Servidors propis per oferir des de hosting de dominis fins a externalització de servidors

Et descubrim els avantatges del núvol

Registra el teu domini

VPN: la única manera segura d'utilitzar la Connexió a Escriptori Remot

Connectar-se a l'ordinador de la oficina, o el de casa, des de qualsevol lloc

Conectar a Escritorio Remoto

Cada vegada més clients gaudeixen dels avantatges del teletreball.
Connectar-se a l'ordinador de la oficina des de casa o a l'inreves, per a consultar fitxers o per a obrir els programes de gestió sense ser-hi presencialment, permet optimitzar el temps, i estalviar desplaçaments i combustible. Per aquest motiu, és un dels sistemes més sol·licitats i valorats darrerament.

La millor tecnologia que existeix per fer a dur a terme aquesta tasca, amb molta diferència és la Connexió a Escriptori Remot de Microsoft, o RDP.



L'RDP funciona molt millor que d'altres opcions con TeamViewer, és multiusuari, i teóricament gratuïta. Aquesta tecnologia ve de serie amb el Windows i no requereix de programari addicional, però des de fa molts anys, no deixen d'aparèixer forats de seguretat que també la fan extremadament vulnerable, i per tant, sota cap concepte es pot activar l'accés a un ordinador des de l'exterior per RDP, sense prendre tota una llarga llista de mesures de seguretat adicionals, i la més important d'aquestes mesures és implementar una VPN.

 

El perill de l'RDP

Fer que un ordinador sigui accessible des de l'exterior de la oficina, és, per definició, un risc de seguretat, ja que la porta que es deixa oberta per tal de poder-hi entrar, pot ser aprofitada per a fer-ne un us indegut. Repetidament els hackers troben maneres de piratejar aquestes connexions. Tot i els esforços de Microsoft per fer que aquesta sigui una tecnologia segura, constantment es publiquen informacions relacionades amb petites vulnerabilitats, que, combinades amb certes tècniques de pirateig, fan possible que els hackers accedeixin a aquests ordinadors sense permís. Una vegada tenen accés a l'ordinador, poden accedir a les contrasenyes dels usuaris, als seus fitxers, o el que és encara pitjor, poden infectar l'ordinador amb els temibles virus de tipus Cryptolocker.

 

El mes d'Octubre de 2019, la cosa es complica encara més

Durant les primeres setmanes del mes d'octubre de 2019, aquest risc s'ha fet totalment evident: El virus EMOTET, que aprovita una de les darreres vulnerabilitats del RDP descobertes anomenada BlueKeep, ha permés als hackers encriptar els servidors de moltíssimes empreses i organismes oficials. Per exemple, l'Ajuntament de Jerez ha hagut d'estar una setmana tancat, l'Ajuntament de Lloret 5 dies, la cadena SER ha passat una setmana amb totes les delegacions tancades, etc...

 

Com ataquen?

data encrypted

Les infeccions funcionen així:

1. Els pirates és dediquen a escanejar milions d'adreces d'internet buscant ordinadors que tinguin activat l'RDP.

2. Un cop localitzen un d'aquests ordinadors, una combinació de tècniques de hacking els permet obtenir una llista dels usuaris existents en l'ordinador.

3. A partir d'aquest moment, el hacker intentarà, mitjançant atacs de força bruta, endevinar el password d'algun d'aquests usuaris. Les tècniques d'enginyeria inversa i les bases de dades de passwords robats d'altres fonts, els permeten tenir èxit en un percentatge relativament alt de les ocasions.

4. Un cop dins de l'ordinador, encripten tots els fitxers (en ocasions també les copies de seguretat o altres ordinadors de la xarxa), i demanen un rescat.

Tot i conèixer la manera com solen entrar els pirates, mai es pot subestimar la seva capacitat per a trobar noves tècniques i explotar noves vulnerabilitats desconegudes. Un exemple esgarrifós el va publicar el famós hacker espanyol Chema Alonso, i explica com és possible apoderar-se remotament de qualsevol connexió RDP, tal com podeu veure en aquest enllaç , i a dia d'avui, les vulnerabilitats que fan possible aquesta tècnica encara son presents en el sistema RDP.

El nostre equip de tècnics porta molt de temps implementant diversos sistemes de seguretat per protegir els ordinadors dels clients que necessiten les connexions remotes. S'han canviat els ports del sistema per a ocultar-los de mirades indiscretes, s'ha obligat a utilitzar passwords supersegurs, s'han implementat sistemes de bloqueig d'usuaris i d'adreces, s'han automatitzat les actualitzacions... però no és suficient, de tant en tant, un hacker troba la manera de saltar-se totes aquestes proteccions, i per això hem pres la decisió de tancar totes les connexions d'Escriptori Remot dels nostres clients, i instal·lar-los l'únic sistema de seguretat que al llarg dels anys s'ha demostrat segur, fiable i invulnerable a aquesta mena d'atacs: La Xarxa Privada Virtual, o VPN.  

