blog

Tutorial: Trabajo remoto seguro con Microsoft RDP sin VPN

Tutorial: Trabajo remoto <span class='blue'>seguro</span> con Microsoft RDP sin VPN

Introducci贸n RDP sin VPN

Para que el trabajo a distancia sea m谩s seguro y flexible, es muy 煤til la implementaci贸n de un Remote Desktop Gateway.
Una de las grandes ventajas sobre la VPN es la capacidad de bloquear la copia de archivos y el acceso al portapapeles. Adem谩s, establecer una puerta de enlace VPN puede ser inseguro. De hecho, en el caso de un ataque de un caballo de Troya, 茅ste puede alcanzar la red interna, a diferencia de RDP.

El prop贸sito de esta documentaci贸n es detallar la instalaci贸n y configuraci贸n de este portal. Por lo tanto, veremos:

  • La instalaci贸n de la funci贸n de servidor

  • La configuraci贸n de esta funci贸n con, en particular:

    • La instalaci贸n del certificado de seguridad
    • La configuraci贸n de las cuentas locales
    • La configuraci贸n de la propia puerta de enlace
  • La configuraci贸n del cortafuegos para asegurar mejor la puerta de enlace

  • La configuraci贸n necesaria para a帽adir caracter铆sticas de seguridad adicionales

  • Configurando el Cliente RDP de Windows para usar el Gateway

1 Instalaci贸n de la puerta de enlace

  • Prerrequisito *: Un servidor Windows 2008 o posterior

1.1 Instalando el rol de servidor

La forma m谩s r谩pida de instalar el rol de servidor es usar el siguiente comando de PowerShell:

Add-WindowsFeature RDS-Gateway -IncludeAllSubFeature -IncludeManagementTools

Entonces espera mientras se instala el papel, sus requisitos previos y las herramientas de gesti贸n.

1.2 Configurando el papel

1.2.1 Instalaci贸n del certificado de seguridad

Para poder utilizar el portal, no s贸lo se requiere un certificado, sino que tambi茅n se debe respetar la cadena de seguridad. Si, por ejemplo, se intenta acceder a la pasarela sin utilizar uno de los nombres declarados en el certificado, la conexi贸n ser谩 imposible.

Para ello, deber谩 utilizar su Certificado Wildcard, asociado al nombre de DNS existente ip1 . YourDomainName . com, que permitir谩 el acceso al portal.

Doble clic en el certificado de formato PFX para iniciar la instalaci贸n y seleccione Local Machine.

WizardCertif1

Valide la ruta del certificado, haga clic en Next, introduzca la contrase帽a asociada al certificado y luego haga clic en Next.

WizardCertif2WizardCertif2

Seleccione Colocar todos los certificados en la siguiente tienda, elija la tienda Personal, haga clic en Next, y luego haga clic en Finish para completar la instalaci贸n.

WizardCertif4WizardCertif5

1.2.2 Configuraci贸n de la cuenta local

Para que los usuarios puedan iniciar la sesi贸n con un nombre, tendremos que utilizar las cuentas locales de la m谩quina para permitir la autenticaci贸n de la puerta de enlace.

Para ello, abra la consola de gesti贸n de usuarios y grupos locales: lusrmgr.msc

AccountImg1

Para crear un nuevo usuario, haga clic con el bot贸n derecho del rat贸n en Users y elija New User鈥

En la ventana de creaci贸n de un nuevo usuario:

  • Introduzca el identificador en el formato primera letra del nombre + apellido.
  • Introduce el nombre completo
  • Introduce la contrase帽a
  • Confirmar la contrase帽a
  • Desmarca la casilla User must change password at next logon
  • Marque la casilla User cannot change password
  • Marque la casilla Password never expires
  • Haga clic en el bot贸n Create para validar

AccountImg2

Entonces crearemos un nuevo grupo. Haga clic con el bot贸n derecho del rat贸n en Groups y luego haga clic en New group .

AccountImg3

En la ventana de creaci贸n de un nuevo grupo:

  • Dale un nombre al grupo

  • Haga clic en el bot贸n Add

  • Introduce la contrase帽a

  • Introduzca el identificador del usuario

  • Haga clic en el bot贸n Check Names para validar la cuenta.

  • Haz clic en OK

  • Repita la operaci贸n para las otras cuentas.

