Corel adquiere Awingu para acelerar su oferta de espacio de trabajo remoto seguro. Leer más

MFA en RDP: ¿cuáles son las opciones?

¿Qué es el protocolo de escritorio remoto y por qué hay que protegerlo?

RDP (Remote Desktop Protocol) es una de las tecnologías más utilizadas para acceder a aplicaciones o escritorios basados en servidores y para permitir el acceso remoto de los usuarios. El Acceso Web Remoto Desktop es un protocolo de comunicaciones de red seguro desarrollado por Microsoft que proporciona acceso a las aplicaciones (RemoteApp) que se ejecutan en un Servidor de Terminal sin ninguna conexión VPN.

Desgraciadamente, el uso de RDP en sus formas más simples es un enorme riesgo para la seguridad. El NCSC (Centro Nacional de Ciberseguridad) del Reino Unido ha identificado que el RDP sin protección es la razón #1 de los ataques de ransomware. Y estas payasadas pueden tener lugar muy, muy rápido cuando sólo se utilizan contraseñas sin más medidas de seguridad...

Un experimento de "honeypot" de la Unidad 42 en el verano de 2021 descubrió que 80% (¡!) de sus configuraciones de escritorio remoto sin protección fueron hackeadas en 24 horas. Ouch. Y estos ataques no son aislados: por término medio, los entornos RDP del honeypot son atacados cada 11 horas.

Está claro que la necesidad de crear más medidas de seguridad es alta, sin complicar la configuración para los administradores y la experiencia de inicio de sesión para los usuarios finales.

Captura de pantalla de la activación de RDP.
RDP es una forma sólida de acceder a un ordenador remoto. Sin embargo, sin protección o "desnudo", se convierte en un enorme problema de ciberseguridad.

¿Qué es la autenticación multifactorial y cómo funciona?

Una de las recomendaciones para proteger el entorno de Remote Desktop de ser hackeado y garantizar la máxima seguridad es añadir la autenticación multifactor (MFA). Tenga en cuenta que esta es una de las recomendaciones, pero no la única. Sin embargo, es una que debería estar de hecho en la política global de toda empresa.

La autenticación multifactorial es un método de autenticación seguro que, en lugar de pedir sólo un nombre de usuario y una contraseña, requiere que los usuarios proporcionen más factores de verificación, como una clave de seguridad. Sólo entonces los usuarios pueden iniciar sesión y acceder a los recursos que desean utilizar.

Un ejemplo es utilizar algo que conoces (contraseña) y algo que tienes (código de acceso único generado en una aplicación de autenticación en tu teléfono móvil como clave de seguridad) para iniciar sesión. Otra verificación podría ser utilizar algo que "eres", como tu huella dactilar o tu cara.

En el caso de la autenticación de múltiples factores, los usuarios necesitan verificarse con credenciales de al menos dos o más de tres factores diferentes, mientras que hablamos de autenticación de dos factores (2FA) cuando los usuarios sólo necesitan dos credenciales para acceder.

Sólo podemos insistir en que es realmente importante tener configurada al menos la autenticación de dos factores, ya que el uso exclusivo de contraseñas puede hacer que la red de su empresa sea vulnerable.

¿Cómo habilitar MFA para RDP?

Se podría pensar que el hecho de que muchas empresas no estén utilizando la autenticación multifactor como una capa adicional sobre el RDP hoy en día es porque hay una falta de soluciones. Sin embargo, es todo lo contrario: el número de opciones en el espacio MFA para asegurar su acceso es tan abundante como hay peces en el océano. En Awingu, también proporcionamos capacidades integradas de autenticación de dos factores como parte del producto desde el primer día.

El objetivo de este artículo es estructurar las opciones de solución de la AFM. Añadiremos algunas soluciones de proveedores específicos, pero hay que tener en cuenta que hay muchos actores en este ámbito. En lugar de comparar proveedores, examinaremos la arquitectura, la complejidad de la configuración y los elementos de coste en juego.

En este blog no estamos haciendo ningún análisis (o juicio) sobre qué generación de tokens AMF es mejor que otraPor ejemplo, ¿es el SMS como token tan seguro como un token basado en el tiempo generado en un teléfono?

¿Cuáles son las opciones del AMF?

