Я разработчик с небольшим опытом администрирования, удаленно управляю отдельным выделенным веб-сервером.
Недавний независимый аудит безопасности нашего сайта рекомендовал, чтобы «RDP не был доступен в Интернете и чтобы надежное решение управления, такое как VPN, рассматривалось для удаленного доступа. При использовании RDP следует настроить на проверку подлинности сервера, чтобы гарантировать, что клиенты не могут быть подвергались атакам с использованием метода "злоумышленник в середине" ".
Прочитав немного, кажется, что проверка подлинности на уровне сети - это хорошо, поэтому я включил "Разрешить подключения только с удаленного рабочего стола с NLAвариант на сервере сегодня.
Достаточно ли этого действия, чтобы снизить риск атаки «человек посередине»? Или есть другие важные шаги, которые мне следует предпринять? Если VPN необходим, как мне это сделать?
Ты действительно должен не сделать RDP открытым для всего мира, даже с включенным NLA. NLA сокращает количество атак MITM, но если вы используете самозаверяющий сертификат по умолчанию для доступа по RDP, вы не совсем защищены.
Одна из основных причин, по которой вы не хотите оставлять RDP открытым для всего мира, - это предотвратить попытки автоматического взлома паролей. Если вы удалите RDP из интерфейсов с выходом в Интернет, вы полностью предотвратите случайные автоматические атаки методом перебора. Настоятельно рекомендуется и полезно установить что-то вроде VPN для удаленного доступа.
Есть много способов реализовать VPN. Например, в Windows есть встроенный IPSEC VPN. Сервер доступа OpenVPN также бесплатен для двух одновременно работающих пользователей, если вы хотите использовать маршрут SSL VPN.
Если вам нужны очень конкретные инструкции по настройке VPN, тогда вам необходимо изучить варианты, выбрать технологию, прочитать документацию, а затем открыть новый вопрос с любыми проблемами или проблемами, которые у вас возникли при ее реализации. Просто спросить «Как мне реализовать VPN?» - слишком много для Server Fault.
Так же, как пользователь может щелкнуть прямо через предупреждение SSL в своем браузере, предотвращение атак типа «злоумышленник посередине» по-прежнему остается обязанностью пользователя.
Все, что было выполнено этим изменением, - это предотвращение подключения старых клиентов, которые не поддерживают NLA (и обеспечиваемую им проверку подлинности сервера).
Для клиентов RDP версии 6 они не более и не менее уязвимы для атаки, как вчера - пользователь, щелкнув диалоговое окно идентификации сервера, - это все, что должно произойти, чтобы атака «человек посередине» была успешно.
Нет, NLA разработан для минимизации поверхности атаки сервера удаленного рабочего стола. Защита «человек посередине» возникает, когда вы настраиваете подключение к серверу удаленного рабочего стола с действующим сертификатом. Однако, если пользователи отклонят предупреждение, которое появляется, если сервер или сертификат не являются доверенными или действительными, они все равно могут подключаться к враждебному серверу удаленного рабочего стола, и эта уязвимость не имеет ничего общего с вашим сервером удаленного рабочего стола.
Из:
Настройка проверки подлинности на уровне сети для подключений к службам удаленных рабочих столов
http://technet.microsoft.com/en-us/library/cc732713.aspx
«Аутентификация на уровне сети завершает аутентификацию пользователя перед установкой подключения к удаленному рабочему столу, и появляется экран входа в систему. Это более безопасный метод аутентификации, который может помочь защитить удаленный компьютер [сервер удаленного рабочего стола] от злоумышленников и вредоносного программного обеспечения. Преимущества сети Уровень аутентификации:
«Изначально для этого требуется меньше ресурсов удаленного компьютера [сервера удаленного рабочего стола]. Удаленный компьютер использует ограниченное количество ресурсов перед аутентификацией пользователя, а не запускает полное подключение к удаленному рабочему столу, как в предыдущих версиях.
«Это может помочь обеспечить лучшую безопасность за счет снижения риска атак типа« отказ в обслуживании »».