Zabezpečení - VPN vs RDP

Z toho, co mohu vidět, se často říká, že použití VPN pro připojení k firemní síti je bezpečnější než používání RDP.

Proč je to tak? Ze své rychlé úvahy mi to připadá opačně:

VPN: Pokud útočník získá přihlašovací údaje, může použít svůj vlastní počítač v síti, žádné omezení se na jeho zařízení nevztahuje a je volný k tomu, aby se tam prohrabával a zkoumal, co najde nebo co může prolomit.

RDP: Pokud útočník získá přihlašovací údaje, je přihlášen na jednom serveru, pravděpodobně omezený politikou a bude mít omezená práva, co může na tom počítači dělat.

Prosím, rozkupte můj argument, předložte protiargumenty apod.

Díky

Ideálně by vaše VPN měla umožnit uživatelům přístup pouze k tomu, co skutečně potřebují, nikoliv ke celé síti.

VPN a RDP nejsou totéž, takže je nemůžete přímo srovnávat.

Jo.. měl byste aktualizovat svůj příspěvek, když zahrnete RDP přes RD Gateway. Jasně, služba Gateway bude šifrovat na HTTPS. A.. jasně, vystavování RDP není dobrý nápad.

Jinak souhlasím. Je to flexibilnější a bezpečnější. Na druhé straně.. věznění na spojovacím zprostředkovateli v RDS nebo AAA pro VPN relace.. se zdá být obdobné: mohou být nastaveny tak, aby to bylo správné.

Pokud si vezmete čas na správné zabezpečení RDP, tj. nastavení na používání certifikátů pro ověřování serveru, nastavení TLS, blokování Windows před používáním zastaralých šifrovacích protokolů, správné nastavení zamykání při neúspěšném přihlášení a případně instalace systémů prevence narušení na hranicích sítě, aby blokovaly útoky hrubou silou.

Ale pokud vše správně zabezpečíte, může být RDP relativně bezpečné.

Není to však tak, že by bylo hned od začátku úplně zabezpečené. Stačí jen nainstalovat Windows a otevřít port 3389 ve firewallu a čekat na problémy.

Správné nastavení VPN je také složité. Udělat vše správně pro VPN není otázka jednoho kliknutí.

Pokud máte obavy z úniku přihlašovacích údajů, nastavte dvoufázové ověřování. Oba VPN i RDP gateway to podporují. Osobně používám RDP přes gateway server, protože je to pro uživatele jednodušší než mít VPN klienta nebo je provádět krok za krokem při nastavování SSL VPN. Duo Security nabízí slušný systém dvoufázového ověření.

VPN: Pokud útočník získá přihlašovací údaje, může připojit svůj počítač k vašemu VPN koncovému bodu. Toto by mělo mít uživatelsky odpovídající ACL nebo pravidla firewallu, což znamená, že ukradené přihlašovací údaje mají přístup jen k relevantním věcem pro daného uživatele, nikoliv ke všem. V práci používám firewall řady Barracuda F s vestavěným VPN koncovým bodem, takže jakmile se někdo autentizuje na VPN, firewall ví, komu patří VPN IP a může začít blokovat podle jejich uživatelského jména a skupin AD, než podle IP adresy. Jistě, tato funkce je dostupná i v jiných produktech a měla by být využívána, pokud je to možné.

RDP: Pokud útočník získá přihlašovací údaje, může se připojit k důvěryhodnému počítači uvnitř sítě. Tradiční firewally nemusí být schopny rozpoznat uživatelský kontext (zejména v prostředí terminálových serverů s více uživateli na stejném počítači) a pracují pouze na základě IP adres, a protože tento RDP server může být používán více lidmi z různých skupin ve firmě, musela by být jeho IP povolena ve whitelistu na všech věcech, ke kterým se uživatel připojuje. To by pravděpodobně snížilo jejich přístup k síti víc než scénář s VPN. Na druhou stranu, pravděpodobně nemají práva správce, takže jejich schopnost instalovat exploit nástroje je omezenější, ale můžete udělat základní průzkum sítě pomocí pingů a najít webové aplikace, sdílené soubory apod., které mohou být zranitelné zneužitím RDP přihlašovacích údajů. Opět, série Barracuda má zde výhodu, když lze na terminálovém serveru nainstalovat agenta, který přiřadí každému uživateli rozsah zdrojových portů, takže firewall pozná, kdo je uživatel podle zdrojového portu spojení. To jsem však osobně nevyzkoušel.

Nechtěl bych pracovat pro korporaci, kde je možné se k jejich síti připojit RDP bez VPN.

Myslím, že je to podobné jako domácí úkol na vejšce, do kterého nás někdo nutí.

VPN je zašifrovaný tunel, RDP nikoliv.

Ptal jsem se spíš na riziko při prolomení účtu. Může někdo s přístupem ke zdrojům přes VPN udělat víc škody než zablokovaný RDS server?

Dobré body, ale ptal jsem se spíš na to, jestli za předpokladu že všechno ostatní je stejné:

Klient VPN má přístup k serverům X, Y a Z

RDP server má také přístup ke stejným serverům X, Y a Z

Nemyslíte si, že klient VPN má větší možnost způsoby způsobiť škody? Tj. používat Kali?

Každý musí někde začít a nemůžeme být experti na všechno. Přidání toho k vysoké pracovní zátěži, je lepší si navzájem pomáhat než být vůči sobě negativní.

Gateway není nutné pro zabezpečení RDP přes TLS. Stačí vhodná konfigurace na serveru.

Ale musíte přijmout kompromis v kompatibilitě s mnoha staršími verzemi klientů, které mohou být na různých zařízeních jako smartphony nebo tablety.

Ano, lze to udělat. A dá se použít i reverzní proxy, i když to nebylo zmíněno nebo naznačeno, a ani to nepředpokládám. Můj bod byl, že samotný RDP protokol je nespolehlivý, jednoduchý a nezabezpečený.

Existuje příliš mnoho dalších faktorů, které je třeba vzít v úvahu, například verze TLS, certifikační autorita, digest algoritmus. Pokud jsou všechny věci rovny, nebo jsou určité limity, které činí jeden přirozenějším bezpečným než druhý?

Pokud útočník úspěšně prolomí nebo naruší kterýkoliv z nich, záleží na tom? Kůň je venku z chléva a oběma způsoby může útočník způsobit škody.

Neříkal jsem, že RDP nepoužívá šifrování.

Ale opět mluvíme o nejlepším případě TLS 1.0, což je v porovnání s VPN PPTP nejistější.

TLS 1.2 je dostupný pro RDP na Serveru 2008 R2 a novějším

Lze tvrdit, že RDP je ještě méně bezpečné; je úplně otevřené.