Bezpieczny pulpit zdalny: konfiguracja, tunelowanie przez SSH i ograniczanie dostępu użytkowników

Przez
Dariusz Jasiński
-
0
35
4.5/5 - (2 votes)

Nawigacja:

Cel bezpiecznej konfiguracji pulpitu zdalnego

Osoba odpowiedzialna za infrastrukturę IT chce mieć możliwość wygodnego łączenia się z serwerami i stacjami roboczymi spoza biura, ale bez otwierania całej sieci na przypadkowy ruch z Internetu. Celem jest takie przygotowanie środowiska, by pulpit zdalny (RDP, VNC czy X11) działał stabilnie, był dostępny dla uprawnionych użytkowników, a jednocześnie był skutecznie chroniony przez tunel SSH, poprawną segmentację sieci i ograniczenia kont użytkowników.

Frazy pomocnicze: konfiguracja pulpitu zdalnego, bezpieczne tunelowanie SSH, RDP przez SSH, VNC przez SSH, hardening serwera SSH, uwierzytelnianie kluczem publicznym, ograniczanie dostępu użytkowników, bastion SSH, zdalna administracja serwerów, szyfrowanie połączeń zdalnych

Dlaczego bezpieczeństwo pulpitu zdalnego jest krytyczne

Typowe scenariusze użycia pulpitu zdalnego

Pulpit zdalny pojawia się wszędzie tam, gdzie trzeba „wejść” na maszynę tak, jakby stała pod biurkiem. Administrator systemu zarządza serwerami w serwerowni, helpdesk wspiera użytkowników w firmie i poza nią, a pracownicy korzystają z pracy zdalnej na komputerach w biurze z domu lub z podróży. W każdym z tych scenariuszy chodzi o zdalne sterowanie sesją graficzną lub terminalową w sposób możliwie płynny i bezpieczny.

RDP w środowisku Windows najczęściej służy administratorom do zdalnej administracji serwerów domenowych, kontrolerów domeny i serwerów aplikacyjnych. Takie hosty w naturalny sposób stają się celami numer jeden dla atakujących, bo przejęcie pulpitu zdalnego do kontrolera domeny oznacza pełną kontrolę nad siecią Windows. W firmach z dużą liczbą pracowników RDP bywa także używane jako główne narzędzie pracy – użytkownik łączy się z serwerem terminalowym, gdzie działają aplikacje biznesowe.

VNC i rozwiązania X11 spotyka się głównie w środowiskach linuksowych, zwłaszcza tam, gdzie celem jest zarządzanie serwerem z lekkim środowiskiem graficznym lub zdalne uruchamianie aplikacji X na lokalnym pulpicie. W mniejszych firmach bywa, że jeden serwer z VNC pełni rolę „wspólnego pulpitu” dla zespołu devopsów, testerów lub administratorów, którzy logują się tam przez SSH i tunel VNC. W takim układzie bezpieczeństwo serwera SSH staje się kluczowe dla całego środowiska.

Coraz częściej pojawiają się także rozwiązania webowe, gdzie pulpit zdalny dostępny jest przez przeglądarkę – na przykład z użyciem Apache Guacamole lub noVNC. Ułatwia to dostęp (wystarczy przeglądarka), jednocześnie zwiększając powierzchnię ataku – dochodzi dodatkowa warstwa aplikacyjna, którą trzeba utrzymywać, aktualizować i poprawnie konfigurować pod kątem uprawnień.

Główne wektory ataku na pulpit zdalny

Publicznie dostępne porty RDP, VNC czy alternatywnych protokołów są automatycznie skanowane przez boty i skanery sieci, często w ciągu minut od ich wystawienia do Internetu. Atakujący nie musi wiedzieć, że w danej firmie używa się RDP – skaner po prostu testuje standardowe porty (3389 dla RDP, 5900+ dla VNC) w dużych zakresach adresów i zapisuje hosty, które odpowiedziały. Następnie w ruch idą próby logowania.

Typowe ataki to:

  • brute force i słowniki haseł – ciągłe próby logowania z użyciem popularnych loginów (administrator, admin, user, test) oraz prostych haseł;
  • wykorzystywanie podatności protokołu lub implementacji – np. znane luki w RDP czy przestarzałych wersjach VNC, które pozwalają ominąć logowanie lub uzyskać dostęp z podwyższonymi uprawnieniami;
  • atak z wewnątrz sieci – niezadowolony pracownik lub zainfekowana stacja wewnątrz LAN-u, z którego porty RDP i VNC są dostępne bez ograniczeń;
  • ruch podszyty pod zdalne wsparcie – socjotechnika, w której napastnik przekonuje użytkownika, by ten uruchomił program do pulpitu zdalnego i sam dał dostęp.

