RDG
      Volver al inicio
      1. Centro de ayuda
      2. Buenas prácticas
      3. RDG

      ¿Qué es la exposición del servicio RDP desde Internet y cómo puede resolverse?

      Protección del servicio RDP

      RDP (Remote Desktop Protocol) es un protocolo propietario de Microsoft que permite la conexión remota a otro ordenador, generalmente a través del puerto TCP 3389, con fines de administración.
       
      Representando un punto de entrada vital para una empresa, es muy a menudo utilizado por los atacantes para acceder a su sistema informatico y realizar movimientos laterales.

      Por ejemplo, con que un servicio RDP expuesto se vea afectado por una vulnerabilidad pública (como Bluekeep) o que los identificadores no sean suficientemente robustos, se puede crear una puerta de entrada que pueda ser explotada por un atacante.
       
      En consecuencia, este servicio sólo debería estar expuesto desde la red interna del sistema informatica, y nunca ser accesible desde Internet.

      Soluciones


      La mayoría de los servicios RDP observados se utilizan por dos motivos:

      • Administración remota ;
      • Acceso a documentos.

      Para la administración remota, se pueden considerar las siguientes opciones (por orden decreciente de preferencia):

      • Configuración de una pasarela RDP, denominada RDG (Remote Desktop Gateway);
      • Desplegar una VPN (Red Privada Virtual);
      • Endurecimiento del servicio RDP.

      Si surge la segunda razón, es decir, para fines de acceso a documentos internos, se debe preferir la adopción de Microsoft O365 y su espacio de almacenamiento SharePoint.

      Configuración de una pasarela RDP

      Descripción
      RDG está diseñada para proporcionar una conexión segura a servidores Windows en una red interna. Actúa como intermediario entre un cliente y un servidor para proteger la exposición de cualquier servicio RDP: sólo la pasarela está expuesta a los clientes. Utiliza un túnel HTTP SSL/TLS y, por lo tanto, sólo expone el puerto 443.
       
      Configuración
      Instalación de la pasarela :
      Para comenzar la instalación de la pasarela, es necesario conectarse al servidor Windows en el que se instalará. Una vez conectado, puede abrir la aplicación de gestión del servidor llamada «Server Manager».

      Pulse la tecla Next:

      Esta pestaña se utiliza para seleccionar los roles que se añadirán al servidor. Debe seleccionar «Remote Desktop Services» antes de hacer clic en «Next» para continuar:

      Desde esta pestaña se pueden implementar determinadas funciones en el servidor, y es posible dejar las funciones seleccionadas por defecto y apoyer "Next" para ir más allá:

      Este es el conjunto de características que deben implementarse para configurar la pasarela. Puedes hacer clic en el botón «Add Features» para ir más allá:

       

      Se han añadido automáticamente varias pestañas relacionadas con las funciones que ha seleccionado anteriormente. Haga clic en «Next» para acceder a ellas: 

       

      Esta nueva pestaña contiene información sobre la política de red y la funcionalidad del servicio de acceso. Haga clic en «Next» para acceder a la siguiente sección:

      Aparece una lista que representa todos los servicios vinculados al servidor Web (IIS), y es necesario mantener esta configuración por defecto antes de seguir adelante:

       

      Se devuelve al usuario una ventana que resume todos los servicios y herramientas que se instalarán; pulse el botón «Install» para confirmar la instalación (es posible autorizar el reinicio automático del servidor marcando la casilla «Restart the destination server automatically»):

      La instalación ha finalizado: 

      Configuración de la pasarela :


      Una vez finalizada la instalación, es necesario configurar la pasarela lanzando su herramienta de gestión desde la aplicación «Server Manager» y la pestaña «Tools», tal y como se muestra en la siguiente figura:

      Una vez iniciada la herramienta, el usuario vuelve a la ventana que aparece a continuación, tras seleccionar el nombre del servidor en la interfaz de la izquierda. Es necesario configurar la pasarela  recién instalada. Puede empezar por importar un certificado haciendo clic en la función «View or modify certificate properties»:

      No hay ningún certificado instalado en la pasarela, por lo que hay dos opciones:

      1. crear un certificado autofirmado o;
      2. importar un certificado para el servidor emitido por una autoridad de certificación reconocida.
      La mejor opción es la segunda. Para ello, basta con seleccionar la opción «Import a certificate into the RDG Gateway <nameServer> Certificates (Local Computer)/Personal store" y, a continuación, importarlo mediante el botón «Browse and Import Certificate»: 

      Si desea crear y utilizar un certificado autofirmado, seleccione la opción «Create a self-signed certificate» y pulse el botón «Create and Import Certificate». Aparecerá la siguiente ventana:

      El nombre completo del servidor debe introducirse en el primer campo «Certificate name»; a continuación, el certificado debe recuperarse del servidor e importarse a todas las futuras máquinas que utilicen esta pasarela. Una vez completado este paso, aparecerá la ventana que se muestra a continuación. La información sobre el certificado importado se actualiza, indicando que la importación se ha realizado correctamente. Haz clic en «Ok» para completar la configuración de la pasarela:

      Es necesario añadir reglas de acceso para que esta pasarela pueda utilizarse correctamente. Para ello, haga clic en el menú desplegable del servidor en la interfaz izquierda de la aplicación «RD Gateway Manager», luego en «Policies» y, por último, en «Create New Authorization Policies», como se muestra en la figura siguiente:

      Siguiente ventana. Es necesario crear dos reglas de acceso: una para el acceso a la pasarela (llamada RD CAP) y otra para el acceso a los recursos internos desde la pasarela (llamada RD RAP). Para ello, seleccione «Create a RDP CAP y un RD RAP (recomended)» y haga clic en «Next»:

