TL; DR Stiamo osservando la porta di apertura 3389 per un terminal server, tutto il consiglio che ho visto è che è un suicidio ma senza una buona spiegazione del perché. E 'davvero così male?
Stiamo cercando di configurare un server terminal per consentire al personale di accedere da remoto. Useranno un sacco di dispositivi tra cui iPad, Android Divices, Windows (XP a 8), OSX, Linux, praticamente qualsiasi cosa con un client RDP.
Voglio che questo sia stupido e che lavori su tutto. Il mio piano è quello di impostare remote.example.com (ovviamente con il nostro vero nome di dominio) per puntare al nostro server e poi proteggerlo con:
- Firewall tutto tranne la porta 3389.
- Imposta il livello di crittografia al massimo (con un certificato) e non consentire "Negoziare"
- Blocca gli account con più di 7 tentativi falliti e osserva forse alcuni script da bloccare in base agli indirizzi IP con accessi non riusciti ( link )
- Altre cose ovvie come aggiornamenti del sistema operativo e antivirus.
Tuttavia, quando parlo di impostare un RDP pubblico di fronte, le risposte sono generalmente in linea con:
"Non aprire la porta 3389 mettere una VPN di fronte ad esso" - ma per quanto posso vedere i due argomenti principali per questo sono la crittografia (RDP non lo fa già? ) e una migliore autenticazione perché la forza bruta della forza RDP. Abbiamo già una configurazione VPN PPTP ma utilizza lo stesso account username / password combo per autenticarsi come il nostro Terminal Server, quindi non vedo un server terminal che aggiunge alla nostra superficie di attacco. L'unica argomentazione che ritengo sia di importanza fondamentale è la creazione di una VPN (come Cisco) che supporta l'autenticazione a due fattori, che suona bene ma riduce enormemente il numero di dispositivi supportati.
"Non farlo, usa un Gateway RD" Per quanto posso vedere leggendo link i vantaggi di un Gateway RD sono:
Gestisci più server da un singolo punto di ingresso con controllo a grana fine su chi può connettersi a cosa e così via. - Sembra buono, ma abbiamo solo un server terminal.
Utilizza la porta 443 / HTTPS per consentire alle persone dietro firewall in uscita configurati in modo non corretto di connettersi: sembra eccezionale ma RDP offre già la crittografia e la modifica della porta non aggiunge sicurezza. Inoltre, per l'estrema facilità di non dover gestire i firewall in uscita, viene a mancare il supporto della maggior parte dei client RDP (l'ultima volta che ho controllato che i client OSX non potessero connettersi al Gateway RD)
"Non usare RDP, usa (Hamachi / Team Viewer / Jump Desktop / VNC ... seriamente / qualche altro tool RDP) è più sicuro" Per me uno di questi suggerimenti passa dal mettere tutte le uova in un cesto (Microsoft) a mettere tutte le uova in un altro paniere (Hamachi) ma senza vantaggi tangibili per la sicurezza.
Sono solo sprezzante? Una cattiva idea è quella di impostare un server RDP di fronte pubblico?