En el nivel más alto, se puede añadir la autenticación multifactor encima de RDP utilizando:

  1. Un proveedor/producto de autenticación multifactor como Duo Security, OKTA MFA, ... y muchos más;

  2. Uso de un proveedor de identidades (IdP) externo y los servicios MFA vinculados a este IdP. En concreto, nos fijamos en Azure Active Directory de Microsoft y en el servicio Azure MFA vinculado;

  3. Utilizar una VPN (supongamos que con una autenticación basada en MFA) antes de permitir el acceso al servicio RDP. Seguiría siendo una buena práctica añadir al menos una autenticación de dos factores además de la conexión de escritorio remoto;

  4. Autenticación basada en certificados en el que el certificado hace las veces del segundo factor;

  5. Awinguuna solución de acceso remoto basada en un navegador que hace que las aplicaciones/escritorios basados en RDP estén disponibles en HTML5 (en cualquier navegador). Awingu viene incorporado con opciones MFA y permite combinaciones con (1) productos de autenticación multifactor de terceros y (2) proveedores de identidad (IdP).

Se comparan las posibilidades de autenticación multifactor en varios niveles.

En esta comparación, hemos distinguido entre (a) los despliegues de escritorio remoto que aprovechan el cliente RDP para lanzar los servicios RDP y (b) los despliegues con el Gateway Desktop remoto. Esta última es una aplicación web que permite lanzar servicios RDP desde el navegador y desde ahí abrir un archivo de configuración que empujará al cliente RDP instalado localmente en el dispositivo a abrirse. La ventaja de utilizar un Gateway Desktop remoto es que sólo se abre el puerto 443 (https). La opción (a) requiere abrir el puerto 3389 para uso externo, lo que no es posible desde el punto de vista de la seguridad.

Para completar la información: Awingu no requiere el uso de Remote Desktop Gateway. Se conecta a través del Protocolo Desktop Remoto a los hosts de Sesión RD (servidor de escritorio) y luego actúa como una Pasarela HTML5, haciendo que todas las sesiones estén disponibles en https en el navegador (utilizando sólo el puerto 443). RDP como tal no está disponible externamente. Aunque Awingu sustituye la necesidad de RD Gateway, en realidad ofrece mucho más.

¿Cómo comparar las soluciones de autenticación multifactor?

Atrévase a comparar... aunque le parezca un poco como comparar manzanas con naranjas. Hemos intentado llegar con una perspectiva:

  • ComplejidadCuanto más complejas sean las configuraciones, más posibilidades habrá de fracasar y más tiempo se necesitará;

  • Coste¿Cuáles son los diferentes elementos que hay que comprar o instalar (por ejemplo, la infraestructura de consumo)?

  • Acceso a cualquier dispositivoEsto podría ser relevante cuando, por ejemplo, permita el BYOD a sus usuarios, o cuando tenga usuarios externos (como contratistas) que necesiten conectarse a la red de su empresa para acceder a sus servicios de protocolo de escritorios remotos;

  • Evaluación del riesgo relativo: el más complicado de todos. Por un lado, porque el despliegue (correcto) en sí mismo juega un papel importante. Y por dos, porque hay diferencias dentro de cada categoría (para las que estamos haciendo una abstracción total).

Tabla con una visión general de las distintas soluciones y su comparación.
Visión general de los distintos tipos de soluciones y su comparación.

¿Cómo habilitar MFA con RDP usando Awingu?

¿Qué es Awingu?

Awingu es no es un producto de autenticación de dos factores. Si le preguntas a Gartner, Awingu es un espacio de trabajo unificado que puede utilizar para ofrecer a los usuarios un acceso remoto seguro. Agrega diferentes aplicaciones, escritorios y servidores de archivos y los pone a disposición de los usuarios (con posibilidad de inicio de sesión único) en el navegador a través de su 'RDP-to-HTML5' gateway.

Pueden ser servicios remotos Desktop, pero también pueden ser aplicaciones web (que aprovechan el proxy inverso de Awingu). Tener todas las aplicaciones disponibles en un navegador es realmente conveniente: no hay datos locales en el dispositivo, y los usuarios pueden trabajar desde cualquier dispositivo (sea cual sea el factor de forma).

Captura de pantalla del espacio de trabajo de Awingu.
Captura de pantalla del espacio de trabajo de Awingu 5.0: Cuando los usuarios se conectan y acceden al espacio de trabajo, pueden obtener una visión general de sus aplicaciones y sus archivos.

Esto significa que puedes configurar y utilizar fácilmente Awingu para proporcionar un acceso seguro a tus empleados y contratistas externos, de modo que puedan acceder a todos los recursos de la empresa para trabajar desde cualquier lugar. Por supuesto, puedes habilitar capacidades de seguridad adicionales para restringir este acceso en determinados contextos cuando sea necesario, por ejemplo. Esto puede configurarse fácilmente en los ajustes.

¿Puedo añadir la autenticación multifactor a RDP con Awingu?

