我是一名缺乏管理專業知識的開發人員,負責遠端管理單一專用 Web 伺服器。
最近對我們網站進行的獨立安全審核建議「RDP 不暴露在互聯網上,並且考慮使用 VPN 等強大的管理解決方案進行遠端存取。使用時,應將 RDP 配置為伺服器身份驗證,以確保用戶端無法遭受中間人攻擊。
在閱讀了一些內容後,網路層級身份驗證似乎是一件好事,所以我啟用了“僅允許透過 NLA 從遠端桌面進行連接今天伺服器上的“選項。
此操作是否足以降低中間人攻擊的風險?或者我還應該採取其他重要步驟嗎?如果 VPN 是必要的,我該怎麼做?
答案1
你真的應該不是即使 NLA 處於開啟狀態,RDP 也向全世界開放。 NLA 確實減少了 MITM 攻擊,但如果您使用預設的自簽名憑證進行 RDP 訪問,則不太安全。
您不想讓 RDP 向全世界開放的主要原因之一是防止自動密碼破解嘗試。如果從面向互聯網的介面中刪除 RDP,則可以完全緩解隨機、自動的暴力攻擊。強烈建議使用 VPN 之類的東西來進行遠端訪問,這也是非常有用的。
實施 VPN 的方法有很多種。例如,Windows 具有內建的 IPSEC VPN。如果您想走 SSL VPN 路線,OpenVPN Access Server 也可以免費供最多兩個並髮使用者使用。
如果您需要有關如何設定 VPN 的非常具體的說明,那麼您需要研究選項、選擇技術、閱讀文檔,然後針對您在實施該 VPN 時遇到的任何疑慮或問題提出一個新問題。對於伺服器故障來說,僅僅詢問「如何實現 VPN」就太廣泛了。
答案2
就像使用者可以在瀏覽器中直接點擊 SSL 警告一樣,避免中間人攻擊仍然是使用者的責任。
此變更所完成的只是阻止不支援 NLA(以及提供的伺服器驗證)的舊用戶端的連線。
對於 RDP 版本 6 用戶端,它們不再像昨天一樣容易受到攻擊 - 用戶只需單擊伺服器身分對話框即可發生中間人攻擊成功的。
答案3
不,NLA 旨在最大限度地減少遠端桌面伺服器的攻擊面。當您使用有效憑證設定遠端桌面伺服器連線時,就會發生中間人保護。但是,如果使用者忽略伺服器或憑證不可信或無效時出現的警告,他們仍可能連接到敵對的遠端桌面伺服器,並且該漏洞與您的遠端桌面伺服器無關。
從:
為遠端桌面服務連線設定網路層級身份驗證
http://technet.microsoft.com/en-us/library/cc732713.aspx
「網路層級身份驗證在建立遠端桌面連線並出現登入畫面之前完成使用者驗證。這是一種更安全的身份驗證方法,可協助保護遠端電腦[遠端桌面伺服器]免受惡意使用者和惡意軟體的侵害。
「它最初需要較少的遠端電腦[遠端桌面伺服器]資源。遠端電腦在對使用者進行身份驗證之前使用有限數量的資源,而不是像以前的版本那樣啟動完整的遠端桌面連線。
“它可以通過降低拒絕服務攻擊的風險來幫助提供更好的安全性。”