Mit powtarzany przez wielu administratorów brzmi: „Nasz serwer RDP jest ukryty, nikt o nim nie wie”. Rzeczywistość jest inna – Internet jest skanowany non stop, a host z otwartym portem RDP lub VNC pojawi się w bazach skanerów w krótkim czasie. Ukrywanie się „po cichu” za domyślnym portem bez dodatkowych warstw zabezpieczeń jest dziś iluzją bezpieczeństwa.

Realne konsekwencje przejęcia pulpitu zdalnego

Przejęcie sesji RDP lub VNC to nie tylko „jedno z wielu zagrożeń”. Dla napastnika oznacza to w praktyce fizyczny dostęp do klawiatury i myszy komputera w firmie. Jeśli jest to serwer z uprawnieniami domenowymi albo stacja z otwartymi połączeniami do systemów finansowych, konsekwencje są dramatyczne.

Najbardziej typowy scenariusz w świecie Windows to ransomware. Bot lub operator, który przejął konto administratora przez RDP, może w kilkanaście minut zainstalować złośliwe oprogramowanie szyfrujące dane na serwerach plików, maszynach wirtualnych i stacjach roboczych. Dochodzi do tego kradzież danych – przed zaszyfrowaniem pliki są kopiowane na zewnętrzne serwery, a firma jest później szantażowana dodatkowo groźbą ich ujawnienia.

W środowiskach linuksowych przejęcie pulpitu zdalnego lub konta z uprawnieniami sudo może skończyć się instalacją backdoorów w usługach, podmianą plików konfiguracyjnych i pozostawieniem długotrwałej, trudnej do wykrycia obecności. Nawet jeśli szkody nie są od razu widoczne, kompromitacja serwera SSH lub VNC zwykle wymaga pełnego przeglądu systemów, rotacji kluczy i haseł oraz budowy nowego środowiska od zera.

Rzadziej mówi się o konsekwencjach dla prywatności użytkowników. Atakujący, który dostanie się na serwer terminalowy, widzi otwarte sesje użytkowników, ich dokumenty, skrzynki pocztowe i często okna komunikatorów. Z punktu widzenia informacji wrażliwych (HR, zarząd, kancelarie prawne) to prosta droga do ujawnienia poufnych treści.

Mit silnego hasła i rola warstw zabezpieczeń

Popularne przekonanie: „Na RDP mamy bardzo silne hasła, więc nic się nie stanie”. Takie podejście zakłada, że jedynym wektorem ataku jest zgadywanie hasła. Tymczasem w praktyce wykorzystuje się także błędy konfiguracyjne, znane podatności w samym protokole lub sterownikach, niewłaściwy dobór algorytmów szyfrowania oraz wycieki haseł z innych źródeł.

Bezpieczna konfiguracja pulpitu zdalnego opiera się na warstwach:

  • warstwa sieciowa – porty nie są wystawione publicznie, dostęp odbywa się przez VPN lub tunel SSH, ruch jest filtrowany przez firewall;
  • warstwa kryptograficzna – tunel szyfrowany silnymi algorytmami, preferencja uwierzytelniania kluczem publicznym zamiast hasła;
  • warstwa uprawnień – tylko wybrane konta mogą korzystać z pulpitu zdalnego, role użytkowników są oddzielone, brak pracy na koncie administratora do zadań biurowych;
  • warstwa monitoringu – logi logowania, alerty bezpieczeństwa, blokady po serii nieudanych prób.

Silne hasło jest jednym z elementów, ale samo w sobie nie zabezpieczy źle wystawionego portu RDP dostępnego z całego Internetu. Bardziej skuteczne jest połączenie: RDP dostępne wyłącznie lokalnie + tunel SSH z uwierzytelnianiem kluczem oraz twardą polityką haseł w systemie docelowym.

