Cuando tienes un servidor en la nube uno de los puntos más importantes a tener en cuenta es su seguridad para protegerlo de ataques o robos de información, y uno de los puntos más importantes en un servidor Windows es proteger el acceso por RDP.
Para proteger el acceso por RDP en un servidor Windows tenemos varias opciones entre las cuáles se encuentran la limitación de acceso por IP, conectarse al servidor mediante una VPN, cambiar los puertos del RDP o utilizar un software como RDPGuard o IPBAN.
A continuación te detallamos las diferentes opciones para que puedas implementarlas en tus servidores.
Limitar el acceso por IP
Para limitar el acceso por IP tienes que acceder al panel de cliente y en el listado de nuestros servidores tendrás que hacer clic en el nombre del servidor al que quieras limitar el acceso por IP.
Acto seguido haz clic en "Red" y en el icono del lápiz y selecciona editar.
En este paso tienes que localizar las reglas que afectan al puerto 3389 y desactivarlas.
Una vez desactivadas haz clic en el icono del "+" para agregar una nueva regla.
Selecciona "Norma personalizada" y haz clic en el icono del "+" para empezar a rellenar la información de la norma que quieres agregar.
Rellena los datos como en la siguiente imagen cambiando la IP de Origen por la que quieras que sea la única que pueda acceder a tu servidor. Una vez rellenada la información haz clic en "Enviar".
Una vez añadida puedes ver que ya aparece en el listado de Normas del Firewall del servidor.
En este momento ya solo se podrá conectar desde la IP que has insertado. En el ejemplo sería la IP "37.223.80.236".
Conectarse al servidor mediante una VPN
Una de las formas más efectivas para proteger el acceso por RDP es crear un servidor con el rol de VPN y posteriormente conectarte al servidor utilizando la red interna. La red interna está disponible cuando se dispone de dos o más servidores.
Para configurar una VPN en un servidor de Clouding puedes consultar los siguientes artículos:
Enlace a artículos para instalar una VPN
Información adicional
Si tienes dudas sobre que VPN elegir para tu plataforma, puedes contactar con nuestro soporte técnico.
Una vez tienes instalada la VPN, al igual que en el caso "Limitar el acceso por IP" debes permitir la conexión desde la IP pública o privada de tu servidor VPN en el firewall del servidor que quieres proteger el acceso por RDP.
Cambiar los puertos del RDP
Para cambiar el puerto que utiliza RDP tienes que hacer clic en el botón inicio, escribir "regedit" y hacer clic en "Run command".
Una vez abierto regedit, desplega las carpetas del árbol hasta llegar a la ruta "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\". Haz clic en la carpeta "RDP-Tcp" y busca la variable "PortNumber". Haz doble clic encima de la variable y en "Base" selecciona "Decimal". Finalmente en "Value Data" cambia el puerto por el que quieras y haz clic en OK.
Para que se apliquen los cambios tienes que reiniciar el servidor.
Información adicional
Para poder conectarte por el nuevo puerto tendrás que abrir el puerto en el firewall del panel de cliente.
Si el firewall de Windows está activado tendrás que abrir el puerto o deshabilitar el firewall de Windows.
Una vez reiniciado el servidor y abiertos los puertos, al conectarte por escritorio remoto tendrás que añadir el puerto al final de la IP de la siguiente forma: 185.254.206.76:4489.
RdpGuard
Para proteger tu servidor Windows de ataques de fuerza bruta existen software de terceros como RdpGuard que nos ayudan a mitigar estos ataques. En este caso, tener bien configurado RdpGuard te protege sobre los siguientes protocolos: RDP, FTP, IMAP, POP3, SMTP, MySQL, MS-SQL, IIS Web Login, ASP. NET Web Forms, MS Exchange, RD Web Access, VoIP / SIP, etc.
Para instalar RdpGuard descarga el instalador en la siguiente dirección https://rdpguard.com/download.aspx.
Una vez descargado, ejecútalo y sigue el proceso como en las siguientes imágenes:
Una vez instalado RdpGuard aparece una ventana y por defecto ya viene con la protección RDP habilitada.
Información adicional
Para Windows 2003/10/2012/2016/2019 no es necesario realizar ninguna configuración extra ya que utiliza los eventos del registro de Windows para mitigar los ataques.
Para Windows 2008 y Windows 2008 R2 existen configuraciones avanzadas como la especificación del puerto a proteger.
Advertencia
Si tienes el firewall de Windows desactivado como en la imagen anterior tendrás que hacer clic en "Click here to turn on Windows" para activar el firewall de Windows. Si el firewall de Windows no está activado RdpGuard no funcionará.
Adicionalmente, en el Firewall de Windows habrá que permitir el tráfico a la IP 169.254.169.254.
IPBAN
El programa IPBAN es una alternativa a RdpGuard con un funcionamiento similar y que además cuenta con una versión gratuita, pero sin una interfaz gráfica para la administración. Así, al igual que RdpGuard irá bloqueando los intentos de inicio de sesión fraudulentos para bloquear aquellas IP sospechosas de atacar nuestro servicio RDP.
Guía de instalación de IPBAN
Si necesitas información detallada sobre cómo instalar este programa podéis hacer clic en este enlace para ver nuestro tutorial de instalación.
