In generale, inizierò dicendo che in generale, più servizi esegui ed esporti a Internet, maggiore è la tua superficie di attacco e maggiore il rischio di compromessi. Possiamo suddividere il rischio in due aree: quelle che puoi controllare e quelle che sfuggono al tuo controllo.
Rischio che puoi controllare
Come con qualsiasi protocollo di gestione remota, ci sono strumenti automatici che bussano alla tua porta tutto il giorno, cercando di forzare la tua password e accedere.
Cose che puoi fare per proteggere da questo:
- Limita l'accesso a dispositivi / reti affidabili utilizzando le regole del firewall. Questo può ridurre enormemente la superficie di attacco.
- Utilizza una password complessa.
- Passa a una porta non standard (l'hai già fatto). Ciò sventerà la maggior parte degli strumenti automatici, ma non rallenterà un determinato avversario.
- Abilita l'autenticazione a due fattori (l'hai già fatto).
Rischio che non puoi controllare
Ci sono diversi fattori che di solito non sono sotto il tuo controllo:
- Il protocollo RDP. È possibile che esista una grave vulnerabilità all'interno del protocollo RDP o della sua implementazione del server. Questo tipo di vulnerabilità è difficile da controllare perché RDP è per lo più proprietario. Tuttavia, ci sono stati 0 giorni in passato in cui semplicemente RDP abilitato ed esposto consentito per l'esecuzione di codice remoto ( MS15-067 ).
- Preoccupazioni simili a Duo. La loro applicazione potrebbe essere imperfetta, backdoor o consentire compromessi al tuo sistema se i sistemi basati su cloud di Duo sono compromessi.
- Se ti connetti da remoto, potrebbe essere possibile che qualcuno man-in-the-middle della tua connessione e ti induca ad accettare il loro certificato.
Si riduce davvero al tuo livello di tolleranza al rischio. Se ti fidi pienamente che Microsoft e Duo stanno seguendo le migliori pratiche di sicurezza, allora potrebbe essere sufficiente, oltre a seguire le migliori pratiche. Per mitigare ulteriormente questi potenziali problemi, è possibile utilizzare la connessione tramite un tunnel VPN o SSH per aggiungere un ulteriore livello di sicurezza.