Разрешить RDP для публичного веб-сервера?

Question

Это огромный недостаток безопасности, позволяющий пользователю подключаться к вашему серверу через удаленный рабочий стол? Прямо сейчас у меня есть настройка, в которой я разрешаю подключаться только нескольким ip-адресам через порт RDP, но я думаю об этом удалить и разрешить подключать все IP-адреса, чтобы я мог RDP с моим iPhone, если возникнет какая-то проблема, когда я ' м нет дома.

Так что, пока у меня есть надежный пароль, вы, ребята, думаете, что это плохая идея? Могу ли я сделать что-нибудь еще, чтобы сделать его немного более безопасным, но при этом иметь возможность подключаться откуда угодно? Например, можно ли настроить страницу, которую я должен посетить, чтобы «разрешить кому-либо войти в систему в течение 2 часов». Какая-то надежная защита от неясности?

Благодарю за любую помощь, которую я могу получить.

Answer 1

Очень распространено использование двухфакторной аутентификации для любого удаленного доступа к корпоративным серверам. Во многих компаниях вы увидите, что токены RSA используются в качестве второго фактора, хотя я предпочитаю использовать SMS - это не имеет значения, если в игре есть два фактора: что-то, что вы знаете, что-то, что вы имеете, что-то, что вы есть.

Если ваша компания не хочет реализовывать второй фактор, я все равно не рекомендую публично представленный интерфейс RDP. Он открыт для атак грубой силы, эксплойтов ОС или просто старого отказа в обслуживании (если я добавлю к вашему общедоступному интерфейсу трафик, это замедлит законное использование компьютеров в вашей компании). Как минимум, я бы посмотрел на туннелирование по SSH, может быть, с помощью аутентификации сертификата на стороне клиента, или я бы реализовал стук портов, чтобы в первую очередь получить доступ к интерфейсу сервера.

Answer 2

Это недостаток безопасности, но не такой большой. Трафик зашифрован и чтение пользователя или пароля не является немедленным, как в текстовых протоколах, как, скажем, в ftp. Это немного менее безопасно, чем ssh.

Очевидно, что он имеет те же недостатки, что и любой другой удаленный доступ (возможна грубая атака или атака DOS). Вам также следует использовать имя учетной записи не по умолчанию, чтобы избежать упрощения задачи для злоумышленников.

Ваша идея открыть доступ только после посещения какой-либо страницы также неплоха. Похоже, это вариант классического механизма порта стучит (но будьте осторожны, не открывайте большую дыру).

Answer 3

Возможно, вам следует опубликовать этот вопрос на сервере. Но все равно.

Если вы используете только имя пользователя / пароль в качестве метода доступа. Тогда злоумышленнику будет очень легко заблокировать вашего пользователя (или всех пользователей, даже не имеющих прав доступа к терминалу). Так что да, это будет огромный недостаток безопасности. Есть много способов защиты от этого удовольствия и сделать rdp доступным откуда угодно. Но я не знаком ни с одним из них.