Balans między wygodą a bezpieczeństwem

Bezpieczeństwo zawsze coś kosztuje: dodatkowy krok logowania, konieczność użycia kluczy, czas poświęcony na konfigurację. Jednocześnie wiele elementów można zautomatyzować tak, by nie utrudniać codziennej pracy. Dobrym przykładem jest użycie agenta SSH z kluczem zabezpieczonym hasłem – użytkownik wpisuje passphrase raz na komputerze lokalnym, a potem tunel RDP czy VNC zestawia się jednym poleceniem lub kliknięciem w przygotowany skrót.

Rozbudowane rozwiązania typu VPN bywały kiedyś synonimem „ciężkiego” dostępu zdalnego, ale współczesne klienty potrafią łączyć się automatycznie, zaraz po starcie systemu, a polityki split-tunnelingu pozwalają ograniczyć ruch tylko do sieci firmowej. Tunel SSH można opakować w proste skrypty lub pliki konfiguracyjne, dzięki czemu użytkownik końcowy nie musi rozumieć szczegółów działania port forwarding.

Problem zaczyna się, gdy wygoda staje się jedynym kryterium: otwiera się RDP na świat, żeby „nie było problemu z tunelami”, dając uprawnienia wszystkim pracownikom domeny, ponieważ „tak jest prościej”. Taki kompromis kończy się zwykle źle – prędzej czy później ktoś wykorzysta słaby element. Dużo lepiej ustalić twarde zasady (np. brak publicznie dostępnego RDP, tylko bastion SSH lub VPN) i zainwestować godzinę w automatyzację niż potem tracić tygodnie na sprzątanie po incydencie.

Kobieta przy kilku monitorach w domowym biurze pracuje nad cyberbezpieczeństwem
Źródło: Pexels | Autor: cottonbro studio

Przegląd technologii pulpitu zdalnego i modeli architektury

Najpopularniejsze protokoły pulpitu zdalnego

Podstawą bezpiecznej konfiguracji jest rozumienie, co właściwie jest tunelowane przez SSH lub VPN. Najczęściej spotykane protokoły to:

  • RDP (Remote Desktop Protocol) – protokół Microsoftu, domyślne narzędzie w Windows Pro/Server (klient: mstsc). Dobrze zintegrowany z domeną, obsługuje przekierowanie dysków, drukarek, schowka, dźwięku.
  • VNC (Virtual Network Computing) – rodzina kompatybilnych protokołów opartych na przesyłaniu framebufferów. Popularne serwery: TigerVNC, TightVNC, RealVNC; klienci: vinagre, Remmina, UltraVNC. W oryginalnej formie nie zapewnia silnego szyfrowania.
  • X11 forwarding – mechanizm SSH pozwalający przekierować pojedyncze aplikacje X z hosta zdalnego na lokalny serwer X. Zamiast całego pulpitu można uruchomić np. tylko edytor tekstu czy przeglądarkę konfiguracji.
  • Rozwiązania webowe – warstwa HTTP(S) jako pośrednik do sesji RDP/VNC, np. Apache Guacamole, noVNC. Dostęp wymaga tylko przeglądarki, ale trzeba chronić zarówno serwer pośredniczący, jak i same protokoły docelowe.

Każdy z tych protokołów ma inne cechy. RDP oferuje dobrym poziom szyfrowania i integracji z AD, ale jest bardzo często celem ataków. VNC jest prosty i uniwersalny, jednak w klasycznej formie nie szyfruje całej komunikacji i musi polegać na dodatkowym tunelu (SSH, VPN). X11 forwarding jest wygodny dla adminów Linuksa, lecz średnio sprawdza się do pełnych sesji graficznych na łączach o wysokich opóźnieniach.

Narzędzia wbudowane a rozwiązania komercyjne

Administracja często korzysta z tego, co jest „pod ręką”: na Windows jest to mstsc, na Linuksie Remmina lub inne lekkie klienty. Narzędzia te działają w modelu bezpośredniego połączenia (host–host), co dobrze się wpisuje w tunel SSH lub VPN. Z perspektywy bezpieczeństwa są przewidywalne – znamy ich zachowanie, integrują się z systemowym magazynem certyfikatów i zazwyczaj nie wprowadzają dodatkowych, ukrytych zależności.

Rozwiązania komercyjne typu TeamViewer czy AnyDesk zyskały popularność dzięki prostocie: działają nawet za NAT-em, wymagają minimalnej konfiguracji po stronie użytkownika. Osiągają to jednak przez rozbudowaną infrastrukturę pośredniczącą – serwery producenta uczestniczą w procesie zestawiania połączenia, a w niektórych scenariuszach pośredniczą także w ruchu. Z punktu widzenia bezpieczeństwa oznacza to, że do łańcucha zaufania dochodzi zewnętrzny dostawca, a także dodatkowa aplikacja z własnym cyklem aktualizacji i potencjalnymi podatnościami.