 

 

La solució: implementar una VPN

vpn

Gràcies a aquest sistema, els ordinadors no queden exposat a directament a internet. En lloc d'això, la persona que es vol connectar ha d'executar un petit programa en el seu ordinador. Aquest programa estableix una connexió directa (anomenada Tunnel) amb l'ordinador de la oficina. Aquesta mena de connexió és extremadament segura, la informació que viatja a traves d'ella està encriptada i per tant queda oculta a possibles espionatges. Com que per establir la connexió es requereix d'un certificat de seguretat, un usuari, i un password segurs, el nivell de seguretat és altíssim. Si qualsevol d'aquests 3 factors falla, la connexió no es pot establir.

L'alt nivell de protecció que ofereix, la fa relativament complicada d'implementar que una senzilla connexió a RDP, tot i això, els esdeveniments l'han convertida en una solució totalment imprescindible.

A continuació podreu veure un vídeo on ens mostra d'una manera molt visual què és una VPN i com funciona:

 

 

Avantatges d'una VPN

vpn 1Aquests són alguns dels avantatges que podrem gaudir al treballar dins una xarxa VPN:

  • Es conecta i desconecta fàcilment. Un cop instal·lat el servei es pot activar o desactivar amb un sol clic. 
  • Oculta l'activitat al teu proveïdor d'Internet. Amb una VPN evites que el teu proveïdor d'Internet conegui la teva activitat a la xarxa. D'aquesta manera pots tenir el teu historial de navegació totalment segur.
  • Accés remot segur a la teva oficina. Amb una VPN evitarem haver d'obrir ports per poder fer servir la connexió a escriptori remot de Windows.
  • Evita ser hackejat. A través d'una VPN la nostra adreça queda amagada i això evita possibles atacs de hackers ja que rebran una adreça falsa.

 

 

Existeixen alternatives?

Si busquem alternatives de sistemes de connexió remotes en trobarem un munt però totes les que ens poden donar un mínim de garanties de seguretat són de pagament. Un dels sistemes més coneguts és el Team Viewer el qual et permet conectar de manera remota a qualsevol equip.

El problema que solen tenir aquestes alternatives és que o be son molt més cares o et limiten el nombre d'usuaris que poden estar treballant a la vegada sense haber d'invertir més diners. Teamviewer per exemple et cobraría 27,90€ mensuals i només podries conectar a un equip i un sol usuari.

 

InFoAL VPN

imagesAmb aquest servei VPN configurat, disposaràs d'una connexió remota totalment segura per a qualsevol aparell (Windows, Mac, Android) i amb el número d'usuaris que necessitis. A més podràs disposar d'un accés directe a les carpetes de documents del servidor, així com d'accés a diversos ordinadors dins de la mateixa xarxa.

El preu del servei de VPN que ofereix InFoAL inclou:

- clients i servidors il·limitats
- configuració dels clients que vulguin accedir a la xarxa VPN, en Windows o Mac
- configuració dels servidors als que es vulgui accedir remotament
- gestió dels usuaris, passwords i permisos d'accés
- gestió del certificat de seguretat SSL
- monitorització del sistema
- bloqueig de intrusions
- actualitzacions del programari tant del client com del servidor


Preu del servei: 8 €. mensuals + iva

 

Implementarem en el servidor que ha de ser accessible des d'internet, una llarga llista de mesures de seguretat, amb l'objectiu d'impedir possibles intrusions des de l'exterior:

  • Només es recomana l'activació de l'accés extern a ordinador que tinguin Winddows 8.1, Windows 10, Windows 2012 R2 o Windows 2016. Els Windows més antics no disposen d'algunes mesures de seguretat imprescindibles.
  • Tots i cadascun dels usuaris del servidor han de tenir password extremadament llargs i segurs
  • Cal desactivar la compatibilitat amb sistemes de RDP antics
  • Cal desactivar protocols vulnerables com SMB 1.0
  • Cal bloquejar cualsevol por innecessari en el firewall
  • Cal desactivar l'usuari administrador
  • Cal implementar el bloqueig d'usuaris per intents de login fallits
  • Cal implementar el bloqueig de IPs automàtic en el firewall
  • Cal activar les actualitzacions automàtiques de Windows
  • Cal activar l'antivirus
  • Cal implemetar un sistema de copies de seguretat que no estigui permanentment connectat al servidor (ja que els cryptolockers encripten tots els discs conectats en cas d'infecció)

Si no es compta amb totes aquestes mesures de seguretat, no es recomana implementar cap sistema que permeti la connexió des de l'exterior.

 

 

caenfrderues