Разрешить RDP для общедоступного веб-сервера?

Question

Это огромный недостаток безопасности, позволяющий пользователю подключаться к вашему серверу через Remote Desktop? Прямо сейчас у меня есть настройка, где я разрешаю только пару ip-адресов для подключения через RDP-порт, но я думаю об удалении этого и разрешить всем IP-соединениям подключаться, поэтому я могу использовать RDP с моим iPhone, если есть какая-то проблема, м не дома.

До тех пор, пока у меня есть безопасный пароль, вы, ребята, думаете, что это плохая идея? Есть ли что-нибудь еще, что я могу сделать, чтобы сделать его более безопасным, но все же можно подключиться из «где угодно»? Возможно ли, например, настроить страницу, которую я должен посетить, чтобы «разрешить вход в систему в течение 2 часов». Какая-то защита от неясности?

Благодарен за любую помощь, которую я могу получить.

Answer 1

Возможно, вам стоит отправить этот вопрос в serverfault. Но в любом случае.

Если вы используете только пароль пользователя в качестве метода доступа. Тогда злоумышленнику будет очень легко заблокировать пользователя (или всех пользователей, даже не должны иметь права доступа к терминалу). Так что да, это будет огромный недостаток безопасности. Есть много способов защитить это удовольствие и сделать rdp доступным где угодно. Но я не знаком ни с одним из них.

Answer 2

Очень распространено применение двухфакторной аутентификации для любого удаленного доступа к корпоративным серверам. Во многих компаниях вы увидите маркеры RSA, используемые в качестве второго фактора, хотя я предпочитаю использовать SMS. Это не имеет значения, если у вас есть два фактора в игре: что-то вы знаете, что-то у вас есть, что-то, что вы находятся.

Если ваша компания не хочет реализовывать второй фактор, я бы по-прежнему не рекомендовал публично открытый RDP-интерфейс. Он открыт для атак с использованием грубой силы, эксплойтов ОС или просто старого отказа в обслуживании (если я взорву свой публичный интерфейс с трафиком, это замедлит законное использование машины в вашей компании). Как минимум, я бы посмотрел на туннелирование через SSH, возможно, с аутентификацией сертификата на стороне клиента, или я бы выполнил детонацию портов, чтобы в первую очередь получить интерфейс сервера.

Answer 3

Это недостаток безопасности, но не такой огромный. Трафик зашифрован, и чтение пользователя или пароля из него не является непосредственным, как в текстовых протоколах, например, в ftp. Это немного менее безопасно, чем ssh.

Он, очевидно, имеет те же недостатки, что и любой другой удаленный доступ (возможная грубая сила или атака DOS). Вы также должны использовать не имя учетной записи по умолчанию, чтобы избежать упрощения задачи для злоумышленников.

Ваша идея открыть доступ только после посещения некоторых страниц тоже неплохая. Похоже, что это вариант классического механизма port knocking (но будьте осторожны, чтобы не открывать большее отверстие).