  • Finalmente haz clic en el bot贸n Create para crear la cuenta.

compteimg4compteimg5

1.2.3 Configuraci贸n de la puerta de enlace de la oficina remota

Para configurar la pasarela, abra su consola de gesti贸n (win + r) : tsgateway.msc

1.2.3.1 Creaci贸n de estrategias de autorizaci贸n

Haga clic con el bot贸n derecho del rat贸n en policies y luego haga clic en Create New Authorization Policies.

strategie1

Deje la opci贸n predeterminada y haga clic en Next.

estrategia2

Dale un nombre a la policy de autorizaci贸n de conexi贸n y haz clic en Next.

Nota: esta estrategia permite filtrar los usuarios, seleccionar los m茅todos de conexi贸n (contrase帽a y/o tarjeta inteligente), deshabilitar algunas funciones (redirecciones USB, portapapeles...) y establecer un tiempo de espera.

estrategia3

Seleccione los m茅todos de autenticaci贸n necesarios, a帽ada el grupo creado en el paso anterior en la secci贸n User group membership y haga clic en el bot贸n Next.

estrategia4

En la p谩gina de redireccionamiento de dispositivos, seleccione Disable device redirection for the following client device types y marque todas las casillas de abajo. Luego haga clic en el bot贸n Siguiente.

estrategia5

Marque la casilla Enable idle timeout, introduzca el valor 30 durante 30 minutos y haga clic en Next.

estrategia6

Revise la informaci贸n resumida, y luego haga clic en Next.

estrategia7

Luego d茅 un nombre a la policy de acceso a los recursos y haga clic en Next.

Nota: esta policy le permite filtrar los recursos locales a los que los usuarios podr谩n acceder, as铆 como los puertos de conexi贸n autorizados para RDP._

estrategia8

Por defecto, el asistente rellenar谩 previamente el grupo introducido en la policy de autorizaci贸n de conexi贸n. Haga clic en Next.

estrategia9

El mago entonces preguntar谩 qu茅 recursos est谩n permitidos. Como no estamos interconectados con el Active Directory, seleccione Allow users to connect to any network resource (computer) y luego haga clic en Next.

estrategia10

En la p谩gina de selecci贸n de puertos permitidos, seleccione Allow connectiosn to these ports e introduzca el siguiente puerto:

  • 3389: puerto por defecto utilizado para todas las m谩quinas

Luego haga clic en el bot贸n Next.

estrategia11

En la p谩gina que resume la informaci贸n introducida, haga clic en Finish.

estrategia12

1.2.3.2 Instalaci贸n del certificado y definici贸n del puerto de acceso

De vuelta en la consola de gesti贸n, ahora completaremos la configuraci贸n importando el certificado de seguridad y configurando el puerto de acceso.

Haga clic con el bot贸n derecho del rat贸n en el nombre del servidor y luego haga clic en Properties.

PortAccesetCertif1

Haga clic en la pesta帽a SSL Certificates y luego en el bot贸n Import Certificate鈥

PortAccesetCertif2

Seleccione el certificado importado, y luego haga clic en el bot贸n Import.

PortAccesetCertif3

De vuelta en las propiedades del servidor, haga clic en la pesta帽a Transport Settings, especifique el puerto de acceso, aqu铆 875, y luego haga clic en el bot贸n OK. Entonces aparecer谩 una advertencia indicando que es necesario reiniciar el servicio. Haga clic en el bot贸n Yes.

PortAccesetCertif4

1.3 Configuraci贸n del Firewall de Windows

Para que la m谩quina sea lo m谩s segura posible, eliminaremos todas las reglas preconfiguradas del cortafuegos

netsh advfirewall firewall delete rule name=all

Entonces permite s贸lo los flujos necesarios, es decir:

Al entrar..:

  • el TCP/875 para el acceso a la pasarela

netsh advfirewall firewall add rule name="Allow RD Gateway (TCP/875) in" protocol=TCP dir=in action=allow localip=xx.xx.xx.xx localport=875

  • TCP/3389 para el acceso local RDP con fines de mantenimiento solamente

netsh advfirewall firewall add rule name="Allow RDP (TCP/3389) in" protocol=TCP dir=in action=allow localip=xx.xx.xx.xx.xx localport=3389 remoteip=xx.xx.xx.xx.xx/8

A la salida:

  • El TCP/3389 que rebotar谩 en las m谩quinas locales

netsh advfirewall firewall add rule name="Allow RDP (TCP/3389) out" protocol=TCP dir=out action=allow localip=xx.xx.xx.xx.xx remoteport=3389

  • UDP/53 para permitir la resoluci贸n del DNS

netsh advfirewall firewall add rule name="Allow DNS (UDP/53) out" protocol=UDP dir=out action=allow localip=xx.xx.xx.xx remoteip=xx.xx.xx.xx.xx remoteport=53

