Jeny Carolina Santamaría M
realizo una preguntaEs seguro dejar el puerto 3389 (Windows Remote Desktop) habilitado ?
Muy buen día, Me gustaría su persepción frente a la vulnerabilidad de dejar el puerto 3389 habilitado. Cual es la principal razón. Si tengo este puerto abierto e ingresaron a alguno de mis servidores, porque el antivirus del servidor no detectó el ataque?
Debes ser parte de la comunidad para poder comentar.
Mario Rodriguez Barraza
ha comentado hacemás de 3 años
Hola Jenny, concuerdo en algunos puntos con Omar, sin embargo, me gustaría extenderme un poco mas para apoyarte a dejar clara tu interrogante.
Quiero iniciar con esto: ¡Ningún puerto para gestionar servicios tecnológicos es seguro! Por muy simple que sea tu servicio, pero si le provee gestión y administración tendrá alguna vulnerabilidad, los malos trabajan día a día en esto, y allí es donde nosotros los que nos dedicamos a proteger infraestructuras e información aplicamos controles.
Pero adentrémonos, ¿que podemos hacer? Realmente podemos hacer, pero dependemos de muchos factores:
- Capacidad tecnológica, es decir tener la tecnología necesaria que nos permita aplicar controles técnicos a nivel de todas las capas.
- Capacidad humana: Si bien podemos tener la tecnología, los fierros, el software, pero no tenemos quien los gestione y administre, o quien tenga la capacidad de hacerlo nos viene a complicar aún mas.
- Capacidad presupuestaria: Si bien este pudo ser el primer punto, lo quise dejar de ultimo ya que enmarca los de arriba, muy seguro de ello.
Me emociona mucho hablar de protección, pero vamos a lo conciso:
1- Es importante que tengas una arquitectura de red robusta y enfocada a la seguridad es decir que tengas segmentación, pero vaya no una segmentación de red en donde solo se diferencien las IPS, sino una segmentación que tenga limitación en servicios, es decir, te ejemplifico:
Si tienes una Vlan de Recursos humanos, una de Informática y una para tus granjas de servidores limitas el puerto de RDP a RRHH y únicamente le das acceso a ese servicio a Informática. ¿Como haces esto en el perímetro? Lo puedes hacer a nivel de firewall.
2- Limitar el acceso a nivel de endpoints es decir tener un firewall local en cada equipo y únicamente dejar permitido el consumo de ese puerto a las áreas o personas que lo requiera por su rol de puesto. Esto nos ayudará a limitar aún mas y si por alguna razón un atacante entra hasta el equipo pasándose los controles del perímetro esta capa nos brindará protección para no permitir administración.
3- Inspeccionar el trafico, si bien estos puertos en las tecnológicas como firewall, antivirus, ips, etc vienen en lista blanca para no ser inspeccionados es de suma importancia que le pongamos un control, por lo menos en modo monitor para saber que pasa a través de ese consumo de servicio, si bien no es un control preventivo si tenemos un monitoreo activo nos ayudara a identificar ataques incluso de orígenes “Permitidos”.
Perdón por extenderme, espero te haya servido mi respuesta y sin duda alguna si tienes alguna duda adicional, con gusto puedo apoyarte.
Saludos Mario Rodriguez
alrededor de 4 años
Hola Jeny, en este caso es para hacer conexiones remotas al sistema windows, del lado del antivirus no lo detectaria porque es un acceso remoto y el antivirus no distingue si es legitimo o no, esto lo podrias controlar a nivel de firewall creando una lista negra donde especifiques que IPS son validas para ingresar a este servicio, por lo particular no es buena idea dejar expuesto esto a internet debido a varias vulnerabilidades que existen sobre este protocolo.