Windows RDP su internet

11

Sto cercando di capire i rischi di eseguire RDP su Internet, utilizzando due Windows 10 stazioni professionali e se una VPN è assolutamente necessaria per ottenere una buona sicurezza.

Dalle informazioni che ho trovato finora in rete, è stata scoperta una perdita nel 2012 che ha permesso la creazione di exploit per intercettare una sessione RDP. Capisco che questa perdita sia stata chiusa nel frattempo e che tu sia sempre stato protetto se hai utilizzato l'autenticazione a livello di rete (NLA).

La maggior parte degli altri problemi di sicurezza sembrano concentrarsi sul lato client, cioè quando ci si connette a una sessione RDP non attendibile con lo scopo principale di rubare le credenziali di un utente.

Se assumiamo la seguente situazione:

  • Windows 10 Professional utilizzato su host e lato client
  • Lato host con IP fisso, nessun DNS coinvolto per stabilire una connessione
  • NLA utilizzato
  • Password complesse utilizzate, cambiate mensilmente, account amministratore non attivo
  • La macchina host contiene informazioni riservate

Non ti sentiresti abbastanza a tuo agio? Dove vedi il rischio maggiore rispetto a una connessione tramite VPN? E c'è un modo per aumentare la sicurezza della connessione RDP senza ricorrere a VPN?

    
posta vic 14.11.2015 - 11:46
fonte

2 risposte

5

Sconsiglio di esporre i server interni direttamente a Internet.

Le vulnerabilità legate all'esecuzione di codice in modalità remota si verificano troppo frequentemente per il comfort e l'esposizione diretta degli host interni.

Detto questo puoi mitigare i rischi in qualche modo con pochi passaggi (queste non sono alternative, sono difese complementari stratificate):

  1. Firewall perimetrale che applica l'elenco bianco degli IP di origine specificamente a tcp / 3389 sull'host o sugli host Windows
  2. Firewall Windows su ciascuno degli host Windows che applica l'elenco bianco degli IP di origine specificatamente a tcp / 3389 su localhost
  3. O: usa Gateway Desktop remoto come host bastion nella tua DMZ che si trovano su una dominio e inserire la restrizione simile a 1 e 2 tra DMZ e interna
  4. OR: usa host bastion SSH e port forwarding come sopra se RDG non è una buona opzione

Questi passaggi riducono sostanzialmente l'esposizione alla ricognizione o all'attacco

    
risposta data 16.11.2015 - 13:08
fonte
2

Ci sono alcuni modi per proteggere RDP.

  • La prassi migliore è non utilizzare la porta pubblica n. 3389. Traducilo in qualcosa di diverso. È il modo migliore per ridurre i tentativi di hacking.
  • Consenti solo determinati indirizzi IP (o intervallo di IP) all'IP pubblico. Usa router intelligenti. Uso mikrotik ( link ) o Cisco.
  • Configura il blocco del firewall per molti tentativi. Uso strumenti di terze parti per bloccare il traffico. Strumenti gratuiti disponibili da www.bfguard.com . Ce ne sono molti altri ma questo mi piace perché è gratuito. Questo strumento analizza i log degli eventi per gli accessi non riusciti e quindi aggiunge IP a Windows Firewall per il blocco.
  • Ultimo in quanto è più complesso ma non male è quello di configurare una VPN. Ci sono alcuni modi per farlo.
    1. Utilizza il server VPN di Windows incorporato
    2. Utilizza le funzionalità del tuo router. La maggior parte dei router betters è integrata in.
    3. Imposta server di accesso separato come OpenVPN, Mikrotik o alcuni basati su Linux ....
  • Considera di crittografare i tuoi dati sensibili utilizzando la password secondaria con bitlocker sull'unità secondaria che potrebbe essere un disco virtuale memorizzato sul disco primario.
  • Utilizza un nome utente casuale con password complessa. Puoi controllare la password e il nome utente elenco delle password perse
risposta data 09.07.2016 - 00:41
fonte

Leggi altre domande sui tag