¿Requiere el escritorio remoto de Microsoft una VPN para estar seguro?

10

Me estoy conectando desde mi máquina Windows 7 doméstica a un servidor alojado Windows Server 2008 R2. Me estoy conectando a él mediante Escritorio remoto en un puerto no predeterminado.
Me pregunto si debería esforzarme por configurar una conexión VPN para acceso a escritorio remoto con algo como OpenVPN. No soy un profesional de seguridad, solo quiero probar y hacer que la conexión a mi servidor alojado sea lo más segura posible.

    
pregunta Mark Allison 15.07.2013 - 08:23
fuente

2 respuestas

10

Como suele ocurrir con la seguridad, la respuesta es "quizás". En teoría, si la configuración es correcta y si mantiene su sistema actualizado, RDP es bastante seguro. Posiblemente no sea el sistema más seguro disponible pero aún así puede considerarse lo suficientemente seguro para la mayoría del uso (y puede extenderse si es necesario).

El primer y más importante problema que encontrará con RDP es el potencial de DOS en su cuenta de administrador. Este es fácil de entender: si ha configurado un límite para el número de intentos fallidos de inicio de sesión, alguien puede seguir intentando acceder a su cuenta y mantenerla bloqueada. En Unix, usaría fail2ban para evitar que eso suceda, pero no hay un claro equivalente en Windows (aunque hay muchas soluciones, desde scripts hasta programas comerciales completos que harán lo mismo). Otra solución simple es limitar el rango de direcciones IP que podrán conectarse al RDP en primer lugar u obligar a los usuarios a pasar primero por una VPN. Otra opción es usar IPSec. Otra solución (y mejor) es agregar autenticación de 2 factores a su sistema: exigir el uso de una tarjeta inteligente para la conexión RDP hace que todo el proceso de autenticación sea muy seguro, aunque un poco difícil de configurar.

El segundo problema que vas a encontrar es la seguridad de la conexión. Si ha configurado RDP correctamente (es decir, ha configurado un certificado de servidor correctamente, está forzando la autenticación a nivel de red y está utilizando RDP sobre TLS), entonces hay poco riesgo.

Agregar una capa VPN encima de esto no agregaría mucho a la seguridad general. Suponiendo que lo ejecute desde otra máquina, todavía sería una buena adición, ya que mejoraría la seguridad en profundidad (porque para comprometer la máquina final, tendría que romper dos sistemas en lugar de uno), pero si está instalando todo en el mismo sistema, en realidad aumenta el área de vulnerabilidad del sistema agregando otra forma potencial de explotar la vulnerabilidad.

    
respondido por el Stephane 15.07.2013 - 11:45
fuente
1

El uso de un puerto no predeterminado es solo un paso, porque los escáneres y gusanos automatizados no podrán encontrarlo.

El boletín de seguridad de Microsoft MS12-020, publicado en marzo de 2012, describió una vulnerabilidad crítica en la implementación de RDP de Microsoft en la mayoría de las plataformas de Windows (CVE-2012-0002), por lo que considere la configuración de sus valores de RDP para usar la Habilitar la autenticación de nivel de red (NLA) a href="http://blogs.technet.com/b/srd/archive/2012/03/13/cve-2012-0002-a-closer-look-at-ms12-020-s-critical-issue. aspx "> como sugiere Microsoft

Recuerde tener una contraseña segura para realizar el ataque de fuerza bruta de gusanos como " Morto "

Espero haber sido de ayuda ^ _ ^

    
respondido por el Alesanco 15.07.2013 - 10:34
fuente

Lea otras preguntas en las etiquetas