Cuando tienes un servidor en la nube, uno de los puntos más importantes a tener en cuenta es su seguridad para protegerlo de ataques o robos de información, y en el caso de un servidor Windows, se trata de proteger el acceso por RDP.
Para proteger el acceso por RDP en un servidor Windows tienes varias opciones, entre las cuales se encuentran la limitación de acceso por IP, conectarse al servidor mediante una VPN, cambiar los puertos del RDP o utilizar un software como RDPGuard o IPBAN.
Nota
Para comprobar si hay intentos de conexión RDP en tu servidor, puedes revisarlo en el visor de eventos > Registros de Windows > Seguridad. En este artículo tienes más información: Revisar registros en Windows con el Visor de Eventos
A continuación te detallamos las diferentes opciones para que puedas implementarlas en tu servidor cloud.
Limitar el acceso por IP
Para limitar el acceso por IP, accede al panel de cliente y en el listado de tus servidores, hacz clic en el nombre del servidor al que quieras limitar el acceso por IP.
A continuación, haz clic en "Red" y en el icono del lápiz y selecciona "Editar".
En el siguiente paso, localiza las reglas que afectan al puerto 3389 y desactívalas.
Una vez desactivadas, haz clic en el icono "+" para agregar una nueva regla.
Selecciona "Norma personalizada" y haz clic en el icono "+" para empezar a rellenar la información de la norma que quieres agregar.
Rellena los datos como en la siguiente imagen, cambiando la IP de origen por la que quieras que sea la única que pueda acceder a tu servidor. Una vez rellenada la información haz clic en "Enviar".
Una vez añadida, puedes ver que ya aparece en el listado de Normas del Firewall del servidor.
En este momento, ya sólo te podrás conectar desde la IP que has insertado. En el ejemplo, la IP "37.223.80.236".
Conectarse al servidor mediante una VPN
Una de las formas más efectivas para proteger el acceso por RDP es crear un servidor con el rol de VPN y posteriormente conectarte al servidor utilizando la red interna. La red interna está disponible cuando hay dos o más servidores creados.
Para configurar una VPN en un servidor de Clouding puedes consultar el siguiente artículo:
Enlace a artículos para instalar una VPN
Información adicional
Si tienes dudas sobre qué VPN elegir para tu plataforma, puedes contactar con nuestro soporte técnico.
Una vez tienes instalada la VPN, al igual que en el caso "Limitar el acceso por IP" debes permitir la conexión desde la IP pública o privada de tu servidor VPN en el firewall del servidor que quieres proteger el acceso por RDP.
Cambiar los puertos del RDP
Para cambiar el puerto que utiliza RDP, haz clic en el botón "inicio", escribe "regedit" y haz clic en "Run command".
Una vez abierto regedit, despliega las carpetas del árbol hasta llegar a la ruta "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\". Haz clic en la carpeta "RDP-Tcp" y busca la variable "PortNumber". Haz doble clic encima de la variable y en "Base" selecciona "Decimal". Finalmente, en "Value Data" cambia el puerto por el que quieras y haz clic en "OK".
Para que se apliquen los cambios tienes que reiniciar el servidor.
Información adicional
Para poder conectarte por el nuevo puerto, tendrás que abrir el puerto en el firewall del panel de cliente.
Si el firewall de Windows está activado, abre el puerto o deshabilita el firewall de Windows.
Una vez reiniciado el servidor y abiertos los puertos, al conectarte por escritorio remoto tendrás que añadir el puerto al final de la IP de la siguiente forma: 185.254.206.76:4489.
RdpGuard
Para proteger tu servidor Windows de ataques de fuerza bruta, existen softwares como RdpGuard que te ayudan a mitigar estos ataques. En este caso, tener bien configurado RdpGuard te protege sobre los siguientes protocolos: RDP, FTP, IMAP, POP3, SMTP, MySQL, MS-SQL, IIS Web Login, ASP. NET Web Forms, MS Exchange, RD Web Access, VoIP / SIP, etc.
Para instalar RdpGuard, descarga el instalador en la siguiente URL: https://rdpguard.com/download.aspx.
Una vez descargado, ejecútalo y sigue el proceso como en las siguientes imágenes:
Una vez instalado RdpGuard aparece una ventana y por defecto ya viene con la protección RDP habilitada.
Información adicional
Para Windows 2003/10/2012/2016/2019 no es necesario realizar ninguna configuración extra, ya que utiliza los eventos del registro de Windows para mitigar los ataques.
Para Windows 2008 y Windows 2008 R2 existen configuraciones avanzadas como la especificación del puerto a proteger.
Advertencia
Si tienes el firewall de Windows desactivado como en la imagen anterior tendrás que hacer clic en "Click here to turn on Windows" para activar el firewall de Windows. Si el firewall de Windows no está activado RdpGuard no funcionará.
Adicionalmente, en el Firewall de Windows habrá que permitir el tráfico a la IP 169.254.169.254.
IPBAN
El programa IPBAN es una alternativa a RdpGuard con un funcionamiento similar y que además cuenta con una versión gratuita, pero sin una interfaz gráfica para la administración. Así, al igual que RdpGuard irá bloqueando los intentos de inicio de sesión fraudulentos para bloquear aquellas IP sospechosas de atacar nuestro servicio RDP.
Guía de instalación de IPBAN
Si necesitas información detallada sobre cómo instalar este programa podéis hacer clic en este enlace para ver nuestro tutorial de instalación.