Proteger RDP de ataques de fuerza bruta

Cuando tenemos un servidor en la nube uno de los puntos más importantes a tener en cuenta es su seguridad para protegernos de ataques o robos de información, y uno de los puntos más importantes en un servidor Windows es proteger el acceso por RDP.

Para proteger el acceso por RDP en un servidor Windows tenemos varias opciones entre las cuáles se encuentran la limitación de acceso por IP, conectarse al servidor mediante una VPN, cambiar los puertos del RDP o utilizar un software como RDPGuard.

A continuación os detallamos las diferentes opciones para que podáis implementarlas en vuestros servidores.

Limitar el acceso por IP

Para limitar el acceso por IP tenemos que acceder al panel de cliente y en el listado de nuestros servidores tenemos que hacer clic en el nombre del servidor que queramos limitar el acceso por IP.

Acto seguido hacemos clic en "Red" y hacemos clic en el icono del lápiz y seleccionamos editar.

En este paso se tiene que localizar las reglas que afectan al puerto 3389 y las desactivamos.

Una vez desactivadas hacemos clic en el icono del "+" para agregar una nueva regla.

Seleccionamos "Norma personalizada" y hacemos clic en el icono del "+" para empezar a rellenar la información de la norma que queremos agregar.

Rellenamos los datos como en la siguiente imagen cambiando la IP de Origen por la que queráis que sea la única que pueda acceder al servidor. Una vez rellenada la información clic en "Enviar".

Una vez añadida podéis ver que ya aparece en el listado de Normas del Firewall del servidor.

En este momento ya solo se podrá conectar desde la IP que habéis insertado y en el ejemplo sería la IP "37.223.80.236".

Conectarse al servidor mediante una VPN

Una de las formas más efectivas para proteger el acceso por RDP es crear un servidor con el rol de VPN y posteriormente conectarnos al servidor utilizando la red interna. La red interna está disponible cuando se dispone de dos o más servidores.

Para configurar una VPN en un servidor de Clouding podéis consultar los siguientes artículos:

Enlace a artículos para instalar una VPN

Una vez tenemos instalada la VPN, al igual que en el caso "Limitar el acceso por IP" debemos permitir la conexión desde la IP pública o privada de nuestro servidor VPN en el firewall del servidor que queremos proteger el acceso por RDP.

Cambiar los puertos del RDP

Para cambiar el puerto que utiliza RDP tenemos que hacer clic en el botón inicio, escribir "regedit" y hacer clic en "Run command".

Una vez abierto regedit, desplegamos las carpetas del árbol hasta llegar a la ruta "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\". Hacemos clic en la carpeta "RDP-Tcp" y buscamos la variable "PortNumber". Hacemos doble clic encima de la variable y en "Base" seleccionamos "Decimal". Finalmente en "Value Data" cambiamos el puerto por el que queramos y hacemos clic en OK.

Para que se apliquen los cambios tenemos que reiniciar el servidor.

Una vez reiniciado el servidor y abierto los puertos, al conectarnos por escritorio remoto tendremos que añadir el puerto al final de la IP de la siguiente forma: 185.254.206.76:4489.

RdpGuard

Para proteger nuestro servidor Windows de ataques de fuerza bruta existe software de terceros como RdpGuard que nos ayudan a mitigar estos ataques. En este caso, tener bien configurado RdpGuard nos protege sobre los siguientes protocolos: RDP, FTP, IMAP, POP3, SMTP, MySQL, MS-SQL, IIS Web Login, ASP. NET Web Forms, MS Exchange, RD Web Access, VoIP / SIP, etc...

Para instalar RdpGuard tenemos que descargar el instalador en la siguiente dirección https://rdpguard.com/download.aspx.

Una vez descargado el instalador lo ejecutamos y seguimos el proceso como en las siguientes imágenes:

Una vez instalado RdpGuard aparece una ventana y por defecto ya viene con la protección RDP habilitada.