Cuando tenemos un servidor en la nube uno de los puntos más importantes a tener en cuenta es su seguridad para protegernos de ataques o robos de información, y uno de los puntos más importantes en un servidor Windows es proteger el acceso por RDP.
Para proteger el acceso por RDP en un servidor Windows tenemos varias opciones entre las cuáles se encuentran la limitación de acceso por IP, conectarse al servidor mediante una VPN, cambiar los puertos del RDP o utilizar un software como RDPGuard o IPBAN.
A continuación os detallamos las diferentes opciones para que podáis implementarlas en vuestros servidores.
Limitar el acceso por IP
Para limitar el acceso por IP tenemos que acceder al panel de cliente y en el listado de nuestros servidores tenemos que hacer clic en el nombre del servidor que queramos limitar el acceso por IP.
Acto seguido hacemos clic en "Red" y hacemos clic en el icono del lápiz y seleccionamos editar.
En este paso se tiene que localizar las reglas que afectan al puerto 3389 y las desactivamos.
Una vez desactivadas hacemos clic en el icono del "+" para agregar una nueva regla.
Seleccionamos "Norma personalizada" y hacemos clic en el icono del "+" para empezar a rellenar la información de la norma que queremos agregar.
Rellenamos los datos como en la siguiente imagen cambiando la IP de Origen por la que queráis que sea la única que pueda acceder al servidor. Una vez rellenada la información clic en "Enviar".
Una vez añadida podéis ver que ya aparece en el listado de Normas del Firewall del servidor.
En este momento ya solo se podrá conectar desde la IP que habéis insertado y en el ejemplo sería la IP "37.223.80.236".
Conectarse al servidor mediante una VPN
Una de las formas más efectivas para proteger el acceso por RDP es crear un servidor con el rol de VPN y posteriormente conectarnos al servidor utilizando la red interna. La red interna está disponible cuando se dispone de dos o más servidores.
Para configurar una VPN en un servidor de Clouding podéis consultar los siguientes artículos:
Enlace a artículos para instalar una VPN
Información adicional
Si tenéis dudas sobre que VPN elegir para vuestra plataforma, podéis contactar con nuestro soporte técnico.
Una vez tenemos instalada la VPN, al igual que en el caso "Limitar el acceso por IP" debemos permitir la conexión desde la IP pública o privada de nuestro servidor VPN en el firewall del servidor que queremos proteger el acceso por RDP.
Cambiar los puertos del RDP
Para cambiar el puerto que utiliza RDP tenemos que hacer clic en el botón inicio, escribir "regedit" y hacer clic en "Run command".
Una vez abierto regedit, desplegamos las carpetas del árbol hasta llegar a la ruta "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\". Hacemos clic en la carpeta "RDP-Tcp" y buscamos la variable "PortNumber". Hacemos doble clic encima de la variable y en "Base" seleccionamos "Decimal". Finalmente en "Value Data" cambiamos el puerto por el que queramos y hacemos clic en OK.
Para que se apliquen los cambios tenemos que reiniciar el servidor.
Información adicional
Para poder conectarnos por el nuevo puerto tendremos que abrir el puerto en el firewall del panel de cliente.
Si tenemos el firewall de Windows activado tendremos que abrir el puerto o deshabilitar el firewall de Windows.
Una vez reiniciado el servidor y abierto los puertos, al conectarnos por escritorio remoto tendremos que añadir el puerto al final de la IP de la siguiente forma: 185.254.206.76:4489.
RdpGuard
Para proteger nuestro servidor Windows de ataques de fuerza bruta existe software de terceros como RdpGuard que nos ayudan a mitigar estos ataques. En este caso, tener bien configurado RdpGuard nos protege sobre los siguientes protocolos: RDP, FTP, IMAP, POP3, SMTP, MySQL, MS-SQL, IIS Web Login, ASP. NET Web Forms, MS Exchange, RD Web Access, VoIP / SIP, etc...
Para instalar RdpGuard tenemos que descargar el instalador en la siguiente dirección https://rdpguard.com/download.aspx.
Una vez descargado el instalador lo ejecutamos y seguimos el proceso como en las siguientes imágenes:
Una vez instalado RdpGuard aparece una ventana y por defecto ya viene con la protección RDP habilitada.
Información adicional
Para Windows 2003/10/2012/2016/2019 no es necesario realizar ninguna configuración extra ya que utiliza los eventos del registro de Windows para mitigar los ataques.
Para Windows 2008 y Windows 2008 R2 existen configuraciones avanzadas como la especificación del puerto a proteger.
Advertencia
Si tenéis el firewall de Windows desactivado como en la imagen anterior tendréis, que hacer clic en "Click here to turn on Windows" para activar el firewall de Windows. Si el firewall de Windows no está activado RdpGuard no funcionará.
Adicionalmente, en el Firewall de Windows habrá que permitir el tráfico a la IP 169.254.169.254.
IPBAN
El programa IPBAN es una alternativa a RdpGuard con un funcionamiento similar y que además cuenta con una versión gratuita, pero sin una interfaz gráfica para la administración. Así, al igual que RdpGuard irá bloqueando los intentos de inicio de sesión fraudulentos para bloquear aquellas IP sospechosas de atacar nuestro servicio RDP.
Guía de instalación de IPBAN
Si necesitáis información detallada de cómo instalar este programa podéis hacer clic en este enlace para ver nuestro tutorial de instalación.
