Esiste un motivo valido per le connessioni RDP del tunnel ssh?

4

Non eseguiamo prodotti Microsoft in modo nativo nel nostro ufficio, ma ci sono alcuni che usano un client RDP linux per accedere a un'applicazione su desktop virtuali remoti con un fornitore di servizi. Varrà la pena di scavare nel tunnel del RDP attraverso ssh, o non dovrei essere troppo preoccupato?

Attualmente utilizziamo Remmina che a sua volta usa FreeDesktop (RDP versione 6) con TLS.

    
posta Bryan Agee 13.08.2011 - 23:58
fonte

3 risposte

7

Aggiornamento: la domanda è stata pubblicata dopo che è stata modificata per evidenziare una differenza, ovvero che viene utilizzato RDP v6 su TLS. Sebbene la risposta possa ancora essere considerata "okay", ora devo sostenere che il tunneling TLS su SSH non è necessario a causa della mancanza di scenari di minacce rilevanti e probabili - presupponendo la corretta configurazione dei certificati TLS ecc.

In un mondo ideale le decisioni di sicurezza dovrebbero sempre essere supportate da dati, dati oggettivi e oggettivi. Determinare se "vale la pena" di effettuare il tunneling di RDP tramite SSH verrebbe fatto combinando la conoscenza degli attacchi noti, la classificazione delle informazioni accessibili (da un punto di vista della riservatezza, dell'integrità e della disponibilità) e il "costo" dell'attuazione delle contromisure. / p>

Fatto - Esistono numerosi problemi con le versioni di protocollo < 6.0 di RDP, come MiTM-attacchi (autenticazione debole, come descritto brevemente qui ).

Anche se non sono a conoscenza di alcun attacco reale che faccia leva sulla vulnerabilità menzionata sopra, chiaramente non è possibile escludere la possibilità che ciò accada o che sia successo. Ci sono tuttavia un numero di dimostrazioni sparse per il web che illustrano come potrebbe essere sfruttato.

Ci sono un certo numero di cose che devi capire per prendere una decisione "buona".

  1. "Sensibilità" delle informazioni accessibili
  2. Lo sforzo (tempo) di implementazione della contromisura (SSH-tunneling)
  3. Probabilità che qualcuno si concentri intenzionalmente su di te per sfruttare la vulnerabilità per realizzare la minaccia. (Sfortunatamente molto difficile, dal momento che la condivisione dei dati all'interno della comunità di sicurezza di incidenti passati sono pochi e lontani!)

Se lo sforzo per il tunneling della connessione su SSH non è eccessivamente costoso e dispendioso in termini di tempo, sarebbe una contromisura ragionevole da utilizzare in quanto attenuerebbe completamente la minaccia di cui sopra.

    
risposta data 14.08.2011 - 01:30
fonte
0

Considerando che il tunneling ssh può essere configurato insieme ai file chiave e ssh-agent (quindi devi decodificare la tua chiave una volta durante una sessione) Direi che è ovvio configurarlo in questo modo.

Suggerirei di utilizzare l'autenticazione a livello di rete insieme al client collegamento , il tunneling SSH o VPN è la sicurezza minima consigliata consentita.

    
risposta data 14.08.2011 - 15:46
fonte
0

Il blocco RDP potrebbe essere una buona idea. MS afferma che RDP deve essere corretto immediatamente

    
risposta data 15.03.2012 - 04:34
fonte

Leggi altre domande sui tag