  • UDP/123 para mantener la m谩quina sincronizada v铆a NTP

netsh advfirewall firewall add rule name="Allow NTP (UDP/123) out" protocol=UDP dir=out action=allow localip=xx.xx.xx.xx remoteip=xx.xx.xx.xx.xx remoteport=123

  • Tambi茅n se crear谩 una regla espec铆fica para permitir que el ejecutable del ServicePilotAgent se comunique con su administrador.

netsh advfirewall firewall add rule name="Allow ServicePilotAgent out" program="C:\Program Files (x86)\ServicePilot\ServicePilot ISM Enterprise\ServicePilotAgent.exe" dir=out action=allow

1.3 Configuraciones adicionales

Entonces realizaremos una configuraci贸n adicional que nos permita bloquear una cuenta si se introducen m谩s de 3 contrase帽as err贸neas. Para ello, lanzaremos el Editor de policy de Grupo local: gpedit.msc

ConfSupp1

En el editor, vaya a Computer Configuration > Windows Settings > Security Settings > Account Policies > Account Lockout Policy y establezca las 3 estrategias :

  • Account lockout threshold: valor de 3 intentos de conexi贸n

  • Account lockout duration: valor de 5 minutos

  • Reset account lockout counter after: valor de 5 minutos

2 Puerto abierto en el router

Una vez que hayas configurado la puerta de enlace, necesitas abrir el puerto que has introducido en tu router que enlaza tu WAN con tu LAN. Esto se hace realizando un comando PAT para traducir el puerto 875 al puerto 3389. Este comando se realiza bajo un router cisco. Por supuesto, dependiendo de su arquitectura, este comando puede cambiar. Revisa la documentaci贸n de tu router para saber m谩s sobre el comando.

ip nat inside source static tcp {ipa} {ipb} route-map FIBRE extendable

3 Instalando un cliente RDP

Una vez que la puerta de enlace est谩 instalada y el puerto de tu router est谩 abierto, todo lo que tienes que hacer es conectarte. As铆 es como se hace.

Conectando con el servidor RDS (u otro) :

  • Abre el cliente de acceso pulsando en Inicio > Ejecutar.

En el cuadro de di谩logo escriba mstsc. En la ventana de conexi贸n del escritorio remoto que se abre, introduzca el nombre local de la m谩quina a la que se quiere llegar (RDS u otro) y luego haga clic en el bot贸n Opciones de visualizaci贸n..

client1client2

Seleccione la opci贸n Utilizar estos ajustes del servidor de la puerta de enlace de escritorio remoto e introduzca la direcci贸n de la puerta de enlace ip.gateway.com:875 y luego haga clic en OK.

cliente3

Vuelve a la pesta帽a General, haz clic en el bot贸n Save para guardar la configuraci贸n y luego haz clic en Connect.

client4client5

4 Monitoreo desde la nube con ServicePilot SaaS PRO

4.1 Instalar un agente en la puerta de enlace

Para aprovechar la soluci贸n de vigilancia con ServicePilot, cree una cuenta SaaS de forma gratuita siguiendo el enlace.

Luego, siga los pasos para administrar su servidor de puerta de enlace:

  1. Accede a la interfaz web ServicePilot en tu servidor de la puerta de enlace.
  2. Usando una cuenta con privilegios de administrador, inicia sesi贸n.
  3. Abre la configuraci贸n Configuration icon
  4. Haga clic en Agentes Agents menu item
  5. Haga clic en Instalar un agente Install an agent button
  6. Seleccione el agente de Windows y siga las instrucciones en Get started Get started button

4.2 Supervisi贸n del enrutador y del cortafuegos

En esta secci贸n, veremos c贸mo monitorear su enrutador as铆 como sus puertos y los de su firewall.

4.2.1 Configurar el monitoreo del enrutador

  1. Entra en la interfaz web de ServicePilot, usando una cuenta perteneciente a un grupo con el nivel de acceso Admin.

  2. Abra la configuraci贸n haciendo clic en el icono del engranaje y haga clic en Views Configuration icon

  3. Navegue a trav茅s de la jerarqu铆a de vistas existente en el panel de la izquierda y haga clic en la vista en la que desea agregar el nuevo recurso View navigation

  4. Seleccione el tipo de package de supervisi贸n requerido por categor铆a y utilice el filtro para limitar las opciones mostradas. En nuestro caso, queremos monitorear un router Cisco.
    addrouteur

  5. Arrastrar y soltar un package en el editor de la vista central

  6. Definir las propiedades de los recursos seg煤n el tipo de package seleccionado. Siempre se requiere un nombre de recurso 煤nico, as铆 como todos los campos marcados con . El recurso utilizar谩 el agente predeterminado para obtener los datos, a menos que los campos agente se rellenen con los agentes desde los que se van a realizar las consultas. El Agente SNMP Ping _ se utilizar谩 para todas las consultas Ping y SNMP, mientras que el Agente Agente* se utilizar谩 para todas las dem谩s consultas.

