Estamos realizando una evaluación cibernética para un prospecto y acabamos de descubrir que ingresan a sus computadoras de oficina mediante RDP a través de su IP pública + :número de puerto aleatorio. Cada computadora tiene un puerto diferente y una regla de NAT indica a la computadora remota cómo acceder a la PC de oficina adecuada. Tienen un Sonicwall, así que no entiendo por qué no están usando VPN y dejando todo abierto así.
Claramente, esta es una forma completamente insegura de acceder remotamente a las computadoras de la oficina, sin embargo, la defensa del proveedor actual es que tienen Duo instalado para que cualquier intento de inicio de sesión en RDP requiera aprobación de Duo MFA. Tener Duo, por supuesto, es mejor que nada, pero todavía me preocupa. Si nos contratan para servicios continuos, por supuesto, cambiaríamos esto y los obligaríamos a iniciar sesión a través de VPN u otros métodos seguros de acceso remoto, pero por ahora necesito explicar claramente por qué Duo con RDP de cara al público no es lo suficientemente seguro. ¿O lo sería (en un sentido hipotético)?
Entre fatiga MFA, vulnerabilidades en RDP, cuentas de servicio que algún administrador crea con una contraseña estúpida, y aseguradoras que se niegan a asegurar redes con RDP abierto, es simplemente una mala idea.
En cualquier RDP con cara al público (independientemente de si ocultan los números de puerto o no) tendrás cientos de intentos de inicio de sesión maliciosos por minuto. Constantemente. (Créame, he visto los registros. En varias configuraciones así.)
Suponiendo que tengan contraseñas adecuadas, el problema no es realmente la fuerza bruta, el problema es que tarde o temprano tendremos otra vulnerabilidad en RDP que permita a los actores maliciosos entrar sin tener que descifrar la contraseña.
Si Duo ayudara en tal caso, no puedo decirlo con certeza porque no conozco Duo y no sé exactamente cómo se integra en el proceso. Pero si solo agrega MFA al inicio de sesión normal de Windows, creo que el riesgo es bastante alto en caso de una vulnerabilidad como la descrita (que es la principal razón por la cual tener RDP de cara al público es una mala idea) no sería de mucha ayuda.
Aún así no tendrán una gestión clara de sesión incluso con MFA delante de las sesiones de RDP.
Para ayudar a tu cliente a trazar un modelo de amenazas que muestre las rutas probables de explotación y cómo la falta de profundidad los expone exponencialmente a vulnerabilidades.
También, echa un vistazo a Apache Guacamole. Es una gran herramienta para facilitar la gestión de sesiones.
He tenido CISSP por 20 años, he trabajado en seguridad informática para grandes empresas, como consultor externo y como testigo experto en seguridad informática durante más de 25 años. Personalmente he realizado cientos de evaluaciones de riesgos detalladas en mi carrera.
Aunque también preferiría una solución VPN o RD Gateway, la verdad es que mientras tengan sus sistemas parcheados y tengan un plan para desactivar las reglas del firewall si se descubre un exploit de 0 día en proceso, usar RDP como describes es igual de seguro que VPN o RD Gateway.
Ahora, mi suposición es que no monitorean amenazas de seguridad, pero probablemente tampoco monitorean amenazas para su firewall o RD Gateway si lo han añadido. Entonces, nuevamente, el riesgo de seguridad es exactamente el mismo para las tres soluciones.
Atacar la solución que tienen no es válido con base en que RDP es un mayor riesgo de seguridad. Se pueden hacer argumentos sobre la facilidad de gestión, pero estos podrían ser compensados por la facilidad de uso, la carga administrativa y las preocupaciones sobre el acceso remoto. Sin más detalles sobre por qué seleccionaron esta solución y una mayor comprensión del uso de esta, es imposible hacer una recomendación concreta de una ‘solución mejor’ para ellos.
Ahora, por la bandera roja impopular que veo aquí, el hecho de que tú y/o tu empresa están haciendo ‘evaluaciones cibernéticas’ y no pudieron llegar a esta conclusión por su cuenta es una preocupación seria. ¿Realmente tienen la experiencia en ciberseguridad para realizar este tipo de evaluaciones?
Hubo algunos CVEs en los últimos años que usaron RDP para básicamente evadir la autenticación por completo. Me pregunto si Duo habría prevenido eso. En cualquier caso, MS nunca pensó que RDP debería estar expuesto a Internet. Tienen una solución para esto llamada RD Gateway.
CISA y muchos expertos en seguridad te dirán NUNCA exponer RDP en Internet bajo ninguna circunstancia. Esto se debe a que, aunque tener DUO / cualquier MFA es mejor que no, a menudo se encuentran nuevas vulnerabilidades en RDP que pueden exponer RDP vulnerable.
Ejemplos son las vulnerabilidades Bluekeep y DejaBlue en RDP que permiten ejecución remota de código en sistemas RDP sin parchear.
En cualquier caso, si has expuesto RDP en cualquier puerto, puedes usar el inspector RDP gratuito de TruGrid para verificar las debilidades existentes: https://rdpinspector.com.
Mira TruGrid SecureRDP para usar RDP sin exposición de firewall.
MFA no protege contra vulnerabilidades de protocolo o aplicación.
Exponer un puerto crea vectores de ataque adicionales.
Exponer RDP (con o sin MFA) no elimina mágicamente vulnerabilidades o errores en el servicio de escucha subyacente (RDP).
MFA tiene sus propias debilidades.
Exponer un puerto para cada estación de trabajo detrás de un firewall asegura que una sola falla será catastrófica para la integridad de la red interna.
Se avecina una brecha. Otros ya han dado muchas razones buenas para tirar a la basura esta configuración!!
Ahora solo tienes que convencer a tu cliente de usar tu experiencia y ayudarlo a tener una mejor postura de seguridad!!
Por mi parte, recomendaría que tu cliente utilice una buena VPN. Me gusta mucho Sophos, pero si tienes un presupuesto muy pequeño, podrías usar un Mikrotik.