Estoy en la siguiente situación: tendré un servidor nuevo conectado a Internet (si es necesario, con un firewall entre la red y simplemente colocará todos los paquetes en puertos distintos de aquel en el que está escuchando mi aplicación).
No requiere ningún servicio/función, no hay instalación de terceros excepto mi programa que se ejecuta en él (la aplicación de consola responde directamente a las solicitudes http).
¿Hay algo específico que deba hacer para reducir el área expuesta? Esto es para un servidor independiente, sin red interna, sin dominio, sin nada, solo necesita poder iniciar una aplicación de consola y un escritorio remoto (solo yo, para fines administrativos).
Además de bloquear todos los puertos, excepto los utilizados por mi aplicación y RDP en el nivel del firewall, ¿hay algo que deba cambiar/deshabilitar que quizás no haya pensado o que una instalación nueva ya esté mínimamente expuesta?
La seguridad de este servidor es fundamental, así que siéntase libre de agregar sugerencias de "nivel paranoico" siempre que no impidan que una aplicación escuche y responda al tráfico http en un puerto determinado.
Respuesta1
Puede intentar convertir el servidor para ejecutar Server Core, eliminando la mayor parte de la GUI. Reducirá la superficie de ataque y, como beneficio adicional, necesitarás menos parches para mantenerte seguro. Sin embargo, no todas las aplicaciones admiten esto.
El Firewall de Windows se ha vuelto realmente bueno con los años y puedes crear reglas extremadamente estrictas con la configuración avanzada del firewall. sínoCreo que dejar RDP abierto a la naturaleza es menos seguro que dejar VPN abierta a la naturaleza. Ambas son conexiones cifradas y ambas pueden evitarse fácilmente mediante ataques de fuerza bruta.
Una forma de evadir la mayoría de los ataques de fuerza bruta de RDP es cambiar el puerto de escucha de RDP en el registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber
¡Asegúrese de agregar reglas de firewall para permitir el tráfico RDP en el puerto personalizado antes de aplicar los cambios!
También le sugiero que cree una nueva cuenta de administrador (si aún no lo ha hecho) con un nombre de usuario algo aleatorio, use unmuycontraseña segura y deshabilite la cuenta integrada de "Administrador".