Asegurando tráfico RDP/Terminal Services

Si necesitamos asegurar nuestro tráfico RDP podemos hacerlo mediante cifrado y la implementación de TLS (Transport Layer Security) mediante la emisión de un certificado digital.


 


Pre-requisitos en el lado del SERVIDOR:


 



  • El servidor debe correr Windows Server 2003 SP1.

 



  • Debemos de tener un certificado digital (compatible SSL X.509) para emitir.

 


Pre-requisitos en el lado del CLIENTE


 



  • El cliente debe correr Windows 2000, XP o Vista.

 



  • Para 2000 y XP los clientes de RDC deben ser actualizados a la versión RDP 5.2 (especificamente 5.2.3790.1830 – debido a que esta versión fué la que empezó durante la fase de negociación a solicitar comunicación segura), dicho cliente se encuentra ubicado en el siguiente directorio dentro de nuestro Windows Server 2003 SP1 %systemdrive%system32clientstsclientwin32msrdpcli.msi

 



  • El cliente debe confiar en la CA.

 


Para el siguiente escenario tnemos una maquina cliente llamada client.contoso.com y un servidor llamado server.contoso.com el cual corre Windows Server 2003 SP1, ambas máquinas corren en modo stand alone; en server.contoso.com tenemos instalada una Certificate Authority, en la cúal ya tenemos hemos instalado un certificado.


 


Para que TLS funcione correctamente, debemos ir a Administrative Tools / Terminal Servicies Configuration, dale doble click a RDP-Tcp y darle click al boton EDIT que se encuentra al lado de la opción de certificado dentro de la pestaña GENERAL y seleccionamos el certificado que vamos a querer asociar a TS.


 


rdp1


 


rdp2


 


Siguiendo en la pestaña GENERAL, seleccionamos SSL como security layer (de esta manera estamos asegurando lo que el servidor va a requerir para quienes se conecten); en encryption level, tenemos:


 



  • Client Compatible: esa opción va a hacer uso  del más alto nivel de cifrado que el CLIENTE soporte.

 



  • High: refuerza el nivel más alto de cifrado que el SERVIDOR soporte.

 



  • FIPS (Federal Information Processing Standard): hace uso de los algoritmos  de cifrado FIPS.

 


PODEMOS SELECCIONAR HIGH  Y FIPS, con cualquiera de los dos funciona, ya es nuestra decisión.


 


Ahora vamos al lado del CLIENTE, lo primero que debemos hacer es que el cliente confie en la CA.


Para eso en el cliente vamos http://server.contoso.com/certsrv/ y le damos click a Download a CA certificate, certificate chain, or CRL.


 


rdp3


 


Seleccionamos Install this CA certificate chain


 


rdp4


 


Le damos click a YES


rdp5


 


Le damos click a YES


rdp6


 


En este punto ya podemos cerrar el navegador en la maquina CLIENTE


rdp7


 


Nos aseguramos de haber desplegado en nuestras maquinas 2000 y XP el cliente RDC 5.2 (v5.2.3790.1830).


 


Abrimos RDC le damos un click a options y en security seleccionamos que require authentication.


rdp8


 


Le damos click en la pestaña GENERAL, y aquí es importante escribir el el nombre FQDN del servidor al que nos vamos a conectar (es importante escribir el nombre FQDN debido a que es la información que se encuentra en el certificado digital).


 


rdp9


 


Cuando vayamos a conectarnos recibiremos el siguiente prompt:


rdp10


 


Le damos click a VIEW CERTIFICATE


rdp11


 


Luego click sobre INSTALL CERTIFICATE y seguimos las instrucciones:


rdp11


 Le damos click a NEXT


rdp12


Le damos click a NEXT


 rdp13


Le damos click a FINISH


 rdp14


 Le damos click a YES


rdp15


 Le damos click a OK


rdp16


Le damos click a OK


rdp10


 


Ya que tenemos todo configurado, volvemos a intentar conectarnos (recuerden usar el nombre FQDN):


 


rdp9


 


Ahora hemos logrado establecer una conexión RDP segura/cifrada del cliente al servidor (podemos ver el candado en el menú y si le damos click podemos ver la información del certificado).


 


rdp17


 


Si el entorno es coporativo podemos hacer uso de GPO’s para la automatización de muchas de estas configuraciones, si este no es el caso, podemos crear un archivo *.rdp con las configuraciones deseas, incluyendo el nivel de seguridad, para luego así distribuirlo y conectarnos a través de este.


 


Espero esta información les sea útil.


 


Saludos!

Un comentario en “Asegurando tráfico RDP/Terminal Services”

  1. Consulta: Que nivel de seguridad estaría utilizando? es decir, basta con saber la ip de mi servidor para poder accesar a él. En mi empresa no puedo hacer que el acceso a mis servidores sea de determinadas IPs públicas ya que nos conectamos desde todos lados del Perú y en ocasiones no contamos con IP pública para efectuar la conexión. Que me recomiendan? Los certificados digitales me servirán? Hay forma de ver todas las PCs que descargaron e instalaron el certificado digital? Puedo asociar el que solo descarguen este certificado mis clientes con determinadas direcciones MAC?. (El servidor que publico es el de aplicaciones)

    Please. De poder ayudarme escribeme a djmakdi@gmail.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *