Питання безпеки зовнішніх RDP підключень.

В теперішній час бізнес часто використовує RDP підключення до сервера як в межах офісу так і по за його межами. А як щодо безпеки використання RDP з‘єднань? Наскільки безпечним є таким тип з‘єднання і як себе можна захистити?
Ми готові допомогти Вашому бізнесу працювати по RDP підключенню безпечно та стабільно.

Давайте розберемо ризики RDP підключення.

Справа в тому, що для використання RDP, на маршрутиризаторі відкривається порт 3389 (або іншиий) і трафік, який прилітає на цей порт, перенаправляється на локальну IP адресу сервера по порту 3389 (теж може мати інше значення).
У цьому випадку стіною між зловмисником і доступом до сервера є лише логін та пароль користувача на сервері. І як наслідок маємо брутфорс:

Брутфорс – це підбір зловмисником або ботом логіна та пароля. Якщо на сервері встановити логін admin та пароль 1234567890, то комбінація логіна та пароля буде підібрана майже при першій атаці.

Окей, скажете ви, міняємо порт підключення на нестандартний. Наприклад 3389 замінити на 15402. Можна. Допоможе, але до першого сканування сканером портів.

Наприклад програмою Nmap можна просканувати усі відкриті порти до 5 хвилин.
Ось уривок скріну з її роботи:

За лічені секунди ми вияснили які порти у ресурса відкриті. тому заміна стандартного порту RPD на інший – не вихід.

Ну ок, ще один варіант – налаштувати правилами firewall OS доступ тільки з певних IP адресс.

Так, це теж варіант, але тільки тоді, коли працівники користуються публічними IP адресами, в іншому випадку – ніхто не зможе отримати доступ.

На справді, самим робочим варіантом організації безпечного доступу до RDP є свтрорення шифрованого VPN тунелю.

Плюси такого виду зєднання:

  • Клієнти можуть підключатися з будь-якої точки світу, з будь-яких IP адрес.
  • Зєднання шифроване, відповідно навіть перехопивши трафік зрозуміти що саме там було – неможливо.
  • Ще одна стіна перед входом на сервер. 
  • При правильному налаштування можна використовувати ресурси, які є в локальній мережі офісу. 

Мінуси:

  • Потрібен просунутий маршрутиризатор, наприклад Mikrotik
  • Зєднання може бути повільніше ніж пряме підключення по RDP, оскільки воно шифрується.
  • Складніше налаштування у порівнянні з звичайним RDP підключенням.

Отже, що ми отримуємо налаштувавши VPN зєднання для підключення RDP ?:

  1. Ми закриваємо порт 3389 (або інший), який прокидався на сервер. Відповідно, підключитися з інтернету до сервера неможливо, через що відсікаються брутфорс атаки.
  2. Для того щоб підключитися до сервера необхідно утворити зєднння з маршрутиризатором. Це ще один рівень захисту.
  3. Трафік який генерується між клієнтом та сервером навіть перехопивши не можливо розшифрувати. Вміру того що протокол RDP сам по собі передбачає шифрування (RC4, AES або 3DES), так він ще й передається в шифрованому тунелі (IPsec).