Rischi di accesso a Microsoft Remote Desktop dietro una VPN sicura

2

Questo è principalmente per la mia educazione, ma è emerso uno scenario al lavoro che mi ha scettico. Mi piacerebbe che gli esperti di sicurezza mi dicessero se questa politica è eccessiva o no.

Sono remoto in una VPN dal mio PC di casa, non rilasciato dall'azienda. Installa Aventail sulla macchina e distrugge tutti i dati memorizzati nella cache al logoff. Effettua anche una sorta di scansione tramite Sonicwall. La mia domanda è questa: la VPN mi fornisce l'accesso completo alla rete, che include la possibilità di eseguire remoti nel mio PC di lavoro. L'azienda sta ora disattivando questo, citando un enorme rischio per la sicurezza. È proprio vero? Se qualcuno ha già il mio accesso al VPN e gli dà accesso completo alla rete, non sta già mettendo l'azienda in modalità DEFCON 1? L'intera cosa RDP è davvero un grosso rischio aggiuntivo dopo? Non vedo davvero il ragionamento che sta dietro, ma spero che qualcuno possa far luce su di esso.

    
posta jlrolin 14.06.2013 - 21:36
fonte

1 risposta

3

È rigoroso, ma non direi che è prepotente.

Diciamo che ci sono due estremità del pool, con le reti aziendali. Nella parte bassa è completamente aperto, senza firewall interni tra desktop e server. Puoi andare a qualsiasi app, qualsiasi server, qualsiasi porta, da qualsiasi luogo. Nella parte più profonda, le reti sono segmentate e vengono applicati i controlli di accesso. Solo la finanza può andare ai server di finanza. Tutti possono andare alla porta 443 sul server Wiki, solo la rete di amministrazione può andare alla porta 22. Cose del genere.

In tutte le reti tranne quelle più superficiali, gli utenti di accesso remoto sono considerati meno affidabili. Tutti i filtri sul posto saranno a posto per loro. L'azienda non ha il controllo fisico su questi sistemi, quindi non ottiene il set di accesso più completo.

Consentire l'RDP agli utenti desktop è un modo per negare tale controllo. Qualcuno su un PC remoto non affidabile che può utilizzare RDP su un desktop interno guadagna, in sostanza, un accesso affidabile. E questo può essere un grosso problema. Ricordo come Xerox si è staccata da Internet per una settimana, a metà degli anni '90, perché qualcuno si è introdotto nella casa di un ingegnere per sedersi davanti al suo PC che aveva accesso ISDN alla rete interna Xerox. Ci sono voluti una settimana per pulire, e hanno appena spento i tubi fino a quando non era pulito.

Ora, sosterrai, il fatto che le credenziali secondarie siano necessarie a RDP dopo che hai VPNed è un controllo di compensazione. Questo è un vero punto. Ma il punto della questione è che, se esistono ACL di qualche tipo per limitare l'accesso dagli utenti VPN, allora RDP è un modo per eludere quei limiti. Ecco perché ti imbatti in questo tipo di politica con una certa regolarità.

    
risposta data 14.06.2013 - 23:13
fonte

Leggi altre domande sui tag