      Debe elegir un nombre adecuado para la regla CAP antes de hacer clic en el botón «Next»:

      El método de autenticación utilizado es la contraseña (seleccione la casilla «Password») y sólo es necesario seleccionar en la casilla «Pertenencia a grupo de usuarios (obligatorio)», mediante el botón «Add Group», el grupo o grupos que contengan usuarios legítimos para utilizar la pasarela. Lo ideal sería crear un grupo de usuarios específico para este acceso dentro del Directorio Activo para asegurarse de que son legítimos. Lo ideal sería crear un grupo de usuarios dentro del dominio Active Directory específicamente para este acceso, para asegurarse de que son legítimos. A continuación, puede continuar utilizando el botón «Next»: 

      Este paso sirve para definir las propiedades de redirección de la regla CAP. Dependiendo de las necesidades de la empresa (y de la facilidad de uso), algunas redirecciones pueden ser importantes y necesarias, como por ejemplo «Clipboard»:

      • Si algunas redirecciones no son necesarias, se recomienda seleccionar la opción «Disable device redirection for the following client device types» y, a continuación, seleccionarlas para reforzar la configuración de la pasarela;
      • Si todas las redirecciones son necesarias, seleccione la opción «Enable device redirection for all client devices» y, a continuación, haga clic en «Next».

      Esta ventana permite configurar la desconexión y caducidad de las sesiones de usuario. Le recomendamos que active estas opciones para reforzar la configuración de la pasarela, antes de seguir adelante con el botón «Next»:

      Al igual que en el caso de la regla CAP, debe elegir un nombre adecuado para la regla RAP antes de continuar haciendo clic en el botón «Next»:

      Del mismo modo que en la regla CAP, en la casilla «User group membership (required)» debe seleccionarse, mediante el botón «Add Group», únicamente el grupo o grupos que contengan usuarios legítimos para utilizar la pasarela para acceder a los recursos internos. Lo ideal sería crear un grupo de usuarios específico para este acceso dentro del Directorio Activo para asegurarse de que son legítimos. A continuación, puede continuar utilizando el botón «Next»:

      Esta ventana se utiliza para especificar todos los recursos internos a los que se accede desde la pasarela. Le recomendamos que cree un grupo de dominio que contenga todos los servidores legítimos a los que se puede acceder desde esta pasarela y que lo especifique utilizando la opción «Select and Active Directory Domain Services network resource group». Una vez hecho esto, deberá completar esta regla haciendo clic en el botón «Next»:

      Se deben introducir los puertos de acceso utilizados, es decir, el puerto por defecto 3389 para el servicio RDP o uno (o más) otro(s) puerto(s) si es necesario: 

      Del mismo modo que para la regla CAP, se muestra un resumen de la configuración de la regla RAP: Confirme apoyando en "Next"

      Se devuelve una ventana indicando que se han confirmado las normas CAP y RAP:

      Iniciar el servicio de la pasarela :


      Por último, el servicio vinculado a la pasarela está potencialmente detenido, es posible comprobar su estado y activarlo si aún no es el caso, como se muestra en la figura siguiente. En la pestaña "Remote Desktop Services" de la aplicación "Server Manager", en la pestaña «Servers» y en la sección «Services», el servicio de pasarela se identifica por su nombre «Remote Desktop Gateway». Este servicio puede iniciarse en caso necesario pulsando sobre él con el botón derecho del ratón y, a continuación, sobre «Start Services» :

      Filtrado de flujo :
      Cuando los servidores internos sólo deben ser accesibles desde la pasarela, es necesario configurar su cortafuegos interno.
      Para ello, basta con acceder a la configuración del cortafuegos de Windows y enumerar los  reglas de entrada (Inbound Rules), como se muestra en la figura siguiente. Entre ellos se encuentra la regla denominada «Remote Desktop - User Mode (TCP-In)», correspondiente a los flujos RDP entrantes desde el sistema Windows. Puede analizar sus propiedades haciendo clic con el botón derecho del ratón sobre ella y seleccionando «Propiedades»:

      A continuación, debe acceder a la pestaña «Scope» para configurar el filtrado del flujo RDP entrante:

       

      En la sección «Remote IP Address», debe especificar todas las direcciones IP desde las que se autorizan los flujos RDP entrantes: 
      • Si todos estos flujos tienen que pasar por la pasarela, es necesario especificar la dirección IP de la pasarela;
      • Si la pasarela está instalada en el servidor al que se realiza una conexión RDP, especifique la dirección IP «127.0.0.1».

      Iniciar una conexión RDP : 


      Es necesario configurar la conexión RDP desde una máquina y un usuario legítimo a un servidor interno a través de la pasarela. Tras iniciar la aplicación «Remote Desktop Connection», debe configurar la pasarela en la pestaña «Advanced» y, a continuación, en «Settings», como se muestra en la figura siguiente:

      Aparecerá la siguiente ventana. Seleccione la opción «Use these RD Gateway server settings», introduzca el nombre completo de la pasarela RDP previamente configurada y marque la casilla «Use my RD Gateway credentials for the remote computer» antes de confirmar la configuración con el botón «Ok»:

      A continuación, basta con volver a la pestaña general de la aplicación, introducir el nombre o la dirección IP del servidor interno al que desea conectarse el cliente y su nombre de usuario, antes de pulsar el botón «Connect», como se muestra en la figura siguiente: 

      Se muestra una ventana para que el usuario compruebe el nombre o la dirección IP de la pasarela RDP e introduzca la contraseña de la cuenta de usuario introducida previamente.

      Entonces, o bien la conexión tiene éxito, o bien el certificado de la pasarela no es reconocido por la máquina cliente (generalmente es el caso de un certificado autofirmado o de uno firmado por una autoridad de certificación interna), y se devuelve este mensaje: