Migliora la sicurezza dell'RDP: router con whitelist VPN o IP sul firewall

Naviga le tue risposte
3

Sto pensando di migliorare le impostazioni di sicurezza sulla nostra workstation condivisa all'interno del laboratorio universitario. Stiamo condividendo la workstation tra i membri del laboratorio con RDP e siamo stati compromessi di recente. Sospetto strongmente che provenga dalla forza bruta. Così ho la possibilità di impostare una nuova strategia di sicurezza RDP.

Utilizziamo un router per la connettività Internet e la workstation è collegata al router. RDP è raggiungibile dall'esterno tramite il port forwarding. Dato che cambierò la porta da 3389 a qualche altra porta e tutti i tipi di impostazione per migliorare la sicurezza. Non riesco ancora a decidere una delle seguenti opzioni:

  1. Impostare RDP solo per essere accessibile dalla rete locale, ad esempio utilizzare 192.168.X.X come indirizzo dell'host RDP. Insieme alla configurazione del router con VPN, è ancora possibile accedere alla macchina da casa. Sono un po 'preoccupato se la VPN viene violata, le risorse universitarie saranno aperte agli altri.

  2. Ho attivato il firewall e limitato gli IP che possono accedere alla porta in questione. Sono preoccupato se non è abbastanza sicuro.

Quale opzione è migliore?

    
posta Lotte Wang 27.07.2017 - 09:22
fonte

3 risposte

2

Prima di tutto,

Ci sono sempre dei rischi quando si aprono risorse a Internet. Una VPN sembra essere un approccio ragionevole per minimizzare tali rischi.

Ora, hai pensato alla segretezza delle reti per ridurre l'impatto di un accesso VPN compromesso?

Inoltre, le due opzioni non si escludono a vicenda: perché non utilizzare una VPN per consentire la connettività e allo stesso tempo utilizzare la whitelist IP per limitare l'accesso alla VPN?

Inoltre, identificare il vettore effettivo del compromesso è fondamentale - solo indovinare non è una buona idea.

PS: la modifica della porta predefinita rende le vite più difficili per quasi nessun beneficio in termini di sicurezza: si chiama "sicurezza per oscurità" e non dovrebbe essere necessaria se tutto il resto è in ordine.

    
risposta data 27.07.2017 - 09:47
fonte
-1

Non vedo davvero il vantaggio di non utilizzare RDP dalla tua macchina a casa. Se imposti una connessione VPN tramite ad es. IPSec è possibile avviare il client RDP e connettersi alla workstation all'interno del tunnel VPN tramite RDP. In questo modo, il tuo traffico non può essere ascoltato o modificato se trasportato su Internet.

Se il tuo gateway VPN viene hackerato, sei incasinato in entrambi i modi. Se il server RDP di una connessione è compromesso, perché i tuoi utenti non sono cauti, sei anche fregato.

Se si seguono le istruzioni di base della configurazione del gateway, il firewall (ad esempio utilizzando ACL) e il (misurato in standard Microsoft) piuttosto buono documentazione RDP dovresti stare bene.

Quando hai fatto tutto questo, la chiave per la sicurezza in questa configurazione, sono i tuoi utenti e le misure di sicurezza che adottano per proteggere le loro macchine a casa e le loro postazioni di lavoro all'interno del laboratorio. Imposta le linee guida su come mantenere pulito un desktop e come utilizzare correttamente una connessione VPN. Ad esempio, se il tuo client VPN non ha l'opzione inclusa, proibisci agli utenti di utilizzare la propria connessione Internet per uso privato, mentre si utilizza RDP. Ecco una utile pubblicazione speciale NIST su come impostare tali linee guida e come valutare molte considerazioni sulla sicurezza.

    
risposta data 27.07.2017 - 10:53
fonte
-2

Per proteggere la mia privacy online uso il servizio vpn. Prova a usarlo anche per migliorare la sicurezza RDP. Il servizio VPN può essere utile quando devi controllare i siti bloccati o guardare la tv online. E per analizzare l'efficienza di questo programma a volte uso quale è il mio indirizzo ip buona fortuna.

    
risposta data 02.08.2017 - 08:31
fonte

Leggi altre domande sui tag

È ragionevole consentire l'accesso a Google per le persone che si sono registrate "normalmente"? Come iniettare XSS utilizzando Response Splitting nel seguente scenario?