  7. Pulsa OK OK button

  8. Por 煤ltimo, haga clic en el bot贸n Guardar todos los cambios Save all changes button

Ahora puede ver los datos de monitorizaci贸n de su router en el panel est谩ndar dedicado.

tableau de bord de supervision pour un routeur

4.2.2 Configurar la monitorizaci贸n del puerto

Con el fin de supervisar nuestros puertos en t茅rminos de seguridad, aplicaremos una policy inversa. Esto significa que, mientras no recibamos ninguna respuesta del puerto al que intentamos llegar, el puerto devolver谩 un indicador de "ok". A la inversa, si recibimos una respuesta del puerto, significa que hay una brecha de seguridad y que el puerto ha sido abierto. Por supuesto, en los puertos abiertos, puedes hacer lo contrario, sin usar esta policy.

Primero crearemos una policy de umbral inverso:

  1. Accede a ServicePilot, usando una cuenta perteneciente a un grupo con nivel de acceso Admin.

  2. Abre la configuraci贸n Configuration icon

  3. Ir a "policies " Policies Menu Item

  4. Click en el bot贸n "Add a policy" Add a policy button

  5. Complete el cuadro de di谩logo que se adjunta (aqu铆, un ejemplo de policy inversa para las comprobaciones del TCP). Usando el l谩piz verde, busca y selecciona la clase Aplicaci贸n TCP (Ayuda al filtro escribiendo "Aplicaci贸n TCP"). Haz lo mismo con la caja de Nombre. Por 煤ltimo, escriba como se adjunta en el cuadro "IF 1", esto invertir谩 nuestro indicador.
    ConfigPolicy

  6. Pulsa OK OK button

  7. Para terminar, haz clic en el bot贸n de guardar Save button

A continuaci贸n, a帽adiremos un recurso a nuestro parecer para supervisar los puertos y vincularlo a nuestra policy inversa. Si no quieres aplicar la policy a tu recurso, simplemente no selecciones una policy en la configuraci贸n del recurso.

  1. 隆Abre la configuraci贸n haciendo clic en el icono del engranaje Configuration icon

  2. Navegue a trav茅s de la jerarqu铆a de vistas existente en el panel de la izquierda y haga clic en la vista en la que desea agregar el nuevo recurso View navigation

  3. Seleccione el tipo de package de supervisi贸n requerido por categor铆a y utilice el filtro para limitar las opciones mostradas. Para monitorizar los puertos TCP, elija appmon-tcp.

    AddAppMonTCP

  4. Arrastrar y soltar un package en el editor de la vista central

  5. Definir las propiedades de los recursos seg煤n el tipo de package seleccionado. Siempre se requiere un nombre de recurso 煤nico, as铆 como todos los campos marcados con _. El recurso utilizar谩 el agente predeterminado para obtener los datos, a menos que los campos agente se rellenen con los agentes desde los que se van a realizar las consultas. En nuestro ejemplo, configuramos una monitorizaci贸n en el puerto 21 con nuestro agente local en la IP 10.1.1.15.

    ConfigureTCP1

  6. Para aplicar nuestra policy inversa, vaya a la pesta帽a policies, haga clic en el bot贸n a帽adir una policy y seleccione su policy inversa "TCP CHECK KO ". Si no desea aplicar esta policy, no haga nada.

    ConfigureTCP2

  7. Pulsa OK OK button

  8. Por 煤ltimo, haga clic en el bot贸n de guardar todos los cambios Save all changes button

Todo lo que tienes que hacer es a帽adir un recurso para cada puerto de tu gateway y/o router.

Todas las nuevas comprobaciones de puertos se a帽aden autom谩ticamente al correspondiente tablero est谩ndar.

tableau de bord de supervision pour un routeur

4.3 Supervisi贸n de la conexi贸n RDS

Durante esta parte, veremos c贸mo supervisar las conexiones con el portal. Al final de este tutorial, tendr谩 en su tablero, los tiempos y las IPs de las conexiones de sus colegas a trav茅s de la puerta de enlace RDP. Adem谩s, tambi茅n tendr谩 la posibilidad de ver las conexiones HTTP de las personas conectadas a la plataforma, los tiempos de respuesta de cada sitio web y muchas otras cosas.

