Queremos que un usuario tenga acceso a un servidor en la oficina A, desde la oficina B (a 50 km).
Protocolo de Escritorio Remoto. RDP. ¿Podría ser una buena solución si hacemos lo siguiente (en términos de seguridad)?
No usando VPN. Usándolo directamente a través de internet.
Reenvío de puertos en el router, usando un puerto aleatorio (no algo claramente conocido).
Usando una contraseña fuerte para la cuenta de Windows.
Actualización:
¡Gracias a todos por la abrumadora respuesta! ¡Guau!
Esto es lo que he recibido de ustedes:
¡La respuesta es NO!!! No es buena idea tener RDP directamente en Internet. Esto solicita ransomware y similares. Se debe implementar un Gateway RDP o VPN o ambos.
Como es una configuración de pequeña empresa, simplemente reinstalaré Hamachi VPN en las 3 computadoras que necesitan acceder al servidor mediante RDP. Solo esas PC tendrán acceso al servidor, a través de internet mediante VPN.
No, el método que has descrito no es una buena idea en términos de seguridad. RDP tiene muchos problemas de seguridad y la solución ampliamente aceptada es mantenerlo fuera del internet abierto. Intentaría implementar una VPN. Si el costo es un problema, recomendaría OpenVPN o Wireguard.
Recomiendo mirar el Gateway de Escritorio Remoto con 2FA. Tienes básicamente un servidor en el borde de internet que actúa como intermediario para conexiones de escritorio remoto a una computadora interna que tiene opciones de configuración de seguridad adicionales. Es mucho más seguro y diseñado para lo que estás intentando hacer sin VPN.
En términos de seguridad, ¡es un GRAN NO!!! En el pasado había una falla de seguridad en RDP que saltaba toda autenticación. Se recomienda ejecutar VPN de sitio a sitio.
Antes solía estar bien usar un puerto aleatorio de número alto, pero los probadores voluntarios han empezado a probar todos los puertos (desde hace varios años). VPN o Gateway RDP son las respuestas correctas. MFA por sí solo no es suficiente ya que ha habido vulnerabilidades de pre-autenticación en el pasado.
Conexión RDP directamente a través de Internet sin VPN = MALidea. Cambiar el número de puerto solo retrasará que lo descubran, definitivamente no lo evitará. Muchos escáneres revisan todos los números de puerto ahora. Hay muchas vulnerabilidades en RDP, y una contraseña fuerte no te salvará de eso.
Tener RDP expuesto a Internet, usando cualquier número de puerto, es una de las formas más fáciles de ser hackeado y luego secuestrado con ransomware.
Usa VPN al 100%. Si hay 2 oficinas en la misma compañía, me sorprendería que no haya un túnel IPSec entre ellas. Usa la VPN que soporte tu firewall.
Solo usa VPN.
Si realmente hay una buena razón para no usar VPN, usa un Gateway RDP y configúralo de forma segura… pero esto sigue siendo una opción mucho peor en términos de seguridad que usar VPN.
No, bajo ninguna circunstancia, dejes RDP abierto a Internet.
Nota adicional. Trabajé en un lugar que hacía eso antes de empezar. Mi jefe proclaimed que nadie querría hackearnos. Monitoreé intentos en el puerto 3389 durante una semana. Fueron como 150,000 intentos de acceso.
Configuré gateway RDP más Duo MFA la semana siguiente.
La RDP abierta está pidiendo que alguien te ataque con ransomware.
Si el cliente se queja de que el VPN es “Demasiados pasos para conectar” , usa un Gateway RDP, como dicen todos. No es tan complicado de configurar y es infinitamente mejor que RDP abierto. Pero todavía no es tan bueno como una VPN bien asegurada, pero mucho mejor que RDP abierto.
Mira cuántos técnicos aquí recomiendan no hacerlo… Eso es experiencia que te dice que.
¿Qué firewall tienes? No me sorprendería si tiene OpenVPN y un cliente preconfigurado para descargarlo, que se conectará a su propia área privada, que puedes reenviar al servidor.
Pero si decides hacer el reenvío del puerto, configura bien la regla de reenvío. En lugar de simplemente reenviar 3389 (o uno aleatorio) al servidor interno, eso simplemente reenviará todo el tráfico que llegue a ese puerto al servidor.
Como mínimo, reenvía así: IP pública del usuario > puerto > servidor
Haz MFA también. Especialmente si el usuario tendrá privilegios de administrador en el servidor.
Si puedes convencerlos de usar Meraki, podrías hacer una VPN de sitio a sitio para que los routers puedan gestionar la conexión entre esas oficinas, en lugar de tener múltiples pequeños clientes VPN (que traen problemas). Además, no necesitas tener IPs estáticas, Meraki puede gestionar eso. Pero necesitas una IP pública en cada oficina.
Todos ya han dicho que definitivamente NO, así que solo añadiré que las vulnerabilidades en RDP son una de las principales maneras en que las personas obtienen ransomware.
Asigna una IP estática al usuario en la oficina B, crea una VPN de sitio a sitio y reglas en el firewall que solo permitan RDP 3389 desde la computadora del usuario en la oficina B al servidor en la oficina A.