Je špatná praxe používat vzdálenou plochu přes VPN?

Ahoj kluci,

omlouvám se, jestli je to tak trochu otázka pro začátečníky, ale všichni musíme někde začít.

Mám nový Windows server, ke kterému se musí dostat můj kámoš z jiného města. Mám PiVPN (Wireguard) a doufal jsem, že mu to jen nechám a použijeme vzdálenou plochu na Windows, abychom se dostali na stroj. Je to považováno za špatnou praxi nebo to otvírá nějaké zranitelnosti, o kterých nevím? Všechno mi přijde v pořádku, ale tento typ nastavení jsem předtím nikdy nevyužil, tak jsem chtěl získat nějaký názor zvenčí, než začnu s velkou vášní.

Protože vyžadujete, aby používal VPN k přístupu ke vzdálené ploše, místo například port forwarding, neotevíráte se přímo zvenčí.

Jediné bezpečnostní riziko je, že někoho pustíte do své sítě. Tato bezpečnostní díra je pouze tak velká jako důvěra mezi vámi dvěma. Může se pohybovat od “nic špatného se nestane” až po “FBI vtrhne vašimi dveřmi, protože člověk stáhl dětskou pornografii pomocí vaší vzdálené plochy”

Nejen, že to není špatná praxe, je to standardní praxe.

Nevidím žádný problém kromě toho, co řekl jiný komentář.

Ne, je to v pořádku, když to necháte soukromé. Jen doufám, že mu důvěřujete. Pokud se může RDP připojit k tomu serveru, může se přesunout i do vaší LAN? Je ten server izolovaný nebo vám je to jedno?

Přístup RDP přes VPN je velmi běžný. Zejména pokud povolíte připojení jen určitým IP. Pokud dokážete vynutit dvoufaktorovou autentizaci před připojením k VPN, je to ještě lepší.

Zní to jako dobrý způsob na RDP. Doporučuji 2FA, pokud už nemáte.

Mít VPN na to, je to tisíckrát lepší, než jednoduše otevřít port 3389 na vašem/routeru.

Pokud to nelze udělat pomocí VPN, můžete spustit RDP na jiném portu, jedinou změnou je pravidlo portforwarding a připojení s :číslo portu za ním.

Co děláte, abyste udrželi VPN tunel v bezpečí? Co zabrání náhodné osobě v pokusu o autentifikaci?

Záleží zcela na tom, co mu umožníte po připojení přes RDP. Jiní již pokryli tyto možnosti. Aspoň mu nastavte uživatelské jméno s vlastním jménem a pak může být přístup zaznamenán nebo vypnut, pokud je to potřeba.

Není to špatná praxe; je to naopak standardní/nejlepší praxe v jakémkoli produkčním prostředí, které si cení bezpečnosti sítě. Například jsem právě implementoval RDP/RDC přes VPN podle doporučení bezpečnostního auditu. Přístup VPN se automaticky vypne, pokud uživatel neaktivuje po 30 dnech. Funguje to perfektně.

Tak jo, taky si myslím, díky za zpětnou vazbu.

Souhlasím s tím. Moderní VPN podporují pravidla firewallu přímo v rámci VPN, takže můžete omezit přístup na konkrétní hostitele, pokud chcete. A ještě to můžete posunout dál a dát tento hostitel do DMZ.

Rozumím. Všechno ostatní v síti je docela uzamčené a věřím mu, protože už roky spolupracujeme na těchto projektech. Díky za zpětnou vazbu.

Myslíš víc než klíče? A whitelisty?

Zní to dobře, jen se ujistěte, že můžete rychle ukončit přístup, pokud je to nutné. Nejen pro škodlivé akce, pokud se vaše vztahy zhorší, ale jeho zařízení teď může ovlivnit vaše. Nechcete ransomware, protože někdo kliknul na špatný odkaz! Bez administrátorských práv na tom serveru, pokud to zvládnete.

Nejsem si jistý, jaké má PiVPN výchozí podmínky přístupu. Nikdy jsem ho nepoužíval. Používá OP pouze uživatelské jméno a heslo, nebo whitelistuje IP adresy, nebo požaduje klíč, apod.? Nevím, co dělá, proto se ptám.

Žádný problém. Pokud je to standardní Wireguard, jsou zde párové klíče (privátní a veřejný) na obou stranách. Minimálně, takto to funguje s Wireguard v pfsense. Je to mnohem víc než jen uživatelské jméno a heslo.