Soy un desarrollador con poca experiencia en administración y administro un único servidor web dedicado de forma remota.
Una reciente auditoría de seguridad independiente de nuestro sitio recomendó que "RDP no está expuesto a Internet y que se considera una solución de administración sólida, como una VPN, para el acceso remoto. Cuando se utiliza, RDP debe configurarse para la autenticación del servidor para garantizar que los clientes no puedan ser sometido a ataques de intermediarios".
Después de leer un poco, parece que la autenticación a nivel de red es algo bueno, así que habilité la opción "Permitir conexiones solo desde Escritorio Remoto con NLA" opción en el servidor hoy.
¿Es esta acción suficiente para mitigar el riesgo de un ataque de intermediario? ¿O hay otros pasos esenciales que debería seguir? Si la VPN es esencial, ¿cómo lo hago?
Respuesta1
Tu realmente deberíasnotener RDP abierto al mundo, incluso con NLA activado. NLA reduce los ataques MITM, pero si utiliza el certificado autofirmado predeterminado para el acceso RDP, no está demasiado seguro.
Una de las principales razones por las que no desea dejar RDP abierto al mundo es para evitar intentos automáticos de descifrado de contraseñas. Si elimina RDP de las interfaces conectadas a Internet, mitiga por completo los ataques aleatorios y automatizados de fuerza bruta. Instalar algo como una VPN para el acceso remoto es muy recomendable y útil.
Hay muchas formas de implementar una VPN. Windows tiene una VPN IPSEC incorporada, por ejemplo. OpenVPN Access Server también es gratuito para hasta dos usuarios simultáneos si desea seguir la ruta SSL VPN.
Si necesita instrucciones muy específicas sobre cómo configurar una VPN, entonces debe investigar las opciones, elegir una tecnología, leer la documentación y luego abrir una nueva pregunta con cualquier inquietud o problema que tenga al implementarla. Preguntar simplemente "¿Cómo implemento una VPN" es demasiado amplio para Server Fault.
Respuesta2
De la misma manera que un usuario puede hacer clic en una advertencia SSL en su navegador, evitar ataques de intermediario sigue siendo responsabilidad del usuario.
Todo lo que este cambio ha logrado es evitar la conexión de clientes más antiguos que no admiten NLA (y la validación de identidad del servidor que eso proporciona).
Para los clientes RDP versión 6, no son ni más ni menos vulnerables a un ataque como lo eran ayer: un usuario que hace clic en un cuadro de diálogo de identidad del servidor es todo lo que necesita suceder para que se produzca un ataque de intermediario. exitoso.
Respuesta3
No, NLA está diseñado para minimizar la superficie de ataque del servidor de Escritorio remoto. La protección de intermediario se produce cuando configura la conexión del servidor de Escritorio remoto con un certificado válido. Sin embargo, si los usuarios ignoran la advertencia que aparece si el servidor o certificado no es confiable o no es válido, aún pueden conectarse a un servidor de Escritorio remoto hostil, y esa vulnerabilidad no tiene nada que ver con su servidor de Escritorio remoto.
De:
Configurar la autenticación a nivel de red para conexiones de Servicios de Escritorio remoto
http://technet.microsoft.com/en-us/library/cc732713.aspx
"La autenticación a nivel de red completa la autenticación del usuario antes de establecer una conexión de escritorio remoto y aparece la pantalla de inicio de sesión. Este es un método de autenticación más seguro que puede ayudar a proteger la computadora remota [servidor de escritorio remoto] de usuarios y software malintencionados. Las ventajas de la red Los niveles de autenticación son:
"Inicialmente requiere menos recursos de computadora remota [servidor de escritorio remoto]. La computadora remota usa una cantidad limitada de recursos antes de autenticar al usuario, en lugar de iniciar una conexión de escritorio remoto completa como en versiones anteriores.
"Puede ayudar a proporcionar una mejor seguridad al reducir el riesgo de ataques de denegación de servicio".