Microsoft Remote Desktop richiede che una VPN sia protetta?

10

Sto effettuando la connessione dalla mia macchina Windows 7 di casa a un server ospitato Windows Server 2008 R2. Mi sto connettendo ad esso utilizzando Remote Desktop su una porta non predefinita.
Mi chiedo se dovrei andare allo sforzo di impostare una connessione VPN per Accesso Desktop remoto con qualcosa come OpenVPN. Non sono un professionista della sicurezza, voglio solo provare a rendere la connessione al mio server ospitato il più ragionevolmente sicuro possibile.

    
posta Mark Allison 15.07.2013 - 08:23
fonte

2 risposte

10

Come spesso con la sicurezza, la risposta è "forse". In teoria, se l'installazione è corretta e se si mantiene aggiornato il sistema, RDP è in realtà abbastanza sicuro. Forse non è il sistema più sicuro disponibile, ma può essere considerato abbastanza sicuro per la maggior parte dell'uso (e può essere esteso se necessario).

Il primo e più rilevante problema che incontrerai con RDP è il potenziale per DOS contro il tuo account amministratore. Questo è facile da capire: se hai impostato un limite al numero di tentativi falliti di accesso, qualcuno può semplicemente continuare a provare ad accedere al tuo account e tenerlo bloccato. In Unix, useresti fail2ban per impedire che ciò accada, ma non c'è un equivalente chiaro in Windows (sebbene ci siano un sacco di soluzioni, dagli script al programma commerciale completo che farà lo stesso). Un'altra soluzione semplice consiste nel limitare l'intervallo di indirizzi IP che saranno autorizzati a connettersi a RDP in primo luogo o obbligare gli utenti a passare prima attraverso una VPN. Un'altra opzione è usare IPSec. Un'altra soluzione (e migliore) è l'aggiunta dell'autenticazione a 2 fattori al sistema: l'utilizzo di una smartcard per la connessione RDP rende l'intero processo di autenticazione molto sicuro, anche se un po 'difficile da configurare.

Il secondo problema che incontrerai è la sicurezza della connessione. Se hai impostato correttamente RDP (ad esempio, hai configurato correttamente un certificato server, stai forzando l'autenticazione a livello di rete e stai utilizzando RDP su TLS), allora ci sono pochi rischi.

L'aggiunta di un livello VPN su questo non aggiungerebbe molto alla sicurezza generale. Supponendo che tu stia eseguendo da un'altra macchina sarebbe comunque un'aggiunta degna dato che migliorerebbe la sicurezza in profondità (perché per compromettere la macchina finale dovresti rompere due sistemi invece di uno) ma se stai installando tutto sullo stesso sistema, aumentando effettivamente l'area di vulnerabilità del sistema aggiungendo un altro potenziale modo per sfruttare la vulnerabilità.

    
risposta data 15.07.2013 - 11:45
fonte
1

L'uso di una porta non predefinita è solo un passaggio, perché scanner e worm automatici non saranno in grado di trovarlo.

Il Bollettino Microsoft sulla sicurezza MS12-020, pubblicato a marzo 2012, descrive una vulnerabilità critica nell'implementazione RDP di Microsoft sulla maggior parte delle piattaforme Windows (CVE-2012-0002), quindi considera la configurazione delle impostazioni RDP per l'uso Abilita Network Level Authentication (NLA) < a href="http://blogs.technet.com/b/srd/archive/2012/03/13/cve-2012-0002-a-closer-look-at-ms12-020-s-critical-issue. aspx "> come suggerito da Microsoft

Ricorda di avere una password sicura per gestire l'attacco brute force dai worm come " Morto "

Spero di essere stato utile ^ _ ^

    
risposta data 15.07.2013 - 10:34
fonte

Leggi altre domande sui tag