Разрешить RDP для общедоступного веб-сервера?

Является ли серьезным недостатком безопасности разрешение пользователю подключаться к вашему серверу через удаленный рабочий стол? Прямо сейчас у меня есть настройка, в которой я разрешаю только нескольким IP-адресам подключаться через порт RDP, но я думаю об удалении этого и разрешении подключения всех IP-адресов, чтобы я мог RDP с моим iPhone, если возникнут какие-то проблемы, когда я м не дома.

Итак, пока у меня есть надежный пароль, вы, ребята, думаете, что это плохая идея? Есть ли что-нибудь еще, что я могу сделать, чтобы сделать его немного более безопасным, но при этом иметь возможность подключаться «откуда»? Например, можно ли настроить страницу, которую я должен посетить, которая «разрешит любому войти в систему в течение 2 часов». Какая-то защита от неизвестности чтоли?

Благодарен за любую помощь, которую я могу получить.


security rdp remote-desktop
person Olaj    schedule 11.10.2009    source источник

Ответы (3)


arrow_upward
0
arrow_downward

Возможно, вам следует опубликовать этот вопрос на serverfault. Но в любом случае.

Если вы используете только пользователя/пароль в качестве метода доступа. Тогда злоумышленнику будет очень легко заблокировать вашего пользователя (или всех пользователей, которым даже не нужно иметь права доступа к терминалу). Так что да, это будет огромный недостаток безопасности. Есть много способов защититься от этого удовольствия и сделать rdp доступным из любого места. Но я не знаком ни с одним из них.

person Igal Serban    schedule 11.10.2009

arrow_upward
0
arrow_downward

Очень часто для любого удаленного доступа к корпоративным серверам реализуется двухфакторная аутентификация. Во многих компаниях вы увидите, что токены RSA используются в качестве второго фактора, хотя я предпочитаю использовать SMS --- это не имеет значения, пока у вас есть два фактора: что-то, что вы знаете, что-то, что у вас есть, что-то, что вы находятся.

Если ваша компания не хочет внедрять второй фактор, я бы все же не рекомендовал общедоступный интерфейс RDP. Он открыт для атак с использованием грубой силы, эксплойтов ОС или просто старого простого отказа в обслуживании (если я взорву ваш общедоступный интерфейс трафиком, это замедлит законное использование машины в вашей компании). Как минимум, я бы рассмотрел туннелирование через SSH, возможно, с аутентификацией сертификата на стороне клиента, или я бы реализовал стук портов, чтобы получить доступ к интерфейсу сервера в первую очередь.

person Simon at LabSlice-com    schedule 10.08.2010

arrow_upward
0
arrow_downward

Это недостаток безопасности, но не такой уж большой. Трафик зашифрован, и чтение пользователя или пароля из него не происходит мгновенно, как в текстовых протоколах, например, в ftp. Это немного менее безопасно, чем ssh.

У него, очевидно, те же недостатки, что и у любого другого удаленного доступа (возможный перебор или DOS-атака). Вы также должны использовать имя учетной записи не по умолчанию, чтобы не упрощать задачу для злоумышленников.

Ваша идея открывать доступ только после посещения какой-то страницы тоже неплохая. Похоже, это вариант классического механизма отключения порта (но будьте осторожны, чтобы не открыть большую дыру) .

person kriss    schedule 10.08.2010