Server dedicato in ambiente cloud: accesso remoto SSL vs VPN dedicata

3

Grazie per il tempo dedicato a esaminare questa domanda.

Sfondo

Il mio sito web è ospitato in un server dedicato nel cloud. Il server è una macchina Windows 2008 R2. Per pubblicare i file FTP sul server. Per la manutenzione generale, mi collego in remoto ai server usando un RDP su SSL (la mia password è strong!). Ho anche una VPN dedicata tra i miei locali e questo server.

Il problema

Quanto è sicura la tua casella di Win 2008 standard seduta su Internet con RDP abilitato? Sono sicuro che in teoria potrebbe essere brutale forzato.

Domande

  • Quanto è sicuro il server fornito dal provider di hosting patching ecc.?
  • L'RDP è sicuro?
  • Potrei limitare il server ad accettare solo sessioni RDP dalla VPN dedicata, ma ciò ridurrà sicuramente la flessibilità degli amministratori che accedono al server da un certo numero di posizioni.
  • Inoltre, l'RDP attraverso questa VPN che abbiamo installato è molto lento.

Enigma

La protezione di questa macchina solo abilitando le connessioni in arrivo dalla VPN dedicata suona come il modo più sicuro per farlo. Non voglio perdere la flessibilità di connessione da più posizioni.

    
posta Intrigue 16.03.2012 - 02:42
fonte

3 risposte

1

Il rischio di mantenere aperta quella porta è stato dimostrato con il recente bollettino sulla sicurezza MS12-020. L'exploit qui attacca il servizio stesso che è molto serio. RDP ha resistito bene agli attacchi fino ad ora perché, una volta effettuato l'accesso, è stata inizializzata una nuova sessione con quell'utente. Di solito è sufficiente una password sicura.

Ma in questo caso, il servizio stesso è stato attaccato, il che conferisce al codice exploit un accesso molto privilegiato. Quindi limiterei gli indirizzi IP il più possibile. Se ciò non funziona, almeno l'utilizzo di una porta non standard potrebbe aiutare.

Potresti considerare l'opportunità di utilizzare OpenSSH o OpenVPN come metodi di accesso alternativi.

    
risposta data 30.03.2012 - 11:13
fonte
1

I just don't want to lose the flexibility of connecting from multiple locations.

La richiesta di flessibilità di solito limita la sicurezza. Soprattutto se si intende accedere da più posizioni. Tuttavia, non sono un esperto di RDP e VPN, ma potresti anche prendere in considerazione i certificati del cliente.

How secure is the server provided the hosting provider does the patching etc?

Dipende dal momento che in generale un provider di hosting è interessato a non avere cattive pubbliche relazioni a causa di falle nella sicurezza. Tuttavia, molti problemi di sicurezza sono causati da errori di configurazione. Ancora oggi, un numero incredibile di provider confonde i suoi sistemi.

Is RDP secure?

Come ho detto, non conosco bene l'RDP. Ma in generale, direi come sopra (errata configurazione). Wikipedia rivendica alcuni problemi .

Also, RDP through this VPN we have in place is very slow

Questa non è una vera domanda, tuttavia, non è molto sorprendente. La sicurezza viene spesso ottenuta utilizzando la crittografia avanzata. Questa crittografia può aumentare il traffico e lo sforzo di calcolo.

    
risposta data 19.09.2012 - 10:43
fonte
1

RDP è un protocollo di vecchia data che ha attraversato molte versioni. Le versioni recenti del protocollo racchiudono un tunnel SSL / TLS attraverso il quale avvengono gli scambi effettivi (RDP ha il proprio formato per l'invio pacchetti e, all'interno di tale formato, vengono inviati i record SSL). Questo dovrebbe essere sicuro fino a quando il livello di autenticazione (cioè l'accesso basato su password) è sicuro (il che significa "una password abbastanza casuale") e il servizio Desktop remoto sulla macchina non ha sfruttamento remoto fori. Sfortunatamente, il codice RDS può avere, come qualsiasi altro software, buffer overflow e debolezze simili, come è stato dimostrato .

Microsoft ha la sua "soluzione" per questo, chiamata Servizi terminal Gateway . È un server extra che è in ascolto sulla porta 443 per le connessioni SSL / TLS in entrata; il TSG autentica il client (con una password o un certificato), quindi inoltra i pacchetti in stile RDP al server che esegue Servizi Desktop remoto. Ci sono parecchi strati qui:

  • Connessione SSL / TLS dal client al TSG.
  • In quei tunnel SSL / TLS, alcuni pacchetti in stile RDP, inviati al server che esegue RDS.
  • In questi pacchetti, i record SSL / TLS per il tunnel SSL / TLS dal client al server RDS.
  • In quel tunnel SSL / TLS, i pacchetti RDP effettivi che codificano i tratti della tastiera, i clic del mouse e gli aggiornamenti del display.

Quali sono i vantaggi del TSG? Per lo più, questo è un nuovo server che è apparentemente più semplice e con una storia di implementazione più breve, quindi teoricamente con meno bug; è probabile che il codice SSL / TLS esterno (quello gestito da TSG) sia lo stesso codice utilizzato da IIS per servire i siti Web HTTPS, e quell'implementazione deve essere ragionevolmente solida dal momento che ha ampia esposizione su Internet ed è ancora vivo. Inoltre, TSG è in ascolto sulla porta 443, il che rende più semplice per i client in ambienti con firewall restrittivi (la porta 443 è una delle porte che è più probabile che sia autorizzata per le connessioni in uscita).

Dal punto di vista di Microsoft, TSG ha l'ulteriore vantaggio di essere un altro server e un software specifico, quindi si tratta di licenze extra. Non sono sicuro che sia possibile inserire TSG e RDS di destinazione sullo stesso computer (il servizio Desktop remoto tende a disabilitare le connessioni da "localhost").

    
risposta data 19.09.2012 - 15:11
fonte

Leggi altre domande sui tag