none
Connessione Remote Desktop sicura RRS feed

  • Domanda

  • Salve,

    abbiamo alcuni server Windows 2008 R2 e Windows 2012 R2 in hosting ai quali ci connettiamo attraverso lo strumento di Desktop Remoto di Windows. I client sono di sempre Windows di vario tipo (W7, W8, W10).

    Volevo sapere se questo tipo di comunicazione è sicura o meglio crittografata di default o se c'è un modo per renderla tale attraverso opportune configurazioni sui server/client.

    Grazie.

    mercoledì 2 agosto 2017 07:02

Risposte

  • Ciao, sei i server sono esposti con la 3389 pubblicata di sicuro c'è poco o niente :-). La sicurezza per le connessioni RDP tramite internet è solo tramite VPN. Apri il tunnel e ti connetti in rdp con l'ip privato del server od il nome.

    Se hai le 3389 aperte ad oggi, anche solo mascherate è un rischio altissimo. Sempre stato in realtà.

    ciao.

    A.

    mercoledì 2 agosto 2017 08:56
    Moderatore

Tutte le risposte

  • Il protocollo RDP, specialmente nell ultime versioni, è sufficiente sicuro e crittografato, come regola generale usando password complesse, il blocco degli account dopo x tentativi errati e l'utilizzo di una porta alternativa alla 3389 sei sufficiente sicuro.

    Comunque se vuoi puoi adottari altri accorgimenti:

    https://security.berkeley.edu/resources/best-practices-how-articles/securing-remote-desktop-rdp-system-administrators

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    mercoledì 2 agosto 2017 08:56
  • Ciao, sei i server sono esposti con la 3389 pubblicata di sicuro c'è poco o niente :-). La sicurezza per le connessioni RDP tramite internet è solo tramite VPN. Apri il tunnel e ti connetti in rdp con l'ip privato del server od il nome.

    Se hai le 3389 aperte ad oggi, anche solo mascherate è un rischio altissimo. Sempre stato in realtà.

    ciao.

    A.

    mercoledì 2 agosto 2017 08:56
    Moderatore
  • Grazie per la risposta.

    Purtroppo non posso mettere su una VPN. Per cambiare la porta di ascolto suppongo che sia una impostazione che posso fare sul server tra le impostazioni di Windows.

    mercoledì 2 agosto 2017 09:42
  • Grazie per la risposta, proverò a modificare la porta di ascolto allora.
    mercoledì 2 agosto 2017 09:45
  • Grazie per la risposta, proverò a modificare la porta di ascolto allora.

    Cambiare la porta di ascolto non risolve nulla: ci sono dei semplici bot che cercano il servizio dietro alla porta non la porta stessa quindi identificano cosa gira dietro ad un 12000 tcp ad esempio se c'è mascherata una 3389. Detto questo un servizio rdp esposto comporta avere orde di attacchi continui ogni giorno, magari uno nemmeno lo sa senza un monitoraggio..ma siccome i primi criptolocker usavano un buco di sicurezza non noto della RDP del 2003 server io eviterei di rischiare perchè dal 2003 al 2008R2 il passo è breve. Oltre questo il blocco account dopo N tentativi è utile per fermare un attacco una tantum, per un attacco continuo ti trovi l'utente perennemente bloccato.

    Quando dici "non posso implementare VPN" non so cosa vuol dire.

    ciao.

    A.

    mercoledì 2 agosto 2017 14:04
    Moderatore
  • Non posso implementare una VPN perchè il server è in hosting su Aruba. Forse non sono sufficientemente competente io e si può fare.

    giovedì 3 agosto 2017 14:13
  • Hai chiamato Aruba.

    Leggi qui la parte Firewall del template di win2012 r2

    https://kb.cloud.it/computing/schede-template/ws12-002.aspx

    Forse il tuo Ip pubblico è aperto e puoi farti una bella L2TP, 

    Marco

    giovedì 3 agosto 2017 15:05
  • Ciao, sei i server sono esposti con la 3389 pubblicata di sicuro c'è poco o niente :-). La sicurezza per le connessioni RDP tramite internet è solo tramite VPN. Apri il tunnel e ti connetti in rdp con l'ip privato del server od il nome.

    Se hai le 3389 aperte ad oggi, anche solo mascherate è un rischio altissimo. Sempre stato in realtà.

    ciao.

    A.

    Alessandro, no ci crederai, totalmente d'accordo!

    Aggiungo un documento di SANS, per win2003 ma nella sostanza valido, i tools per trovare rd su porte diverse sono efficacissimi anche oggi! Nelle 41 pagine viene spiegato bene cosa significhi  avere un remote desktop pubblicato e come mitigare gli attacchi...

     https://www.sans.org/reading-room/whitepapers/terminal/secure-remote-access-using-windows-terminal-services-2003-1354

    Ciao Gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    giovedì 3 agosto 2017 22:48
    Moderatore
  • VPN.

    QuirinoS

    martedì 8 agosto 2017 07:43
  • E' più facile farle sul router/firewall perimetrale.

    Es. Porta esterna in ascolto TCP 33389 -> porta interna 3389 e IP del server

    Però, come ti è stato detto, meglio una VPN

    domenica 13 agosto 2017 21:52