É uma decisão de segurança válida proteger os servidores RDP expostos, restringindo os endereços IP com um firewall?

4

Como você provavelmente sabe, novas falhas de segurança continuam a surgir no RDP para Windows. Eu pesquisei e li sobre esse problema e possíveis correções / soluções.

Surpreende-me que ninguém menciona, para limitar ip-scope no firewall do Windows como uma correção possível (de modo que apenas o seu ip pode se conectar à máquina). Eu acho que isso é porque, por algum motivo, não é uma boa solução (eu não sou especialista).

Então, minha pergunta é: o que há de errado com essa solução?

    
por Eydun 17.03.2012 / 01:07

4 respostas

9

Parte da razão pela qual você não está vendo esse conselho como uma solução potencial é que não é uma solução, apenas uma solução alternativa. Ao configurar um bloco de IP dessa maneira, você está limitando o escopo a algo semelhante ao escopo apresentado por um servidor VPN que permite que qualquer pessoa com as credenciais certas se conecte a ele. Isso limita o escopo da vulnerabilidade, mas não a atenua.

O modo de falha é que um dos IPs confiáveis será infectado com algum badware que tenha um scanner vulgar RDP, e então você estará fora das corridas.

No entanto, limitar o escopo de IP para o serviço vastamente reduz a exposição que esse problema apresenta! Ainda é uma boa ideia.

    
por 17.03.2012 / 01:23
8

Nada, nas circunstâncias apropriadas. Fazemos isso para os clientes o tempo todo.

O problema surge quando você não percebe (ou esquece) que você tem restrições de endereço IP, e seu último (ou único) endereço IP acessível por RDP muda - de repente, você está bloqueado, e você não pode consertar (porque você está bloqueado).

Resolvemos o problema no trabalho adicionando os intervalos de VPN da equipe (que são RFC1918 e, portanto, não devem ser renumerados à força) para os intervalos de IP permitidos em todos os servidores do cliente, portanto, se um cliente for bloqueado, ligue-nos para obter as restrições alteradas. Também temos acesso remoto ao console para tudo (seja através do console host da VM ou do iDRAC, dependendo se é uma máquina virtual ou física, acessível somente por meio de uma rede back-door out-of-band com seu próprio conjunto redundante de VPN- restrições de acesso mediadas).

No entanto, na falta de um mecanismo fora de banda para (re) obter acesso, as restrições de endereço IP sempre correm o risco de se bloquear completamente (e, dependendo de suas circunstâncias, possivelmente irrecuperavelmente).

    
por 17.03.2012 / 01:16
2

Nada. É uma ótima solução se você abrir seu RDP para a internet. Outra prática recomendada é mover a Internet voltada para uma porta diferente (diferente de 3389).

A única razão que posso pensar é que as pessoas são muito preguiçosas para manter um intervalo de restrição de IP possivelmente variável no firewall.

O RDP é tão seguro quanto qualquer outro protocolo - desde que seja gerenciado corretamente.

    
por 17.03.2012 / 01:17
1

Nada - essa é a melhor prática do Windows desde o Windows 2000, consulte este artigo para obter referências sobre como configurar vários níveis de isolamento link

    
por 17.03.2012 / 01:24