Vindo de um histórico Linux e agora tendo que gerenciar alguns servidores Windows (2008R2 e 2012R2), estou me perguntando quais serviços são seguros para serem executados diretamente pela Internet. Os servidores são todos voltados para a Internet sem firewall de hardware adicional ou uma rede interna de gerenciamento de VPN.
Os serviços em dúvida são:
- RDP (na configuração padrão)?
- MSSQL (2012)?
- Active Directory?
- WSUS (sem domínio se 3. não for seguro)?
Depois de algumas pesquisas, sei que o RDP pelo menos não era seguro nas versões anteriores do Windows (2003) e o AD geralmente parece ser considerado inseguro. Ainda é uma boa ideia encapsular o RDP sobre o SSH (todos os servidores executam o cygwin)?
Obrigado pelo teu conselho!
Minha opinião, nesses casos, é bloquear todas as portas, exceto aquelas necessárias para o servidor executar sua finalidade principal (http/s, ftp, sql server) e, mesmo assim, restringir essas portas a apenas determinados blocos de IP quando possível . Não configure nenhuma conectividade remota para esses servidores, exceto para os serviços necessários.
Em seguida, implante um bastion host . Este é um host extremamente protegido que possui conectividade remota habilitada (ssh, rdp, vpn) e permitirá que você dê um salto duplo para seus outros hosts. Sei que muitas pessoas consideram isso desnecessário e exagerado, mas, honestamente, é a maneira mais segura de rolar.
O RPD deve ser usado apenas via VPN.
O SQL pode se conectar a uma porta específica, portanto, deve ser seguro.
Por que alguém executaria o AD no lado da Internet? Se você precisar executá-lo no mesmo servidor conectado à Internet, verifique cuidadosamente as políticas de segurança antes de fazê-lo.
O WSUS está com erros e inseguro. O WSUS pode até relatar que tudo está atualizado, embora não sejam aplicados patches criados há muito tempo. Isso torna o sistema vulnerável e pode afetar as políticas de segurança. Melhor economizar algum tempo de inatividade para corrigir quando necessário e deixar o WSUS desativado.