Sí, porque además de ofrecer un 'gateway' seguro, Awingu realmente añade un montón de 'Zero Trust' capacidades de seguridad disponibles para el administrador en la configuración avanzada.

Especialmente en entornos de protocolo de escritorio remoto típicamente vulnerables, son muy interesantes porque todas las funciones de seguridad forman parte del mismo producto. Pueden ser activadas y gestionadas por el equipo de TI desde la misma consola de gestión de Awingu (a través de la Configuración del sistema de Awingu).

Resumen de las capacidades del Zero Trust de Awingu
Visión general de las capacidades del Zero Trust de Awingu de espacio de trabajo unificado.

Una de las características incorporadas es, de hecho, la autenticación multifactor. Awingu permitirá la generación de tokens basados en el tiempo (TOTP) y en el contador (HOTP). Esto significa que no tienes que comprar otra solución mfa para garantizar la autenticación segura de los usuarios cuando necesitan acceso.

¿Quiere que los usuarios finales que se conecten al espacio de trabajo utilicen la autenticación de dos factores antes de acceder? Esto es fácil de configurar para los administradores en los ajustes. Para los usuarios, la seguridad y la simplicidad son clave, por lo que no tienen que preocuparse por pasos difíciles. Simplemente pueden instalar una aplicación de autenticación en sus teléfonos, como Microsoft Authenticator o Google Authenticator. Después de verificar sus dispositivos con el código de verificación, estos pueden ser vistos como dispositivos recordados. Cuando los usuarios quieran volver a iniciar sesión en el espacio de trabajo más adelante, simplemente pueden utilizar su teléfono para obtener las contraseñas de una sola vez para la autenticación.

Si desea más opciones de token para el acceso seguro, entonces Awingu puede habilitar el uso de otros sistemas también (como los servicios basados en RADIUS, o la seguridad DUO, o los servicios basados en IdP como Azure Multi Factor Authentication o IdenProtect) para la autenticación segura. 

Otras capacidades de seguridad que puedes habilitar como administrador para asegurar el acceso son la grabación de la sesión, el control de uso granular, el conocimiento del contexto (sobre la ubicación geográfica o la dirección IP), ...

¿Es Awingu una solución sencilla?

¿Tienes curiosidad por saber qué es lo que les gusta a todos los clientes y socios de Awingu? Pues el hecho de que Awingu sea tan sencillo de configurar y gestionar para el acceso remoto. Esta sencillez se debe a la arquitectura: un simple dispositivo virtual que puede instalarse en tu cloud (infraestructura) de elección.

El Awingu Virtual Appliance actuará entonces como un gateway y se conectará utilizando protocolos estándar a tu back-end: Protocolo remoto Desktop (RDP), WebDAV, CiFS, ... Awingu no tiene ninguna base de datos de usuarios integrada y recurre al Directorio Activo o a un IDP externo para ello.

Visión general de la arquitectura simple de Awingu
La arquitectura de Awingu es realmente sencilla y no intrusiva para su infraestructura. La solución actúa como un gateway entre el dispositivo del usuario final y el back end de la empresa.

Esto significa que no es necesario instalar (o gestionar) nada extra en el back-end. Y también hacia el dispositivo del usuario final no hay nada que instalar. (*) Lo único que necesitan los usuarios es un navegador - (ya sea en un Chromebook, iPad, ordenador con Windows, ...) para acceder a todo lo que necesitan para trabajar. Por lo tanto, no hay una conexión directa o un túnel a la red corporativa.

(*) Es posible trabajar con tarjetas inteligentes en Awingu, pero en este caso el usuario tendrá que instalar el Awingu Remote Application Helper, pero esta es la única excepción.

Una vez autenticado en el espacio de trabajo, ya no es necesario añadir las credenciales de inicio de sesión y contraseña para acceder a las aplicaciones conectadas, los escritorios o los servidores de archivos, porque Awingu se encarga del "inicio de sesión único" con total seguridad.

Portada del Awingu Whitepaper sobre la seguridad del RDP

¿Quiere saber más sobre cómo Awingu añade capas de seguridad a su RDP?

Descargue nuestro libro blanco: "Más allá del RDP"

DESCARGE EL WHITEPAPER
Sobre el autor
plaza arnaud
Arnaud Marliere

Director de Ventas y Marketing

  • Un experimento de la Unidad 42: https://inf.news/en/science/577260735e9c3928aead881fd5e68275.html
Índice de contenidos
¿Quiere saber más sobre Awingu?
Este sitio web utiliza cookies. Lea nuestra transparencia política de cookies!