A área de trabalho remota para estações de trabalho é segura?

1

Eu tenho usuários que desejam usar a área de trabalho remota para acesso remoto a suas estações de trabalho. Eu tenho servidor VPN conectado ao RADIUS que eu uso, no entanto lembro-me de conectar e desconectar, em vez de enviar o tráfego da web através da VPN.

Eu duvido que eles façam isso, porque o consultor anterior de TI deixou-os abertos e nem sugeriu a troca de senhas como 1234, senha e {insert child / pet name}. Agora eles têm que usar a política de Senha que o R2 vem com, então eu sei que estamos mais seguros a esse respeito.

Então, a questão mais importante é quão perigoso é deixar 7 e o XP Remote aberto para a internet?

    
por Jacob 06.01.2012 / 21:16

4 respostas

2

Se você tiver senhas configuradas para serem de tamanho e complexidade decentes, o RDP é criptografado, de forma que a maior parte é seguro. Eu pessoalmente não faria isso, preferindo usar algo como um cliente Cisco VPN em estações de trabalho, em seguida, VPN para a estação de trabalho, em vez de deixá-lo aberto para os webbertubes. O RDP pode ser suscetível a ataques MITM e você provavelmente terá bots e scans que os investigarão.

Também defini sua política para bloquear contas se elas forem tentadas 3 vezes com senhas incorretas para evitar / minimizar ataques de força bruta.

Resumo: é provavelmente seguro o suficiente para fazer isso, mas é uma prática ruim e deve ser evitado.

EDIT: existem worms que atacam o RDP, então você deve estar ciente disso ao impor suas políticas. Ou seja, Morto.

    
por 06.01.2012 / 21:28
3

Eu geralmente não recomendaria o uso do RDP diretamente pela Internet, mesmo porque usar uma VPN oferece uma camada adicional de autenticação (e a possibilidade de integrar facilmente tokens de hardware). O protocolo RDP inclui criptografia e, se você estiver usando as versões mais recentes do cliente RDP, a autenticação do servidor remoto (e a autenticação mútua via Kerberos - "Autenticação no nível da rede" ou NLA no jargão da Microsoft).

O principal problema com o RDP não é o protocolo, mas sim problemas com tentativas de senha de força bruta. Seu firewall de borda pode, esperançosamente, limitar o limite de novas tentativas de conexão. Existem soluções baseadas em host para bloquear endereços IP que tentam tentativas repetidas de conexão de força bruta, mas isso é apenas colocar um dedo no dique . Uma boa política de senha é útil, mas você nunca pode ter certeza de que seus usuários não estejam usando as mesmas senhas fora do seu controle (um site de terceiros que seja "de propriedade", etc). Adicionar autenticação VPN sobre a senha RDP oferece uma abordagem de cinto e suspensórios.

O "con" que eu ouvi expresso em VPNs versus RDP direto está relacionado à conectividade em nível de IP para a LAN oferecida a clientes VPN. Para isso, eu diria que basta encerrar sua VPN em uma DMZ e limitar o tráfego dentro e fora da VPN. Este não é um argumento válido para usar o RDP pela Internet em vez de uma VPN adequada.

    
por 06.01.2012 / 21:28
3

O protocolo RDP com NLA e os níveis mais altos de segurança são bastante seguros de interceptação de alguém. O problema com o RDP é que você basicamente tem algo em aberto que as pessoas poderiam ser usadas para forçar a força na sua rede.

Se você optar por ativá-lo, será muito importante configurar bloqueios de conta bastante rigorosos. Configure um bom IPS / IDS e certifique-se de registrar o acesso.

Se isso é algo que você precisa permitir, sem uma configuração adicional de software no cliente, sugiro que você, pelo menos, analise a configuração de um gateway de serviços de terminal. Isso permitirá que você controle, monitore e limite o RDP.

    
por 06.01.2012 / 21:26
1

Deixar o RDP aberto para a Internet nunca é uma boa ideia. Pessoas pequenas de outros países farão contas de força bruta em seu servidor / domínio constantemente. Isso bloqueará as contas e poderá levar a uma invasão. Seria melhor forçá-los a conectar uma VPN e encapsular o tráfego RDP.

* Edit: Eu deveria ser justo ... os pequenos hackers que você não é sempre de outros países. ; -)

    
por 06.01.2012 / 21:25