我是一个pipe理人员很less的开发人员,可以远程pipe理一个专用的Web服务器。
最近对我们网站进行的独立安全审计build议:“RDP不会暴露在互联网中,并且认为远程访问等强大的pipe理解决scheme(如VPN)在使用时,应configurationRDP以进行服务器身份validation,以确保客户端不能遭受中间人攻击“。
经过阅读了一下,似乎networking级别身份validation是一件好事,所以我已经在服务器上启用了“ 仅允许来自具有NLA的远程桌面的连接 ”选项。
这种行为是否足以减轻“中间人”袭击的风险? 还是有其他必要的步骤,我应该采取? 如果VPN是必不可less的,我该如何去做呢?
你真的不应该有RDP开放的世界,即使NLA上。 NLA确实减less了MITM攻击,但是如果您使用默认的自签名证书来进行RDP访问,那么您并不太安全。
您不想让RDP开放的主要原因之一是阻止自动密码破解尝试。 如果从面向Internet的接口中删除RDP,则可以彻底减轻随机的自动暴力攻击。 把VPN这样的东西放在远程访问的地方是强烈推荐和有用的。
有很多方法可以实现VPN。 例如,Windows有一个内置的IPSEC VPN。 如果您想要使用SSL VPN路由,OpenVPN接入服务器对于最多两个并发用户也是免费的。
如果您需要关于如何设置VPN的非常具体的说明,那么您需要研究选项,select技术,阅读文档,然后打开一个新的问题,并解决您所执行的任何问题。 只是问“如何实现一个VPN”对于Server Fault来说太广泛了。
就像用户可以通过浏览器中的SSL警告点击右键一样,避免中间人攻击仍然是用户的责任。
所有这些改变已经完成了,以防止连接不支持NLA的旧客户端(以及提供的服务器身份validation)。
对于RDP版本6的客户端来说,他们不会像昨天那样容易受到攻击 – 用户点击服务器身份对话框是中间人攻击需要发生的事情成功的。
不,NLA旨在最大限度地减less远程桌面服务器的攻击面。 当您使用有效的证书configuration远程桌面服务器连接时,会发生中间人保护。 但是,如果用户不理解服务器或证书不可信或有效时出现的警告,则可能仍会连接到恶意的远程桌面服务器,并且该漏洞与您的远程桌面服务器无关。
从:
为远程桌面服务连接configurationnetworking级身份validation
http://technet.microsoft.com/en-us/library/cc732713.aspx
“networking级身份validation”在您build立远程桌面连接并显示login屏幕之前完成用户身份validation,这是一种更安全的身份validation方法,可帮助保护远程计算机(远程桌面服务器)免受恶意用户和恶意软件的攻击。等级authentication是:
“最初需要的远程计算机(远程桌面服务器)资源较less,远程计算机在对用户进行身份validation之前使用的资源有限,而不像以前的版本那样启动完整的远程桌面连接。
通过降低拒绝服务攻击的风险,它可以帮助提供更好的安全性。“