RDP è un protocollo di vecchia data che ha attraversato molte versioni. Le versioni recenti del protocollo racchiudono un tunnel SSL / TLS attraverso il quale avvengono gli scambi effettivi (RDP ha il proprio formato per l'invio pacchetti e, all'interno di tale formato, vengono inviati i record SSL). Questo dovrebbe essere sicuro fino a quando il livello di autenticazione (cioè l'accesso basato su password) è sicuro (il che significa "una password abbastanza casuale") e il servizio Desktop remoto sulla macchina non ha sfruttamento remoto fori. Sfortunatamente, il codice RDS può avere, come qualsiasi altro software, buffer overflow e debolezze simili, come è stato dimostrato .
Microsoft ha la sua "soluzione" per questo, chiamata Servizi terminal Gateway . È un server extra che è in ascolto sulla porta 443 per le connessioni SSL / TLS in entrata; il TSG autentica il client (con una password o un certificato), quindi inoltra i pacchetti in stile RDP al server che esegue Servizi Desktop remoto. Ci sono parecchi strati qui:
- Connessione SSL / TLS dal client al TSG.
- In quei tunnel SSL / TLS, alcuni pacchetti in stile RDP, inviati al server che esegue RDS.
- In questi pacchetti, i record SSL / TLS per il tunnel SSL / TLS dal client al server RDS.
- In quel tunnel SSL / TLS, i pacchetti RDP effettivi che codificano i tratti della tastiera, i clic del mouse e gli aggiornamenti del display.
Quali sono i vantaggi del TSG? Per lo più, questo è un nuovo server che è apparentemente più semplice e con una storia di implementazione più breve, quindi teoricamente con meno bug; è probabile che il codice SSL / TLS esterno (quello gestito da TSG) sia lo stesso codice utilizzato da IIS per servire i siti Web HTTPS, e quell'implementazione deve essere ragionevolmente solida dal momento che ha ampia esposizione su Internet ed è ancora vivo. Inoltre, TSG è in ascolto sulla porta 443, il che rende più semplice per i client in ambienti con firewall restrittivi (la porta 443 è una delle porte che è più probabile che sia autorizzata per le connessioni in uscita).
Dal punto di vista di Microsoft, TSG ha l'ulteriore vantaggio di essere un altro server e un software specifico, quindi si tratta di licenze extra. Non sono sicuro che sia possibile inserire TSG e RDS di destinazione sullo stesso computer (il servizio Desktop remoto tende a disabilitare le connessioni da "localhost").