remoto.
Adivinación de nombre de usuario / contraseña. La mayoría del acceso RDP base (y SSH a menos que esté usando autenticación basada en clave) se realiza mediante combinaciones de nombre de usuario / contraseña. Si lo expone directamente en Internet, corre el riesgo de que alguien obtenga acceso al sistema directamente adivinando las credenciales (y hay muchos robots que realizan sus ataques de adivinación de contraseñas en estos días) o bloquea a sus usuarios (suponiendo que tenga cuenta bloqueada en su lugar). Las VPN tienden a tener mejor soporte para 2FA, por lo que es probable que sea más fácil implementar ese control con una VPN en uso. Además, si elimina los inicios de sesión, al menos si atacan las cuentas VPN, es posible que no afecte a los inicios de sesión subyacentes del sistema operativo.
Lea otras preguntas en las etiquetas network ssh vpn rdp remote-desktop