Non eseguiamo prodotti Microsoft in modo nativo nel nostro ufficio, ma ci sono alcuni che usano un client RDP linux per accedere a un'applicazione su desktop virtuali remoti con un fornitore di servizi. Varrà la pena di scavare nel tunnel del RDP attraverso ssh, o non dovrei essere troppo preoccupato?
Attualmente utilizziamo Remmina che a sua volta usa FreeDesktop (RDP versione 6) con TLS.
Aggiornamento: la domanda è stata pubblicata dopo che è stata modificata per evidenziare una differenza, ovvero che viene utilizzato RDP v6 su TLS. Sebbene la risposta possa ancora essere considerata "okay", ora devo sostenere che il tunneling TLS su SSH non è necessario a causa della mancanza di scenari di minacce rilevanti e probabili - presupponendo la corretta configurazione dei certificati TLS ecc.
In un mondo ideale le decisioni di sicurezza dovrebbero sempre essere supportate da dati, dati oggettivi e oggettivi. Determinare se "vale la pena" di effettuare il tunneling di RDP tramite SSH verrebbe fatto combinando la conoscenza degli attacchi noti, la classificazione delle informazioni accessibili (da un punto di vista della riservatezza, dell'integrità e della disponibilità) e il "costo" dell'attuazione delle contromisure. / p>
Fatto - Esistono numerosi problemi con le versioni di protocollo < 6.0 di RDP, come MiTM-attacchi (autenticazione debole, come descritto brevemente qui ).
Anche se non sono a conoscenza di alcun attacco reale che faccia leva sulla vulnerabilità menzionata sopra, chiaramente non è possibile escludere la possibilità che ciò accada o che sia successo. Ci sono tuttavia un numero di dimostrazioni sparse per il web che illustrano come potrebbe essere sfruttato.
Ci sono un certo numero di cose che devi capire per prendere una decisione "buona".
Se lo sforzo per il tunneling della connessione su SSH non è eccessivamente costoso e dispendioso in termini di tempo, sarebbe una contromisura ragionevole da utilizzare in quanto attenuerebbe completamente la minaccia di cui sopra.
Considerando che il tunneling ssh può essere configurato insieme ai file chiave e ssh-agent (quindi devi decodificare la tua chiave una volta durante una sessione) Direi che è ovvio configurarlo in questo modo.
Suggerirei di utilizzare l'autenticazione a livello di rete insieme al client collegamento , il tunneling SSH o VPN è la sicurezza minima consigliata consentita.
Il blocco RDP potrebbe essere una buona idea. MS afferma che RDP deve essere corretto immediatamente
Leggi altre domande sui tag remote-desktop network ssh rdp