Solo por el contexto agregado, tengo curiosidad por conectarme a un escritorio remoto mediante una VPN, pero si hay alguna diferencia importante que se pueda resaltar para otros servicios, también me interesaría.
Suponiendo que tiene un cliente VPN configurado y con un comportamiento adecuado, el uso de una VPN evitará que ocurran ataques de MiTM entre su computadora y el servidor VPN. Todavía existe la posibilidad de que ocurra un ataque MiTM entre el servidor VPN y el escritorio al que se está conectando.
Suponiendo que tanto la VPN como el escritorio están dentro de la red privada de su empresa, la conexión al escritorio a través de VPN es tan segura como la conexión a través de cualquier otra conexión de red dentro de la red de su empresa. Del mismo modo, si la VPN y el escritorio no están dentro de una red privada, entonces la conexión está abierta a los ataques de MiTM en la Internet pública.
No necesariamente. Depende de la configuración de VPN y de la configuración de seguridad del cliente y del servidor. Para expandir, si la red está protegida por Diffie Hellman, entonces alguien puede participar en un ataque MITM. Si la VPN está protegida por un certificado RSA, entonces depende de la naturaleza del canal. Si el cliente ha sido aprovisionado con la clave pública del servidor a través de un certificado firmado y utiliza ese certificado (no se basa en una CA de terceros), entonces es seguro en la medida en que haya utilizado un número primo grande (2048, por ejemplo). Si el cliente tiene una cesta de certificados raíz y el servidor envía su certificado durante la configuración de la sesión VPN, entonces es posible ser atacado en el medio.
¿Es inseguro DH? No necesariamente. Sin embargo, hay que tener cuidado de cómo se implementan estas cosas. ¿RSS es seguro? Una vez más, depende del uso.
Opciones:
Para RSA, aprovisione el lado del cliente de la VPN con el certificado del servidor y no confíe en las CA. Esto significa que el certificado del servidor puede ser autofirmado.
Para Diffie Hellman, cambia el grupo y usa un grupo grande. Qué significa eso? Use un Safe Prime grande (1024 o 2048) (p = 2q + 1, donde p & q son prime) y una g (generador) que sea buena para el grupo. Encuentra algún software que genere estos para ti. No lo hagas por tu cuenta. No reutilice los parámetros DH comunes del mundo: IETF o que le entrega un proveedor. Así es como NSA ha roto tantos protocolos a través de medios pasivos.
Lea otras preguntas en las etiquetas man-in-the-middle vpn remote-desktop