Ir al contenido
Únase a Censys para un taller de caza de amenazas y una hora feliz. | 17 de abril en City Winery en Filadelfia | Inscríbase ahora
Blogs

Búsqueda y supervisión de RDP y VNC con Censys

Durante las vacaciones, añadimos datos para el protocolo de escritorio remoto (RDP) y la informática de red virtual (VNC) a Censys. Ahora puede buscar cualquier cliente RDP o VNC que esté en línea y vinculado a su organización y asegurarse de que está bloqueado adecuadamente. Estas instancias de escritorio remoto son básicamente una puerta de entrada a su organización y es esencial que requieran credenciales de usuario sólidas y medidas de autenticación para protegerlas del acceso de usuarios no autorizados.

Hay bastantes ataques conocidos en los que actores maliciosos utilizan RDP para obtener acceso, la mayoría de las veces encontrando y utilizando credenciales de inicio de sesión y expandiendo su acceso a través de la organización o secuestrando una sesión de cuenta altamente privilegiada. Mitre.org ha elaborado una buena lista de algunos de estos ataques conocidos y proporciona algunos consejos para mitigarlos. Nuestras técnicas básicas de protección RDP y VNC se encuentran al final de este artículo.

Búsqueda de servidores RDP y VNC en Censys

Así que, ponte a buscar en Censys para encontrar todos tus servidores RDP y VNC y asegúrate de que no eres un blanco fácil para los atacantes. En Censys, RDP es el puerto 3389 y VNC está en los puertos 5900-5903.

El siguiente paso es revisar cada uno de estos servidores y asegurarte de que sigues las mejores prácticas para servidores RDP y VNC. Si encuentras algo que esté abierto y sin usar o que no sea seguro, asegúralo inmediatamente o desconéctalo para evitar accesos no autorizados.

Las mejores prácticas para asegurar los servidores RDP y VNC incluyen:

  • Exigir una autenticación fuerte en el servidor (nombre de usuario y contraseña única y fuerte más autenticación de dos factores).
  • Restrinja el acceso a servidores VNC y RDP a su VPN
  • Minimizar quién tiene acceso administrativo
  • Aplicar políticas de bloqueo tras intentos fallidos de inicio de sesión
  • Utilizar la autenticación a nivel de red, si está disponible (sólo RDP)
  • Aproveche las pasarelas RDP para reducir el número de puntos de entrada accesibles desde Internet.
  • Utilizar cortafuegos para bloquear regiones o usuarios que cumplan determinados criterios "de riesgo".
  • Como siempre, asegúrese de que su servidor RDP y VNC y el software cliente están parcheados y actualizados.

Si buscas más consejos como estos, no pierdas de vista nuestro blog y suscríbete a nuestro Twitter @censysio.

Soluciones de gestión de la superficie de ataque
Más información