Я разработчик с небольшим опытом администрирования, удаленно администрирую один выделенный веб-сервер.
Недавний независимый аудит безопасности нашего сайта показал, что «RDP не должен быть доступен из Интернета, а для удаленного доступа следует рассмотреть надежное решение по управлению, например VPN. При использовании RDP следует настроить на проверку подлинности сервера, чтобы гарантировать, что клиенты не будут подвергаться атакам типа «человек посередине».
Почитав немного, я пришел к выводу, что аутентификация на уровне сети — это хорошая вещь, поэтому я включил «Разрешить подключения только с удаленного рабочего стола с NLA"опция на сервере сегодня.
Достаточно ли этого действия, чтобы снизить риск атаки Man-in-the-Middle? Или есть другие важные шаги, которые мне следует предпринять? Если VPN необходим, как мне это сделать?
решение1
Тебе действительно стоитнетсделайте RDP открытым для всего мира, даже при включенном NLA. NLA действительно снижает количество атак MITM, но если вы используете самоподписанный сертификат по умолчанию для доступа по RDP, вы не совсем защищены.
Одна из главных причин, по которой вы не хотите оставлять RDP открытым для всего мира, — это предотвращение попыток автоматического взлома паролей. Если вы удалите RDP из интерфейсов, выходящих в Интернет, вы полностью смягчите случайные, автоматизированные атаки методом подбора. Установка чего-то вроде VPN для удаленного доступа настоятельно рекомендуется и полезна.
Существует множество способов реализации VPN. Например, в Windows есть встроенный IPSEC VPN. OpenVPN Access Server также бесплатен для двух одновременных пользователей, если вы хотите использовать SSL VPN.
Если вам нужны очень конкретные инструкции по настройке VPN, то вам нужно изучить варианты, выбрать технологию, прочитать документацию, а затем открыть новый вопрос с любыми проблемами или проблемами, которые у вас возникли при ее реализации. Просто спросить «Как мне реализовать VPN» — это слишком широко для Server Fault.
решение2
Точно так же, как пользователь может проигнорировать предупреждение SSL в своем браузере, предотвращение атак типа «человек посередине» по-прежнему является обязанностью пользователя.
Единственное, чего удалось добиться с помощью этого изменения, — это предотвратить подключение старых клиентов, которые не поддерживают NLA (и проверку подлинности сервера, которую он обеспечивает).
Клиенты RDP версии 6 не более и не менее уязвимы для атак, чем вчера: для успешной атаки типа «человек посередине» достаточно, чтобы пользователь щелкнул мышью в диалоговом окне идентификации сервера.
решение3
Нет, NLA разработан для минимизации поверхности атаки сервера удаленного рабочего стола. Защита от посредника происходит, когда вы настраиваете подключение к серверу удаленного рабочего стола с действительным сертификатом. Однако, если пользователи отклоняют предупреждение, которое появляется, если сервер или сертификат не является доверенным или действительным, они все равно могут подключиться к враждебному серверу удаленного рабочего стола, и эта уязвимость не имеет ничего общего с вашим сервером удаленного рабочего стола.
От:
Настройка аутентификации на уровне сети для подключений к службам удаленных рабочих столов
http://technet.microsoft.com/en-us/library/cc732713.aspx
«Аутентификация на уровне сети завершает аутентификацию пользователя до того, как вы установите подключение к удаленному рабочему столу и появится экран входа в систему. Это более безопасный метод аутентификации, который может помочь защитить удаленный компьютер [сервер удаленного рабочего стола] от злонамеренных пользователей и вредоносного программного обеспечения. Преимущества аутентификации на уровне сети:
«Изначально требуется меньше ресурсов удаленного компьютера [сервера удаленного рабочего стола]. Удаленный компьютер использует ограниченное количество ресурсов перед аутентификацией пользователя, а не запускает полное подключение к удаленному рабочему столу, как в предыдущих версиях.
«Это может помочь повысить уровень безопасности за счет снижения риска атак типа «отказ в обслуживании».