Seguridad bajo el Protocolo de escritorio remoto: como asegurar los equipos RDP en red

Protocolo de escritorio remoto: que es y cómo debe asegurarse
Los recientes fallos en el Protocolo de Escritorio Remoto (RDP) han mostrado las deficiencias en los accesos a través del protocolo. De hecho el experto en seguridad Dan Kaminsky afirma que el protocolo RDP se usa en más de 5 millones de equipos en la actualidad. Como puede imaginar las empresas que no blindan debidamente los puntos RDP pueden comprometer la seguridad de la red y de sus terminales.

Conocer cómo funciona RDP, para que se usa y como debe asegurarse ayuda a los administradores a mejorar los sistemas de seguridad.

En este consejo explicamos en breve que es RDP, porque es necesario, y como se usa en los terminales empresariales. Después examinaremos como las empresas pueden asegurar la seguridad del RDP o, cuando sea necesario, asegurarse de que no se está usando.

¿Qué esRDP?
El protocolo de escritorio remoto es un protocolo creado por Microsoft. Permite al usuario del sistema conectar con un sistema remoto mediante una interfaz grafica. El cliente dispone de agentes en los sistemas de Microsoft, aunque también pueden instalarse en los sistemas de otros desarrolladores como Apple, varias versiones de Linux y algunos SO móviles como Android.

La parte del servidor del RDP se instala en un equipo con SO de Microsoft y recibe las peticiones de los agentes para mostrar de forma grafica la información de la aplicación, e incluso ofrecer acceso remoto al sistema. Por defecto el agente atiende las peticiones realizadas en el puerto 3389 de los clientes que quieren conectarse vía RDP.

¿Cómo se usa el RDP en las empresas?
Normalmente las empresas configuran los servicios RDP o sesiones de terminal en los servidores que los clientes tienen instalados para poder conectarse con ellos, ya sea por cuestiones de gestión, acceso remoto o aplicaciones de uso centralizado. Este protocolo también se utiliza por los administradores para acceder de forma remota a los sistemas y poder resolver problemas. Esta función concreta es la más problemática si no se configura adecuadamente, ya que puede causar el acceso no autorizado a los sistemas de la empresa.

Como asegurar el RDP
Ahora que sabemos que es el RDP y cómo funciona, veamos que implementaciones de seguridad necesita:

• Verificar la encriptación de 128-bit entre clientes y servidores; esta encriptación permite el uso de claves más resistentes que las tradicionales. Por defecto la conexión RDP usa encriptación de 128.bit pero puede que la configuración del cliente sea de 64 bits. Como medida de precaución y para evitar que el sistema reduzca esa encriptación, los administradores pueden configurar diversos Objetos de Política de Grupo (GPOs) que tengan el mismo nivel de encriptación que el estándar. Se recomienda activar la encriptación de “Máximo Nivel”.
• Si el acceso se realiza mediante una red extenderá en vez de dejar el puerto abierto ante posibles ataques, se recomienda crear un túnel VPN hacia la red como paso previo al uso de RDP. Aun mejor es configurar una puerta de escritorio remoto que permita conexiones HTTPPS y que RDP creer una conexión más segura y encriptada en el terminal. Estos dos métodos son recomendables para no tener que dejar abierto el puerto RDP 339 en el perímetro de red.
• Con los nuevos sistemas operativos de Windows (Vista, Windows 7 y Server 2008), los administradores pueden activar la autentificación a nivel de red (NLA) como medida adicional de protección antes de establecer conexiones host vía RDP. Este proceso elimina la identificación del sistema y usa menos recursos. También evita los riesgos potenciales de ataques de denegación de servicio (DoS) mediante ataques por fuerza bruta. El NLA puede servir como buffer, evitando que el atacante derribe el servidor host RDP mediante intentos de acceso masivo.
• Por defecto el protocolo RDP escucha el puerto 3389 en busca de conexiones de clientes RDP. Es posible cambiar el puerto de este servicio, para proteger la red de ataques y malware que busquen conexiones RDP en este puerto. Sin embargo esta “seguridad por oscuridad” puede causar fallos y errores. Es posible cambiar el puerto pero conviene tener una buena razón para hacerlo.
• El uso de firewalls tanto en el perímetro como en el SO para filtrar las peticiones entrantes a las fuentes aprobadas para realizar conexiones RDP puede limitar la conectividad de estos servidores. En particular hay un grupo de usuarios que se supone que solo puede conectar con un cierto grupo de servidores, de modo que considerarlos en las reglas del firewall puede eliminar en parte este problema.
• Verifique quien puede crear conexiones RDP con el servidor. Considere restringir el acceso RDP a grupos concretos (mediante políticas o de forma manual) en vez de permitir que cualquiera use este sistema. El acceso restringido siempre es la mejor opción. También se recomienda eliminar la cuenta de administrador local de acceso RDP. Todas las cuentas de usuario deben estar claramente definidas en el sistema.
• Mientras que NLA realiza algunas funciones de autentificación, el mejor sistema de autentificación RDP se consigue mediante certificados SSL. Estos certificados se instalan en el sistema y en el cliente RDP, donde se puede identificar al usuario antes de establecer la conexión RDP.
• Verifique el sistema cuenta con todos los parches relativos a RDP, especialmente después de los últimos sucesos que han provocado que Microsoft publique el boletín de seguridad MS12-020.
• Finalmente incluya en las GPOs el uso de contraseñas con una cierta dimensión y establezca ese uso como política para impedir los ataques por fuerza bruta al servidor.

