La mayoría de las personas usan RDP (Remote Desktop Protocol) porque es una de las formas más fáciles de administrar servidores Windows. Viene con clientes integrados en todos los escritorios Windows y está incluido en todas las versiones del sistema operativo para servidores. Pero, precisamente por su popularidad, también es uno de los blancos más frecuentes de ataques de fuerza bruta. Los hackers suelen utilizar computadoras comprometidas para intentar acceder a tus servidores mediante esta conexión y, aunque no lo logren, el gran volumen de intentos puede provocar inestabilidad y problemas de rendimiento en tus sistemas.
Aquí te compartimos algunos trucos para asegurar el acceso por RDP y minimizar el riesgo de este tipo de ataques en tu servidor VPS con Windows.
Usa una VPN
Esta es probablemente una de las maneras más fáciles y efectivas de proteger tu conexión RDP y tu sistema contra ataques maliciosos, y asegurar que cualquier información sensible permanezca protegida.
Cuando usas una Red Privada Virtual (VPN), tu conexión primero debe acceder a una red privada y segura que está cifrada y alojada fuera de tu servidor. Esto significa que no consume recursos del mismo. Una vez conectada, se te asigna una dirección IP privada, a través de la cual se conecta el RDP con tu servidor VPS Windows.
El sistema se configura para permitir únicamente conexiones desde esa IP asignada por la VPN y rechazar cualquier intento externo de otras direcciones. Además, todos los datos entrantes y salientes son cifrados, lo cual mejora aún más la seguridad.
Limita el puerto RDP mediante el Firewall (scoping)
De forma similar a la VPN, puedes aumentar la seguridad configurando el Firewall de Windows para limitar el acceso al puerto de RDP. Restringir el acceso a una o varias direcciones IP se conoce como “scoping” del puerto. Una vez configurado, tu servidor VPS con Windows no aceptará conexiones desde IPs que no estén dentro del alcance permitido. Esto también reduce el uso de recursos del servidor, ya que no necesita procesar intentos de conexión innecesarios.
Para configurar el scoping del Firewall de Windows, sigue estos pasos:
- Inicia sesión en tu servidor y accede al Firewall.
- Selecciona “Reglas de entrada”.
- Busca la regla que se llama “RDP”.
- Haz doble clic sobre ella y ve a la pestaña “Ámbito”.
- En la lista de IPs remotas permitidas, incluye tu dirección IP actual.
- Marca la opción “Estas direcciones IP”.
- Guarda los cambios.
Con esto, los usuarios no autorizados serán bloqueados desde el Firewall y ni siquiera alcanzarán tu sistema RDP.
Cambia el puerto por defecto del RDP
A veces no es posible limitar el acceso al puerto de RDP según la IP, por ejemplo, si uno de los desarrolladores se conecta desde una IP dinámica. En esos casos, una buena solución es cambiar el puerto por defecto de RDP.
Advertencia: antes de cambiar el puerto, asegúrate de abrir el nuevo número en el Firewall, o podrías quedar bloqueado fuera del servidor. Duplica la regla de Firewall actual de RDP y actualiza el número de puerto. Para cambiar el número del puerto RDP:
- Inicia sesión en el servidor y abre el editor de registro: escribe
regedit.exeen la barra de búsqueda. - Navega hasta:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp - Busca la clave llamada “PortNumber”.
- Cambia el valor de HEX a DEC.
- Introduce el número de puerto deseado y haz clic en “OK”.
- Cierra el registro y reinicia el servidor.
Ahora, sólo tienes que volver a conectarte a tu servidor VPS con Windows usando el nuevo número de puerto RDP. Como el puerto ha cambiado, los atacantes tendrán más dificultad para encontrar una vía de entrada por este protocolo.
Simplemente utilizando una VPN y haciendo estos ajustes en la conexión de Escritorio Remoto, puedes mejorar enormemente la seguridad de tu servidor. Esto no solo te protegerá de ataques de fuerza bruta, sino también de virus, malware y otras amenazas potenciales.
