Sto per spingere strong contro i poteri che sono e raccomandiamo vivamente di spostare i nostri molti (20+) consulenti dall'accesso pubblico diretto a RDP & SSH ai client VPN (connessione a una VLAN / sottorete che ha accesso limitato alle sole risorse necessarie).
Dato che abbiamo un SOC di terze parti che gestisce un IDS e monitoriamo le connessioni, quali sono i rischi dell'esposizione di RDP e SSH a Internet che obbligano a risolvere l'accesso remoto tramite VPN?
Ci sono due rischi che mi vengono immediatamente a mente che verrebbero ridotti usando una VPN
Stai evitando il rischio che una singola vulnerabilità fornisca accesso ai tuoi sistemi. Con SSH / RDP diretto, una vulnerabilità legata all'esecuzione di codice in modalità remota nel servizio potrebbe consentire il completo compromesso del proprio ambiente. Con una VPN che consente l'accesso al servizio, l'utente malintenzionato dovrebbe compromettere il servizio VPN e il servizio di accesso remoto.
Indovina nome utente / password. La maggior parte dell'accesso RDP di base (e SSH a meno che non si stia utilizzando l'autenticazione basata su chiave) viene eseguita utilizzando combinazioni nome utente / password. Se la esporti direttamente su Internet corri il rischio che qualcuno acceda direttamente al sistema indovinando i crediti (e in questi giorni ci sono molti robot che fanno attacchi di indovinare la password) o bloccando i tuoi utenti (supponendo che tu abbia blocco dell'account in atto). Le VPN tendono ad avere un supporto migliore per 2FA, quindi è probabile che sia più facile implementare quel controllo con una VPN in uso. Inoltre, se disaccoppia gli accessi, almeno se attaccano gli account VPN, ciò potrebbe non influire sugli accessi del sistema operativo sottostante.
Leggi altre domande sui tag remote-desktop network ssh vpn rdp