Actualmente estamos utilizando una lista blanca de IP en el Firewall de Windows para permitir que solo ciertas máquinas accedan al Escritorio remoto en nuestros servidores. Desafortunadamente, ahora tengo un nuevo ISP y mi dirección IP externa ha comenzado a cambiar cada semana. ¿Existe alguna alternativa sencilla que pueda utilizar en lugar de la lista blanca de IP en el Firewall de Windows?
Respuesta1
Recomiendo seriamente no poner su servidor directamente en Internet. Por muy bueno que sea el Firewall de Windows en estos días, se pone en riesgo la integridad de la máquina y potencialmente cualquier cosa a la que tenga conexión entrante. Herramientas como Nessus y Metasploit han eliminado por completo la complejidad de la identificación e implementación de exploits.
Consideraría implementar algún tipo de VPN SSL y enviar su tráfico RDP a través de ella. El punto final SSL VPN puede llevar a cabo comprobaciones de autenticación/cumplimiento del punto final y posiblemente incluso remediación.
Disculpas, no puedo agregar comentarios estos días, así que tendré que etiquetar mi comentario aquí:
Incluso para su tráfico HTTP(S), recomendaría algún tipo de firewall de terceros (no host). La razón es que si el firewall de su host se ve comprometido, también lo hace su servidor. Debo admitir que estoy acostumbrado a implementaciones empresariales más grandes, donde existen presupuestos de seguridad, por lo que tendría que buscar dispositivos estilo SOHO.
Respuesta2
Estoy de acuerdo con Simon arriba. Otra opción que puedes considerar esFactor de teléfono. Creo que es gratis para hasta 25 usuarios.
El agente se ejecuta en el servidor, puede funcionar con Active Directory/LDAP/usuarios locales para la autenticación de back-end; solo necesita configurar un número de teléfono y elegir si desea recibir una llamada de voz o un mensaje SMS, el PIN adicional es opcional. El agente se vincula al proceso de inicio de sesión y después de la autenticación de nombre de usuario y contraseña, el agente llama a PhoneFactor para iniciar el proceso de verificación de devolución de llamada; el inicio de sesión se "cuelga" y espera a que se complete la llamada y normalmente llego después de 15 segundos, por lo que nunca he tenido problemas con el tiempo de espera.
Con la opción de PIN agregada a su cuenta de usuario (en la configuración del agente), básicamente obtiene autenticación de tres factores, ya que habría dos requisitos de "algo que usted sabe" (bueno, 4 si desactiva la cuenta de administrador y crea una cuenta única). usuario administrador para usted): la contraseña del usuario local y el PIN de PhoneFactor; el tercer factor sería “algo que tienes”, que es tu celular.
Funciona genial; Úselo para nuestro servidor Terminal, ya que a menudo estoy en lugares donde la VPN saliente puede ser problemática.
Respuesta3
Si estoy leyendo la pregunta correctamente, debe administrar de forma remota las casillas de las distintas IP que su ISP asigna a través de DHCP a su cuenta de usuario final, como en casa o desde un módem celular, y no es posible que intente incluir en la lista blanca todas las IP de su firewall desde el que te estás conectando?
Tuvimos el mismo problema y no pudimos definir IP fijas para administradores itinerantes con una cantidad bastante manejable de servidores,
- Creé invitaciones de escritorio remoto para distribuirlas a los administradores remotos autorizados.
- Se modificó el puerto de escucha de 3389 por otro, pero no necesariamente infalible (nada es infalible en la seguridad de los sistemas) a un puerto diferente no conocido. Según la versión del servidor, tuvimos que modificar el puerto en el registro del servidor.http://support.microsoft.com/kb/187623
Configuración de servicios
notepad.exe %systemroot%\system32\drivers\etc\services
El método permitió a administradores itinerantes predefinidos que viajaban a ubicaciones remotas administrar sus sistemas de forma remota en momentos de necesidad.