On the way to Virtualization

El concepto es tan sencillo como genial. Una solución robusta y económica cuya única pretensión es securizar o tunelizar, el protocolo RDP y su puerto 3389.

Lo más sorprendente…  que siga siendo «El gran desconocido», sobre todo cuando invertimos en tunelizar toda una red, con otras soluciones, a veces de forma innecesaria si empleáramos RDG o Puerta de enlace de Escritorio Remoto.

RDG, es un servicio de rol que permite a los usuarios remotos autorizados conectarse a los recursos de una red privada, desde cualquier dispositivo conectado a Internet que pueda ejecutar un cliente de Conexión a Escritorio remoto (RDC).

¿Cómo funciona?

Publicamos un Web Site y desde un cliente RDP estableceremos un canal SSL con nuestro sistema de balanceo, el que sea, por ejemplo, un F5, a través de nuestro Web Site y este a su vez se hablará con el RD Gateway, para tunelizar el puerto 3389 de RDP en un canal seguro.

Para que todo esto funcione la gracia está en que las root CAs que emiten los certificados de los extremos servidor estén dados de alta como CAs de confianza en los extremos clientes, es por eso que los certificados en el RD Gateway y en los servidores a los que nos conectaremos, se sugiere tengan un certificado valido para SSL (Server Authentication) que esté firmado por una CA pública (DigiCert) que los sistemas Windows reconocen.

RDG usa el Protocolo de escritorio remoto (RDP) sobre HTTPS para establecer una conexión cifrada y segura entre usuarios remotos en Internet y los recursos de red interna en los que se ejecutan sus aplicaciones de productividad.

Antes de esta versión de Windows Server, las medidas de seguridad impedían que los usuarios remotos se conectaran a recursos de la red interna a través de firewalls y NAT. Esto se debe a que el puerto 3389, el puerto usado para las conexiones RDP, suele estar bloqueado por razones de seguridad de la red.

La Puerta de enlace de Escritorio remoto transmite en su lugar el tráfico de RDP al puerto 443, usando un túnel HTTP de Seguridad de la capa de transporte/Capa de sockets seguros (SSL/TLS). Dado que la mayoría de las corporaciones abren el puerto 443 para permitir la conectividad desde Internet, la Puerta de enlace de Escritorio remoto aprovecha este diseño de red para proporcionar conectividad de acceso remoto a través de múltiples firewalls.

¿Qué ventajas aporta RDG?

• La Puerta de enlace de Escritorio remoto permite a los usuarios remotos conectarse a recursos de una red interna a través de Internet mediante una conexión cifrada, sin necesidad de configurar conexiones de VPN.
• Un modelo de configuración de seguridad completo para controlar el acceso a recursos de red interna específicos y una conexión RDP punto a punto, en lugar de permitir a los usuarios remotos acceso a todos los recursos de la red interna.
• RDG permite a la mayoría de los usuarios remotos conectarse a recursos de la red interna que están hospedados detrás de firewalls en redes privadas, atravesando NAT. Y además con RDG no tenemos que realizar una configuración adicional para el servidor de RDG o los clientes para este entorno.
• La Administrador de RDG permite configurar directivas de autorización para definir las condiciones que deben cumplirse para que los usuarios puedan conectarse a recursos de la red interna. Por ejemplo:
  • Quién puede conectarse a recursos de la red interna (es decir, los grupos de usuarios que pueden conectarse).
  • A qué recursos de la red (grupos de equipos) pueden conectarse los usuarios.
  • Si los equipos cliente deben ser miembros de grupos de seguridad de Active Directory.
  • Si se permite la redirección de dispositivos.
  • Si los clientes deben usar autenticación con tarjeta inteligente o autenticación con contraseña, o si pueden usar cualquiera de estos métodos.
• Si nos decidimos a instalar, no olvidemos de añadir IIS para que funcione la característica Proxy RPC sobre HTTP.