这是我的第一个问题,请温柔一点 :)
我有一个客户,他坚持要求他们必须让第三方供应商支持通过 RDP 直接从互联网访问他们的服务器。
我们的政策不允许从数据中心外部直接访问基础设施进行管理,除非通过经批准的 VPN 连接并将虚拟桌面连接到服务器。
我现在必须给出充分的理由来说明为什么在公共互联网上使用 RDP 是危险的。
任何帮助,将不胜感激
提前致谢
斯图尔特
答案1
不要忘记,入侵者入侵该服务器后,也可能利用该服务器作为跳板,攻击防火墙后面的其他客户设施。因此,安全风险并不仅限于第一个客户的资产。
从供应商那里获得一些他们不能使用 VPN 的理由。如果确实没有其他方法可以替代直接连接到服务器的 RDP 连接,那么他们需要对通过该连接的任何安全漏洞负责。请记住,供应商刚刚承认其应用程序架构存在安全漏洞,并表示应用程序存在一些问题,导致无法使用 VPN。
让他们签署协议,赔偿您因 RDP 连接安全漏洞造成的任何损失,以此作为访问的条件。此外,您还应要求他们获得适当的专业赔偿或责任保险,或提供现有保险的证明,其中的条款涵盖这种情况。
简而言之,让供应商证明他们有能力支付任何损失,并以合同义务为条件来获得赔偿。
答案2
大多数不愿意直接从互联网允许 RDP 的人都有一组特定的担忧,即入侵者直接查询您的目录/SAM 进行身份验证。如果没有适当的审计,这种情况通常不会被注意到。一旦他们成功获得单个登录对,他们就可以不受限制地访问您的环境。微软对此的回应是 Windows 2008 中的 TS-Gateway。TS-Gateway 服务创建的隧道点与建立 SSL VPN 隧道并没有什么不同。TS-Gateway 服务在共享同一目录或 SAM 进行身份验证的同时,提供了一组以前不存在的单独授权规则。可以设置用户和计算机级别的规则来控制您在通过 TS-Gateway 身份验证后可以使用哪些资源。因此,1 您不必为所有内部服务器设置外部 DNS 名称映射,2 您可以将特定用户(用户组)限制到特定系统。
我还实施过这样的实现,即 TS-Gateway 访问用户与有权访问内部服务器的用户是不同的帐户。TS-Gateway 帐户的密码过期时间和锁定时间要长得多。这为那些担心直接通过授权的人提供了更多保护。对于具有特定业务策略的群组(即 DMZ 系统是内部域的成员),它也非常有效。
到目前为止,我对 TS-Gateway 最大的问题(和其他人一样)是它不支持初始网关连接的双因素身份验证选项。第二大问题是 TS-Gateway 缺乏客户端支持。
然而,在您的情况下,假设您的外部供应商同意使用符合 6.1 版本的 RDP 客户端,并且您在设置适当的 TS-Gateway 服务器时非常小心,那么该请求几乎不会构成威胁。
答案3
即使 RDP 配置为使用加密,您仍然允许直接访问您的服务器。如果您有防火墙并且只允许您的供应商 IP 连接到 RDP 端口,那么可能没问题,但如果您从任何 IP 将其打开,如果 RDP 上每天出现安全问题,那就很危险了。
我建议使用 VPN 网关,例如具有 WEB SSL VPN 访问权限的 Cisco ASA。然后,Web 门户允许将端口转发到远程服务器,或者更好的是,您可以在门户上运行 RDP 小程序(directx 或 java)。此解决方案更安全,并且无需在供应商计算机上安装任何 vpn 客户端即可工作。它只需要一个支持 SSL 和 Java 或 DirectX 的浏览器
答案4
我听说有一项专门针对 Windows 2008 R2 的新技术,称为“直接访问”,它本质上是内置于操作系统的 SSL VPN,我认为它需要 Windows 2008 R2 和 Windows 7 作为客户端,但它是另一种选择,可能比投资 F5 或 Cisco 等其他解决方案更便宜。