En esta entrada del blog, vamos a centrarnos en la pasarela RD (Remote Desktop Gateway). Explicaremos qué es y en qué se diferencia de nuestro espacio de trabajo unificado Awingu.
¿Qué es la pasarela remota Desktop?
Definición de puerta de enlace remota Desktop
El Remote Desktop Gateway (RD Gateway en su forma abreviada) es un componente de Windows Server y de los Servicios Remotos Desktop. Es un rol que puede ser activado, de la misma manera que un RD Session Host o RD license manager. El Remote Desktop Gateway permite a los usuarios remotos lanzar el Remote Desktop Client desde un navegador (conexión encriptada), por lo que establece una conexión de escritorio remoto.
Los usuarios finales pueden navegar por una página web del lanzador (no lo llamamos "espacio de trabajo") a través de su navegador, desde donde se descarga un archivo .rdp al dispositivo donde se lanzará el cliente rdp.
¿Cómo se configura una pasarela remota Desktop?
RD Gateway se configura normalmente sobre el puerto 443 (con certificado SSL) y transporta el protocolo Remote Desktop en HTTPS. Esto se opone a un despliegue simple sin RD Gateway, donde no hay encapsulación https.
La siguiente imagen de alto nivel ilustra los principios de la configuración:
¿Cuáles son las ventajas de la pasarela Remote Desktop?
as mayores ventajas de RD Gateway son que no es necesario utilizar el puerto TCP 3389 para el acceso externo y que se proporciona al usuario una lista de aplicaciones/escritorios a los que puede acceder.
¿Cuáles son los riesgos del Gateway Desktop para el acceso remoto?
El uso del puerto 3389 por defecto para el acceso externo es un imán de ataques rdp para los hackers y realmente fácil de vulnerar (inyección de contraseña, fuerza bruta, ...). Con el uso de RD Gateway, se pone una aplicación web delante de los vulnerables Remote Desktop Service Hosts (RDSHs). Se utiliza el puerto TCP 443 y el flujo RDP del RDSH se encapsula en HTTPS. Las aplicaciones web son más difíciles de vulnerar que los despliegues del puerto 3389 de la vieja escuela: Más difícil, pero obviamente lejos de ser imposible.
Incluso si los usuarios lanzan sus aplicaciones/escritorios a través del navegador, la ejecución de las sesiones por sí mismas sigue requiriendo el uso del cliente RDP en el dispositivo. Una de las principales desventajas es que todavía hay una conexión RDP de extremo a extremo desde el punto final hasta el RDSH (incluso si la primera etapa está encapsulada en https). Esto significa que si el punto final se ve comprometido, el riesgo de obtener la exposición en el backend es muy real. Sin duda, los hackers intentarán acceder a través de estos endpoints.
¿Cómo comparar la pasarela Remote Desktop con Awingu?
Awingu se utiliza para el trabajo a distancia, pero realmente es un producto diferente a la pasarela Remote Desktop.
¿Qué es Awingu?
El espacio de trabajo unificado ofrece acceso remoto seguro a aplicaciones o escritorios basados en RDP, a servidores de archivos y a aplicaciones web. Ese acceso a los recursos de la red interna se ofrece en forma de un espacio de trabajo basado en el navegador, donde todos los servicios están disponibles (traducidos a HTML5) desde el navegador para su personal remoto. A partir de ahí, Awingu ofrece una rica solución llave en mano con un enfoque en la UX y la seguridad.
¿Cuáles son las similitudes entre RD Gateway y Awingu?
Empecemos por las pocas similitudes que existen entre las soluciones:
Awingu tiene un espacio de trabajo basado en el navegador (también lo tiene Remote Desktop Gateway con su lanzador web);
Awingu está disponible a través del puerto TCP 443 (también lo está la pasarela remota Desktop);
Awingu está instalado en una máquina virtual, normalmente en el mismo centro de datos que el back-end de Remote Desktop Service Host (RDSH) (sin embargo, hay una diferencia porque Awingu se entrega como un dispositivo virtual, no como una función de Windows Server como Remote Desktop Gateway)
¿Cuáles son las diferencias entre RD Gateway y Awingu?
- Awingu no utiliza el protocolo RDP como tal hacia el cliente. Se ofrece una experiencia 100% HTML5 en la que los RemoteApp (o los ordenadores de sobremesa y los escritorios virtuales) están disponibles en su totalidad en el navegador.
- No hay dependencia del Cliente de Protocolo Remoto Desktop (ni de otros clientes).
- Para evitar dudas: Awingu no utiliza la pasarela remota Desktop. Se conecta directamente con el RDSH utilizando RDP como protocolo.
- Como agregador de espacios de trabajo, Awingu también puede proporcionar un acceso de usuario remoto a los servidores de archivos (WebDAV o CIFS) y a las aplicaciones web (a través del proxy inverso incorporado de Awingu).
El espacio de trabajo de Awingu se ha construido pensando en la facilidad de uso, para el administrador y para los usuarios remotos (sí, incluso para las pequeñas empresas con equipos de TI más pequeños). Se apoya en capacidades como:
Trabajo rico en multimonitor
Compartir la sesión
Compartir archivos (similar a WeTransfer)
Impresión virtual (un motor de impresión PDF)
...
Como solución de seguridad llave en mano, Awingu se basa en Zero Trust principios con muchas capacidades incorporadas que puede utilizar como medidas seguras para proporcionar acceso remoto:
Autenticación de múltiples factores (además de utilizar las credenciales de los usuarios (*), los administradores de TI pueden habilitar la autenticación de dos factores en las conexiones remotas para los usuarios como una capa adicional para la seguridad)
(*) imponga el uso de contraseñas seguras y no permita que sus usuarios utilicen la misma contraseña.
Conexión encriptada con certificado SSL
Controles de uso granulares (defina fácilmente qué usuario o grupos de usuarios pueden acceder a qué aplicaciones en qué servidores concretos, pueden utilizar qué capacidades, ... y controle el acceso de esta manera)
Conocimiento del contexto (definir el contexto basado en la geolocalización o las direcciones IP de los usuarios o grupos de usuarios en los que se les permite acceder a aplicaciones o datos sensibles, ...)
Auditoría de uso y detección de anomalías
Grabación de sesiones (para saber qué ocurre durante las sesiones de trabajo a distancia en aplicaciones específicas o en general)
Capacidades ricas de SSO (Single Sign-On) - que no dependen de la bóveda de contraseñas - con proveedores de identidad externos como Azure AD, Okta y ForgeRock;
Para acceder al espacio de trabajo de Awingu, los usuarios finales no tienen que instalar nada en su dispositivo. Esto significa que sólo tienen una conexión segura a través de su navegador a los recursos de la red interna que necesitan. Awingu no es una red privada virtual (VPN), por lo que no se establece una conexión vpn. No hay conexión directa a la red de la empresa.
Si desea obtener más información sobre Awingu como capa de seguridad sobre RDP, descubra por qué la mayoría de las empresas confían en nuestra solución de espacio de trabajo unificado para permitir el trabajo remoto seguro en nuestro artículo técnico.
Descargue nuestro libro blanco: "Más allá del RDP"
DESCARGUE NUESTRO WHITEPAPER
Más allá del RDP
English 
Italian 
German 
Spanish 
French