Exponer el escritorio remoto directamente a Internet

Ningún administrador de red serio expondría directamente un servidor RDP a Internet.

Si hay agujeros/puertas traseras, no sólo significa que "se acabó el juego" para parte del sistema (es decir, un punto de inflexión/caja de salto), sino que también es una oportunidad para ataques DoS y tomar huellas digitales de los escritorios en la LAN. revelar información innecesaria.

Dependiendo del servidor y cliente RDP, también es posible realizar un ataque MITM (hombre en el medio). Hay varias formas de hacerlo, incluido forzar una degradación del protocolo o confiar en una criptografía insegura. Podrías encontrarhttps://labs.portcullis.co.uk/blog/ssl-man-in-the-middle-attacks-on-rdp/interesante.

Un operador prudente podría configurar una VPN y solo permitir el acceso RDP remoto a través de ella para proporcionar otra capa de seguridad, gestión de acceso, auditoría y control.

El Escritorio remoto de Microsoft utiliza cifrado, por lo quecomunicacionesestán, por tanto, razonablemente protegidos. El punto débil es el ataque de fuerza bruta contra su nombre de usuario y contraseña.

Dada la forma en que los piratas informáticos escanean continuamente Internet en busca de puntos débiles, y con la cantidad de exploits conocidos (y desconocidos) actualmente, es mucho mejor configurar tantas protecciones como sea posible (pero no hasta el punto de complicar demasiado el proceso). acceso).

Para proteger RDP, puede hacer lo siguiente:

1. Cambiar el puerto predeterminado en el que escucha Escritorio remoto

2. Credenciales sólidas
   Utilice un nombre de usuario no predeterminado y una contraseña larga y complicada

3. Cuentas de usuario restringidas
   Limite severamente los usuarios que pueden usar RDP ejecutando secpol.mscy navegando a Políticas locales > Asignación de derechos de usuario, haga doble clic en "Permitir iniciar sesión a través de Servicios de Escritorio remoto" y elimine todos los grupos mostrados, luego agregue su único usuario.

4. Alto nivel de seguridad
   Corre gpedit.msc y navega hasta Política de computadora local > Plantillas administrativas > Componentes de Windows > Servicios de escritorio remoto > Host de sesión de escritorio remoto > Seguridady establecer:

   • "Establecer nivel de cifrado de conexión de cliente" -> Habilitado y Nivel Alto, para que sus sesiones estén protegidas con cifrado de 128 bits
   • "Requerir el uso de una capa de seguridad específica para conexiones remotas (RDP)" -> SSL
   • "Requerir autenticación de usuario para conexiones remotas mediante autenticación de nivel de red" -> Habilitado

5. Establecer una política de bloqueo de cuenta
   Para bloquear una cuenta por un período de tiempo después de una serie de conjeturas incorrectas, vaya aHerramientas administrativas > Política de seguridad local > Políticas de cuenta > Políticas de bloqueo de cuentay establezca valores para las tres opciones (3 intentos no válidos con una duración de bloqueo de 3 minutos es razonable).

6. realice un seguimiento del inicio de sesión en su PC
   Vaya periódicamente al Visor de eventos en Registros de aplicaciones y servicios > Microsoft > Windows > TerminalServices-LocalSessionManger > Operacional, para ver la información de inicio de sesión.

7. Mantenga un nivel alto de UAC

8. Crear un servidor VPN
   También puede llegar al extremo de configurar un servidor VPN (enlace), lo que agregará otra capa de seguridad.

He tenido contacto en nuestro sitio web con carteles que han implementado todos los puntos anteriores, y eso me parece protección suficiente. Con todas estas precauciones implementadas, un ataque de fuerza bruta se vuelve básicamente imposible, por lo que la única amenaza que queda es algún exploit. Pero como nunca se encontraron exploits en el inicio de sesión VPN o en el inicio de sesión RDP, creo que esta configuración es lo suficientemente segura.

Lamento llegar tarde a la fiesta, pero pensé que para referencia futura tuya y de otras personas, podrías encontrar mis experiencias con un tema relacionado. Vayamos con "interesante".

Configuré un OpenVPN en un servidor Linux hace un tiempo. Linux tiene excelentes funciones de registro utilizando IPTables (un increíble software de red, por cierto). Abrí el puerto SSH para poder transmitir certificados.

Esa noche, revisé los registros y descubrí que un actor externo comenzó a forzar ese puerto con fuerza bruta segundos después de exponerlo en el enrutador. Luego, como sabían que la cuenta podía bloquearse después de tres intentos fallidos, su granja de robots usaba la misma contraseña y rotaba entre los nombres de las cuentas, lo que impedía que el sistema reconociera múltiples intentos fallidos con el mismo nombre de cuenta. Luego, como debieron haberse dado cuenta de que IPTables podía bloquear intentos fallidos desde la misma dirección IP, solo intentaron unos seis intentos desde la misma IP antes de cambiar a otra computadora.

Digo granja de bots, porque a lo largo de la semana (bloqueé SSH poco después, pero mantuve el puerto abierto para poder mirar; estaba completamente fascinado) la cantidad de IP de las que provenía la fuente nunca se repitió, cada dos segundos. , cada minuto, cada hora de cada día: aparecieron seis intentos y una nueva dirección IP continuando con la misma lista alfabética de nombres de cuentas.

Configura una VPN. Utilice certificados y no nombres de cuentas. Y no exponga cosas como RDP durante más de unas pocas horas, incluso si tiene un sistema fantástico para crear contraseñas. No lo hagas. (Por cierto, el nombre de mi cuenta estaba en su lista, esperando a que encontrara la contraseña correcta).

Estoy de acuerdo en que, en general, no se recomienda exponer RDP a Internet. Pero lo he hecho varias veces para acceder a un jump box, después de configurar el firewall para permitir conexiones RDP solo desde una dirección IP estática remota conocida. De modo que eso evita cualquier explotación de vulnerabilidad o fuerza bruta. Aunque existe la posibilidad de un ataque del Hombre en el Medio, la NLA no lo evitaría.

Hago lo mismo con SSH.