Defendiéndose del uso pícaro del RDP
Los sistemas mencionados son formas que la organización tiene para proteger dentro de la RDP cuando lo está usando. Ahora veamos como la empresa puede comprobar que ese RDP no se está usando de forma picada o mediante instalaciones no autorizadas del protocolo.

• Ejecute análisis de puertos y vulnerabilidades en la red, internos y externos, para saber si hay sistemas que escuchen conexiones RDP. Estos análisis internos muestran los sistemas que están ejecutando RDP. Si se detecta actividad es necesario ver si realmente ese equipo debería estar usando ese software. Desde el punto de vista externo, se realizan comprobaciones de escuchas RDP desde el exterior, de manera que se tomen medidas, si se detectan, lo antes posible. Muchos escáneres de vulnerabilidades descubren conexiones RDP en puertos no estándar, lo que puede ayudar si alguien tratar de ocultar esa instalación fraudulenta.
• Use sistemas de gestión de eventos e incidencias de seguridad (SIEM) para verificar que los dispositivos que aceptan y escuchan conexiones RDP registran debidamente su actividad y las conexiones RDP realizadas en la red. ¿Se producen demasiados errores de identificación en ciertos sistemas? ¿Se están aceptando conexiones que deberían rechazarse? …
• Finalmente el método más eficaz para garantizar que el sistema no use RDP de forma inadecuada es definir una Política de Grupo que permita el uso de RDP solo en los sistemas autorizados.

En conclusión, RDP es una gran herramienta para los administradores y usuarios ya que permite crear múltiples conexiones con el sistema desde una ubicación central. También sirve para realizar gestión remota de sistemas, pero como cualquier herramienta, si las conexiones y el software no son seguros, las empresas están incurriendo en riesgos. Conocer cómo funciona el RDP, por que se utiliza, y como puede hacerse más seguro permite a los administradores tener un mejor control sobre la seguridad de sus sistemas.

Sobre el autor:
Matthew Pascucci es Ingeniero de Seguridad en la Información para una gran empresa comercial, donde ha gestionado vulnerabilidades y amenazas, seguridad adicional y aseguramiento de las operaciones diarias. También ha escrito diversas publicaciones sobre seguridad, ha dado conferencias para muchas empresas y está implicado en la estructura local de InfraGard. Puede seguirle en Twitter en @matthewpascucci o leer su blog en www.frontlinesentinel.com.