El contexto es una red empresarial que necesita conectarse a máquinas virtuales en la nube a través de RDP pero que nunca recibe ninguna conexión RDP. Entonces, la red de la empresa solo tiene clientes RDP pero no servidores RDP, y las VM en la nube son todo lo contrario: solo tienen servidores RDP ejecutándose en el puerto 3389.
En este caso, ¿el firewall de la empresa debería permitir solo conexiones RDP salientes/salientes al puerto 3389 de IP externas y bloquear todas las conexiones entrantes/entrantes al puerto 3389 de IP de red local? O (contrariamente a mi entendimiento) ¿el firewall también debería permitir conexiones entrantes en el puerto 3389 de las IP de la red local para que funcione el cliente RDP?
Sería genial tener una explicación que justifique la respuesta. Creo que se trata de una creación de redes básica relacionada con puertos efímeros, pero sería muy útil tener claridad al respecto.
Respuesta1
Después de algunos intercambios de comentarios, tu pregunta básicamente se reduce a esto:
¿Necesito abrir mi puerto RDP 3389 en el lado del cliente para que funcione RDP a un servidor en la nube, o es eso un riesgo para la seguridad?
No, nunca necesitarás abrir un puerto del lado del cliente.
Por el uso del término abrir un puerto, me refiero a crear una asignación de puertos en el enrutador y permitir específicamente el acceso al puerto en el firewall para aceptar solicitudes entrantes.
De forma predeterminada en Windows, cuando un cliente se conecta a otra máquina usando el protocolo RDP, se conectará A la otra máquina a través de TCP/IP y luego cambiará a un puerto UDP diferente para la conexión real. Debido a este mecanismo, sólo en el lado del servidor es necesario abrir puertos. Sólo si un cliente tiene una configuración de firewall muy estricta y exagerada, puede ser que se deba permitir algo para que funcione la conexión saliente, pero un cliente nunca necesita alterar la configuración del enrutador para permitir el tráfico entrante a través del puerto TCP 3389.
Respuesta2
¿Cuántas funciones se han instalado en su implementación de RDS o simplemente se utiliza de forma remota de A a B?
Para este último, según el artículo "Cambiar el puerto de escucha para Escritorio remoto en su computadora", confirmó que el puerto (3389 de forma predeterminada) se cambió en la computadora a la que se conecta de forma remota, lo que podría considerarse como del lado del servidor.
Para el primero, aquí hay un blog que menciona los requisitos de puertos de todas las funciones RDS para una conexión remota:
RDS 2012: ¿Qué puertos se utilizan durante la implementación? https://social.technet.microsoft.com/wiki/contents/articles/16164.rds-2012-what-ports-are-used-during-deployment.aspx