Windows RDP a través de internet

Navega tus respuestas
11

Estoy tratando de averiguar los riesgos de ejecutar RDP a través de Internet, utilizando dos estaciones profesionales de Windows 10, y si una VPN es absolutamente necesaria para lograr una buena seguridad.

A partir de la información que encontré hasta ahora en la red, se descubrió una fuga en 2012 que permitió la creación de exploits para interceptar una sesión de RDP. Entiendo que esta fuga se cerró mientras tanto y que siempre estuvo protegido si usó la Autenticación de nivel de red (NLA).

La mayoría de los otros problemas de seguridad parecen estar enfocados en el lado del cliente, es decir, cuando se conecta a una sesión RDP no confiable con el propósito principal de robar las credenciales de un usuario.

Si asumimos la siguiente situación:

  • Windows 10 Professional se usa en el lado del host y del cliente
  • lado del host con IP fija, no se requiere DNS para establecer la conexión
  • NLA utilizado
  • Se utilizaron contraseñas seguras, se modificaron mensualmente, la cuenta de administrador no está activa
  • La máquina host contiene información confidencial

¿No te sentirías lo suficientemente cómodo? ¿Dónde ve el mayor riesgo en comparación con una conexión a través de VPN? ¿Y hay una manera de aumentar la seguridad de la conexión RDP sin tener que recurrir a VPN?

    
pregunta vic 14.11.2015 - 11:46
fuente

2 respuestas

5

Aconsejo no exponer los servidores internos directamente a Internet.

Las vulnerabilidades de ejecución remota de código aparecen con demasiada frecuencia para la comodidad y la exposición directa de los hosts internos.

Dicho esto, puedes mitigar los riesgos de alguna manera con unos pocos pasos (no son alternativas, son defensas complementarias en capas):

  1. El firewall perimetral aplica la lista blanca de IP de origen específicamente a tcp / 3389 en el host o hosts de Windows
  2. El cortafuegos de Windows en cada uno de los hosts de Windows aplica la lista blanca de IP de origen específicamente a tcp / 3389 en localhost
  3. O bien: use Remote Desktop Gateways como hosts bastion en su DMZ que se encuentran en una ubicación separada dominio y poner la restricción similar a 1 y 2 entre DMZ e interna
  4. O: use los hosts de bastión SSH y el reenvío de puertos como se indicó anteriormente si RDG no es una buena opción

Estos pasos reducen sustancialmente la exposición al reconocimiento o ataque

    
respondido por el Alain O'Dea 16.11.2015 - 13:08
fuente
2

Hay algunas formas de proteger RDP.

  • La mejor práctica es no usar el puerto público # 3389. Traducirlo a algo diferente. Es la mejor manera de disminuir los intentos de pirateo.
  • Permitir solo ciertas direcciones IP (o rango de direcciones IP) para la dirección IP pública. Utilice enrutadores inteligentes. Uso mikrotik ( enlace ) o Cisco.
  • Configure el bloqueo del cortafuegos para muchos intentos. Utilizo herramientas de terceros para bloquear el tráfico. Una herramienta gratuita es de www.bfguard.com . Hay varios más pero este me gusta porque es gratis. Esta herramienta analiza los registros de eventos en busca de inicios de sesión fallidos y luego agrega IP al firewall de Windows para el bloqueo.
  • Por último, ya que es más complejo, pero no está mal, es configurar una VPN. Hay pocas formas de hacerlo.
    1. Use construido en servidor VPN de Windows
    2. Usa la funcionalidad de tu enrutador. La mayoría de los mejores enrutadores lo tienen incorporado.
    3. Configure el servidor de acceso independiente como OpenVPN, Mikrotik o algunos basados en Linux ....
  • Considere cifrar sus datos confidenciales con una contraseña secundaria con bitlocker en una unidad secundaria que podría ser un disco virtual almacenado en un disco primario.
  • Usa un nombre de usuario aleatorio con una contraseña segura. Puede verificar su contraseña y nombre de usuario lista de contraseñas filtradas
respondido por el Mant 09.07.2016 - 00:41
fuente

Lea otras preguntas en las etiquetas

Importancia relativa de CHROOT para servidores web ¿Hay alguna información que no deba incluir en las preguntas sobre GnuPG aparte de mi clave privada?