4.3.1 Establecer la supervisi贸n de la conexi贸n

  1. Inicie sesi贸n en ServicePilot, usando una cuenta de Admin.

  2. Abre la configuraci贸n haciendo clic en la rueda dentada de la esquina superior derecha y haz clic en Vistas.

    Icono de configuraci贸n

  3. Seleccione el tipo de package de supervisi贸n requerido por categor铆a y utilice el filtro para limitar las opciones mostradas. En nuestro caso, usaremos el package servicios-aflujo.

    APM ADD

  4. Configure el package como desee. En nuestro caso, dejamos el agente local (por eso la casilla del agente est谩 vac铆a) y seleccionamos todas las interfaces usando el s铆mbolo de la estrella.

    APM CONFIG

  5. Pulsa OK Bot贸n OK

  6. Por 煤ltimo, haga clic en el bot贸n Guardar todos los cambios Save all changes button

  7. Vuelva a abrir la configuraci贸n haciendo clic en la rueda dentada de la esquina superior derecha y haga clic en Servicios.

    Icono de configuraci贸n

  8. Haga clic en Agregar un servicio.

    SERVICIOS APM

  9. Configure el servicio de su elecci贸n (en nuestro caso, configuramos un APM para el servicio SSH):

    • La casilla de servicio permite introducir el nombre del servicio.

    *Deja la caja de Tecnolog铆a en dpi

    • Para el procesamiento, elija el servidor (en lugar de la imagen)

    • Elija el protocolo del servicio que desea supervisar

    • Introduce el puerto que quieres escuchar en la pesta帽a * Puerto del Servidor *.

    • Deje el s铆mbolo de la estrella en la casilla del servidor IP a menos que desee introducir una IP. Si especificas una IP ser谩 la IP de escucha.

    • Introduce un nombre en el cuadro Ver, esto crear谩 una nueva vista bajo este nombre.

    • Pulsa OK Bot贸n OK

    APM SERVICES CONFIG

Aqu铆 hay otro ejemplo con una configuraci贸n que podr铆amos hacer para nuestro servidor RDP Gateway:

![APM SERVICES CONFIG RDP](/images/blog/blog11/RDPEDIT.png)
  1. Por 煤ltimo, haga clic en el bot贸n de guardar todos los cambios Bot贸n de guardar todos los cambios

  2. A continuaci贸n se muestra un ejemplo de lo que se puede obtener una vez que se han configurado varios APM

    APM DISPLAY 1

    APM DISPLAY 2

4.3.2 Establecer la supervisi贸n con los espectadores de los eventos

  1. Inicie sesi贸n en ServicePilot, usando una cuenta de Admin.

  2. Abre la configuraci贸n haciendo clic en la rueda dentada de la esquina superior derecha y haz clic en Vistas.

    Icono de configuraci贸n

  3. Seleccione el tipo de package de supervisi贸n requerido por categor铆a y utilice el filtro para limitar las opciones mostradas. En nuestro caso, usaremos el package log-windows-event.

    EVENT VIEWER ADD

  4. Configure el package como desee. En nuestro caso, asignamos el agente instalado en la m谩quina de la puerta de enlace.

    EVENT VIEWER CONFIG

  5. Pulsa OK Bot贸n OK

  6. Por 煤ltimo, haga clic en el bot贸n Guardar todos los cambios Save all changes button

  7. Una vez completado el aprovisionamiento, el resultado es el siguiente:

    EJEMPLO DEL VISOR DE EVENTOS

4.3.3 Estableciendo la supervisi贸n de la sesi贸n RDP

  1. Inicie sesi贸n en ServicePilot, usando una cuenta de Admin.

  2. Abre la configuraci贸n haciendo clic en la rueda dentada de la esquina superior derecha y haz clic en Vistas.

    Icono de configuraci贸n

  3. Seleccione el tipo de package de supervisi贸n requerido por categor铆a y utilice el filtro para limitar las opciones mostradas. En nuestro caso, usaremos el package server-rdp-session.

    RDP SESSION ADD

  4. Configure el package como desee. En nuestro caso, asignamos el agente instalado en la m谩quina de la puerta de enlace.

    RDP SESSION CONFIG

  5. Pulsa OK Bot贸n OK

  6. Por 煤ltimo, haga clic en el bot贸n Guardar todos los cambios Guardar todos los cambios

  7. Una vez completado el aprovisionamiento, el resultado es el siguiente:

    SESIONES RDP

4.4 Recursos

驴Te gust贸 el art铆culo? Si茅ntase libre de compartirlo