Nie znaczy to, że narzędzia komercyjne są z definicji niebezpieczne. Problem pojawia się wtedy, gdy stanowią jedyne zabezpieczenie i są wykorzystywane jako stały kanał administracyjny do serwerów produkcyjnych. W takim zastosowaniu rozsądniej jest korzystać z protokołów systemowych (RDP/VNC/X11) tunelowanych przez SSH lub VPN, a narzędzia typu TeamViewer traktować jako awaryjną ścieżkę wsparcia użytkowników końcowych.

Bezpośrednie wystawienie portu, VPN czy tunel SSH

Architekturę zdalnego dostępu można z grubsza zbudować na trzy sposoby:

  • bezpośrednie wystawienie portu – otwarty port RDP/VNC na firewallu, ewentualnie ograniczony do wybranych adresów IP;
  • VPN – użytkownik najpierw łączy się z siecią firmową przez VPN, a następnie z tej sieci korzysta z RDP/VNC tak jak w biurze;
  • tunel SSH – użytkownik zestawia tunel portów przez SSH do bastionu lub docelowej maszyny, a RDP/VNC działa tak, jakby było lokalne.

Bezpośrednie wystawienie portu jest najprostsze, ale jednocześnie najbardziej ryzykowne. Nawet przy filtracji po IP port jest narażony na skanowanie i brute force, a błędy konfiguracyjne łatwo prowadzą do otwarcia usługi szerzej, niż planowano. Model VPN daje dużą elastyczność – po zestawieniu tunelu użytkownik widzi sieć firmową jak z biura – ale wymaga solidnej infrastruktury: serwerów VPN, certyfikatów, polityk dostępu.

Model bastionu i segmentacja dostępu

Najbezpieczniejsze wdrożenia zdalnego dostępu do środowisk produkcyjnych opierają się na bastionie (jump host). Zamiast łączyć się bezpośrednio z serwerami aplikacyjnymi czy bazami danych, użytkownik loguje się najpierw na specjalnie utwardzoną maszynę pośredniczącą, a dopiero stamtąd łączy się dalej, zwykle już wyłącznie po protokołach wewnętrznych.

Typowa ścieżka wygląda tak: laptop admina → tunel SSH/VPN do bastionu → RDP/VNC/X11 tylko z bastionu do serwerów w sieci wewnętrznej. Dla świata zewnętrznego widoczny jest jeden dobrze chroniony punkt wejścia zamiast kilkudziesięciu serwerów z własnym otwartym RDP.

Częsty mit: „Bastion to po prostu kolejny serwer z RDP/SSH, czyli dodatkowa komplikacja bez zysku”. W rzeczywistości bastion jest zwykle najmocniej kontrolowaną maszyną w całym środowisku – z restrykcyjnym firewallem, silną polityką logowania, dodatkowymi mechanizmami 2FA i dokładnym audytem. Zhakowanie pojedynczego serwera aplikacyjnego w strefie wewnętrznej jest dużo trudniejsze, jeśli nie można do niego podejść bezpośrednio z Internetu.

Dobrze zaprojektowany bastion ma kilka wspólnych cech:

  • brak zbędnych usług – tylko SSH/VPN oraz minimum narzędzi administracyjnych;
  • twarda segmentacja sieci – bastion widzi tylko konkretne podsieci serwerowe, nie całą infrastrukturę firmową;
  • odrębna polityka haseł i dostępu – inne grupy w AD, brak „wszyscy administratorzy domeny mają wszystko”;
  • podniesiony poziom monitoringu – pełne logowanie poleceń, sesji RDP, niestandardowe reguły wykrywania anomalii.

W mniejszych organizacjach rolę bastionu często pełni pojedyncza maszyna w DMZ z włączonym SSH i wyłączonym RDP od strony Internetu. Użytkownik najpierw zestawia tunel SSH do tej maszyny, a dopiero potem uruchamia klienta RDP wskazującego na localhost:port. W efekcie żaden z serwerów Windows nie musi mieć otwartego portu 3389 na zewnątrz.

