Protegendo conexões do Firewall do Windows para o Windows Server 2012

Navegue suas respostas
2

Eu tenho o Windows Server 2012 no Amazon EC2 em um ambiente sem domínio.

Eu preciso da área de trabalho remota para ele e também conecto a instância do Microsoft SQL Server em execução nele.

Além de abrir essas portas no Firewall do Windows, eu gostaria de tornar isso mais seguro. Não posso limitar a conexão a um IP específico porque tenho um endereço IP dinâmico do meu provedor.

O que eu estava pensando é usar algo que existiria tanto no computador cliente quanto no servidor como uma condição necessária para conexão. Talvez algum tipo de certificado SSL?

Eu encontrei isso para o Windows Server 2003: link que parece ser semelhante ao que estou procurando, mas assume que o ambiente Active Domain está em uso e abrange apenas a área de trabalho remota em oposição a qualquer conexão via firewall. Além disso, a GUI para configuração de serviços de terminal nem sequer existe no Windows Server 2012.

Vejo que, no Windows Server 2012, na guia "Geral" de qualquer regra de firewall, existe uma opção "Permitir a conexão, se for segura", que pode ser ativada e configurada posteriormente. Há também a pasta "Regras de segurança de conexão" em "Firewall do Windows com Segurança Avançada". Eu suspeito que o que estou procurando está relacionado a essas duas opções, mas não tenho certeza de como elas funcionam juntas.

O que estou tentando alcançar é possível mesmo em ambientes sem domínio? Existem guias passo-a-passo sobre como configurá-lo para o Windows Server 2012?

    
por Joe Schmoe 01.01.2014 / 21:42

2 respostas

1

IMHO, de longe, a solução mais rápida e fácil seria usar uma configuração IPSec usando apenas o modo de transporte e autenticação baseada em certificado.

Isso permitiria que você se conectasse ao IP público de seu servidor apenas de seu laptop específico (ou onde quer que você instalasse seu certificado personalizado).

A VPN é ótima, mas é realmente exagerada se tudo o que você precisa é o modo de transporte - a maioria dos guias de VPN supõe a necessidade de configurar o tunelamento e isso é um exagero no seu caso de uso.

Se eu fosse fazer isso:

  1. Crie um certificado autoassinado local no servidor e na estação de trabalho.
  2. Importe o certificado da estação de trabalho no servidor e vice-versa. Eles precisam estar no armazenamento de raiz confiável.
  3. Crie uma regra de segurança de conexão usando as configurações 'qualquer ip remoto' para o terminal 1 e 'seu servidor ip aqui' para o terminal 2, usando a autenticação de certificado. Isso permitirá que o servidor use opcionalmente o IPSec. A mesma regra também precisa ser configurada em sua estação de trabalho.
  4. Crie uma regra do Firewall do Windows no servidor usando a opção 'permitir a conexão, se for segura'. Eu começaria com um único protocolo, como o Remote Desktop. Você poderia ampliá-lo mais tarde.

Observação pode haver algumas etapas específicas da AWS, como as portas necessárias para serem abertas que eu não abordei. Você pode querer criar uma instância de teste para testar isso.

    
por 02.01.2014 / 19:52
0

O artigo que você apontou não se aplica necessariamente apenas a ambientes de domínio. Conforme observado no final:

The steps covered in this article assume you are running terminal services in an Active Directory domain environment, and also running your own Microsoft based PKI. It should be noted however, that this is not a requirement, as long as you focus on the security when computers need to trust the CA hierarchy.

No entanto, como você afirmou, ele só protegerá suas conexões RDP.

Eu acho que uma VPN é uma solução óbvia, mas desde que você não mencionou, eu assumo que não é o que você está procurando. Você pode reduzir a superfície de ataque com um ou mais destes:

  • Batendo no Porto. Aqui está um bom recurso.
  • Pergunte ao seu ISP o bloco de endereços que eles possuem, adicionando apenas estes aos endereços de origem nas regras de firewall irá reduzir bastante o número de kiddies de script tentando atacar seu servidor. Eles podem não lhe dar essa informação, nesse caso você terá que descobrir o intervalo sozinho.
  • Altere as portas padrão dos seus serviços expostos. Isso também reduz muitos ataques automatizados.

Embora algumas dessas opções sejam apenas segurança através da obscuridade, elas ainda são melhores do que nada, e uma boa camada de defesa quando usadas juntas.

    
por 01.01.2014 / 22:07

Tags

Azure: interferência de VM conectando várias redes openvpn