none
Posibles Vulnerabilidades en Terminal Server RRS feed

  • Pregunta

  • Buenos días,

    Me gustaría preguntaros si alguna vez os habéis encontrado con algún servidor en este caso server 2008 al cual le han hecho un secuestro de datos, entiendo que a través terminal server. Me mandan un servidor de una empresa para que lo mire, pero investigando veo que es prácticamente imposible recuperar esos datos pues llevan un método de encriptación con password complicado. Los ficheros tienen extensión .omg! . Mi preocupación después de leer muchos documentos es que una de las posibilidades de que esto suceda es que el cliente rdp que se conecta al servidor no tenga los parches sobre el RDP cliente descargados.

    Hay alguna posibilidad a nivel de servidor para poder evitar esto??, a parte de passwords complicados, cambios de puerto estándar, usuarios no administrativos, etc. ?.

    Muchas Gracias,

    Un Saludo

    David


    David

    jueves, 29 de agosto de 2013 7:25

Respuestas

  • Hola David,

    El caso que comentas, por desgracia, es bastante común en estos momentos. En estos foros, algún usuario se ha encontrado con algún caso similar de malware que ha encriptado los datos de un servidor expuesto en Internet. Puedes leer el post en este link.

    Tener hoy en día un servidor con el rol de Terminal Services publicado directamente en Internet; es decir, publicando directamente el port 3389 para que equipos clientes de sedes remotas se conecten al servidor se podría catalogar como una absoluta temeridad. Más aún si dicho servidor no está actualizado a último nivel de Service Pack y parches críticos. El "nunca pasa nada", "quien va a querer acceder a mi server", y demás frases típicas usadas por responsables y administradores, hoy en día, no aplican, y revelan un desconocimiento del panorama actual.

    Como bien comentas, acciones como el uso de password complejos, el cambio del port estándar y la restricción de permisos de los usuarios constituyen medidas básicas para evitar accesos no deseados. Pero no son suficientes.

    Otras configuraciones para securizar los servicios RDS publicados en internet podrían ser:

    • Usar NLA (Network Layer Authetication), que evita se inicie la sesión de escritorio remoto si las credenciales introducidas no son correctas.
    • Usar el rol Puerta de Acceso (RDGW) que encapsula el tráfico RDP en HTTPS; es decir, el puerto publicado sería el 443 en vez del port 3389. A través de las Politicas de Conexión de Accesos (RD CAP) y las Politicas de accesos a los recursos (RD RAP) se controla el acceso/autorización/autenticacion de los equipos/usuarios cliente. Esta sería la opción recomendada por Microsoft para accesos externos a un servidor de TS interno.
    • Otros administradores prefieren crear una VPN privada entre el cliente y el servidor para una vez activa se realice una conexión RDP. La complejidad de montar una VPN (usando L2TP dado que PPTP ya no es seguro) hace que muchos administradores opten por usar el rol de Puerta de Acceso, que aunque no sea algo trivial su configuración, suele dar menos problemas que una configuración VPN (tanto a nivel de cliente como de servidor).
    • Tener un antivirus/antimalware instalado y actualizado a ultimo nivel.
    • Tener monitorizados/auditados los accesos al servidor.

    David, seguro que hay otras configuraciones que me he dejado en el tintero para mitigar los accesos no deseados a un Servidor de Escritorio Remoto. Pero a grandes rasgos se podrían sintetizar en los mencionados anteriormente.


    Un saludo,

    Tomas Hidalgo

    Colobora con el foro: Si la respuesta es de utilidad para resolver tu duda/problema, usa la opción "Marcar como repuesta". Otros usuarios con dudas similares -en un futuro- lo agradecerán.

    • Propuesto como respuesta Cavallin Jorge viernes, 30 de agosto de 2013 14:29
    • Marcado como respuesta Uriel Almendra miércoles, 11 de septiembre de 2013 22:43
    jueves, 29 de agosto de 2013 21:03
    Moderador