Acceso remoto directo a través de Internet (sin VPN): ¿Puede ser una buena idea, en términos de seguridad?

VPN
1

Hola,

Queremos que un usuario tenga acceso a un servidor en la oficina A, desde la oficina B (a 50 km de distancia).

Protocolo de Escritorio Remoto. RDP. ¿Puede ser una buena solución considerando lo siguiente (en términos de seguridad)?

  • No usar VPN. Utilizarlo directamente a través de internet.
  • Reenvío de puertos en el enrutador, usando un puerto aleatorio (que no sea algo claramente conocido)
  • Usar una contraseña fuerte para la cuenta de Windows.

Actualización:

¡Gracias a todos por la abrumadora respuesta! ¡Guau!

Esto es lo que he obtenido de ustedes:

La respuesta es ¡NO! No es buena idea tener RDP directamente en la red. Está solicitando ransomware y cosas por el estilo. Se debería implementar un Gateway RDP o VPN o ambos.

Dado que es una configuración pequeña de negocio, simplemente reinstalaré Hamachi VPN en las 3 computadoras que necesitan acceder al servidor vía RDP. Solo esas PC podrán acceder al servidor, a través de internet mediante VPN.

¡Muchas gracias de nuevo! ¡Lo aprecio!

2

No, el método que has descrito no es una buena idea en términos de seguridad. RDP tiene muchos problemas de seguridad y la solución ampliamente aceptada es mantenerlo fuera de internet. Intentaría implementar una VPN. Si el costo es un problema, recomendaría OpenVPN o WireGuard.

3

Recomiendo consultar sobre Gateway de Escritorio Remoto con 2FA. Básicamente tienes un servidor en el borde de internet que gestiona las conexiones de escritorio remoto a una computadora interna con opciones de configuración de seguridad adicionales. Es mucho más seguro y diseñado para lo que estás intentando hacer sin VPN.

4

Recomendaría encarecidamente una VPN, ¿hay alguna razón para no usar VPN?

5

Desde el punto de vista de seguridad, ¡es un gran NO! En el pasado, existía una vulnerabilidad de seguridad en RDP que permitía evadir toda la autenticación. Se recomienda usar VPN de sitio a sitio.

6

Antes era suficiente usar un puerto aleatorio de alto número, pero los probadores de penetración voluntarios empezaron a probar todos los puertos (hace varios años). VPN o Gateway RDP son las respuestas correctas. El MFA por sí solo no es suficiente, ya que ha habido vulnerabilidades en la pre-autenticación en el pasado.