Come configurare Terminal Server (e client) per l'utilizzo su reti Wifi non attendibili?

3

Supponiamo che un cliente desideri connettersi direttamente a Terminal Server esposto a Internet, senza VPN, ... quale software & le impostazioni sono necessarie per proteggere adeguatamente dagli attacchi basati su WiFi? (si supponga che MITM sia possibile e sono consentite più piattaforme client)

Informazioni di background

RDP senza VPN è comune non solo nelle filiali, ma viene spesso utilizzato anche con server ospitati su cloud. Dato che RDP è il meccanismo predefinito per amministrare le soluzioni IaaS e PaaS, sto provando a stimare la probabilità che un amministratore non addestrato possa connettersi a questi host senza i necessari controlli di sicurezza.

Sono interessato a informazioni su come configurare correttamente un server e qualsiasi altro software necessario per PC, OSX e possibilmente Linux.

    
posta random65537 28.11.2012 - 03:50
fonte

1 risposta

3

Le vecchie versioni di RDP possono eseguire alcuni tipi di crittografia, ma sono vulnerabili agli attacchi Man-in-the-Middle per mancanza di convalida della chiave pubblica del server (le versioni precedenti utilizzavano anche la crittografia debole, o addirittura nessuna crittografia tranne per l'invio della password).

A partire dalla versione 5.2 del protocollo, è possibile utilizzare SSL / TLS (il traffico TLS è incapsulato nel protocollo di trasporto specifico per RDP), quindi con un certificato del server che il client può validare; questo fornisce la protezione necessaria contro gli attaccanti, incluso MitM. Il server deve essere Windows Server 2003 o più recente; come server RDP, Windows XP non può farlo. Tuttavia, il client RDP fornito con WinXP SP3 conosce questo protocollo e può usarlo.

Un'alternativa è Terminal Service Gateway , che è un servizio extra che ripristina la struttura: una connessione SSL / TLS, sulla porta 443 e al suo interno il protocollo RDP. Il TSG deve essere Windows 2008 o più recente. Anche in questo caso, il client in WinXP SP3 può utilizzarlo.

Sfortunatamente, i client alternativi per altri sistemi operativi, come rdesktop , non supportano ancora RDP 5.2 o TSG (se fare, mi piacerebbe sentirne parlare). Il client Microsoft esiste per MacOS X (viene fornito con Office, potrebbe essere scaricabile separatamente) ma non per Linux. Per una corretta sicurezza di RDP con supporto multipiattaforma, avrai bisogno di una VPN .

    
risposta data 28.11.2012 - 14:41
fonte

Leggi altre domande sui tag