Przygotowanie środowiska – systemy, porty i podstawowa higiena bezpieczeństwa

Minimalizacja powierzchni ataku

Zanim zacznie się tunelować RDP czy VNC, sensowne jest uporządkowanie podstaw: co faktycznie słucha na zewnątrz, co jest dostępne z jakich adresów i jakie systemy będą końcami połączeń. Prosta inwentaryzacja często ujawnia „dzikie” serwery testowe, stare instancje VNC czy tymczasowo otwarte porty, o których administracja dawno zapomniała.

Dobrą praktyką jest podejście odwrotne: wszystko jest domyślnie zamknięte, a otwiera się wyłącznie konkretne porty dla konkretnych adresów lub grup użytkowników. Do zdalnego pulpitu zwykle wystarczą:

  • port serwera VPN lub SSH (np. 443/TCP albo 22/TCP) od strony Internetu;
  • RDP (3389/TCP) tylko wewnątrz sieci firmowej, ewentualnie między bastionem a serwerami;
  • porty VNC (np. 5900–590x/TCP) również wyłącznie wewnątrz lub za SSH/VPN.

Mit, który często się pojawia: „Ukryjmy RDP na nietypowym porcie i problem znika”. Zmiana portu z 3389 na 3390 zmniejszy liczbę automatycznych skanów, ale nie jest żadnym realnym zabezpieczeniem. Skuteczne skanery i tak go znajdą, a prawdziwym zyskiem jest dopiero połączenie filtracji IP, tunelowania i silnego uwierzytelniania.

Aktualizacje, twarde konfiguracje i zasada najmniejszych uprawnień

Serwer, który ma być dostępny zdalnie, powinien być traktowany jak element infrastruktury o podwyższonym ryzyku. To tam często trafiają poświadczenia wielu użytkowników, tam pojawiają się narzędzia administracyjne, tam przechodzi duża część ruchu. Dlatego zestaw „higieniczny” obejmuje:

  • regularne aktualizacje systemu i klienta pulpitu zdalnego (RDP/VNC/SSH);
  • wyłączenie zbędnych usług (np. SMB od strony Internetu, stare wersje protokołów, nieużywane serwery WWW);
  • twardą politykę haseł i blokadę kont po serii nieudanych logowań;
  • wyłączenie lokalnych kont z domyślnymi nazwami (np. „Administrator” wystawiony na RDP);
  • zasadę najmniejszych uprawnień – do pulpitu zdalnego ma dostęp tylko to, co jest faktycznie potrzebne (konkretne grupy AD, wydzielone role).

W praktyce duży skok jakości daje samo rozdzielenie kont: inne konto do codziennej pracy biurowej, inne do zadań administracyjnych, jeszcze inne do sesji na serwerach produkcyjnych. Dzięki temu incydent na stacji roboczej użytkownika nie musi od razu oznaczać przejęcia całej domeny.

Logowanie i centralizacja informacji o zdarzeniach

Bez sensownego logowania nawet najlepsze zabezpieczenia stają się loterią. Serwer RDP/VNC/SSH powinien wysyłać kluczowe logi bezpieczeństwa do centralnego systemu (SIEM, syslog, Windows Event Forwarding). Interesują przede wszystkim:

  • udane i nieudane próby logowania (z adresami IP, nazwami użytkowników, czasem);
  • zmiany w konfiguracji usług zdalnego dostępu (włączenie/wyłączenie RDP, zmiana policy, nowe reguły firewall);
  • nietypowe wzorce – sesje o nietypowych godzinach, z niespodziewanych krajów, nagły wzrost prób logowania.

Na tym etapie pojawia się kolejny mit: „Jak coś się stanie, to przecież zobaczymy w logach”. Same logi nie wystarczą, jeśli nikt ich nie koreluje i nie przegląda. W małych firmach wystarczy prosta automatyzacja: skrypt, który raz dziennie generuje raport podejrzanych prób logowania lub system SIEM z kilkoma predefiniowanymi alertami. Kluczem jest szybkie wychwycenie anomalii, zanim atakujący zacznie się poruszać po wewnętrznej sieci.

Ekran laptopa z napisem Proxy provider w biurze specjalistów od cyberbezpieczeńs
Źródło: Pexels | Autor: Ed Webster

RDP w praktyce: konfiguracja i utwardzanie na Windows

Włączanie RDP w kontrolowany sposób

Na systemach Windows funkcja zdalnego pulpitu jest często włączana „na szybko”: zaznaczenie opcji w właściwościach systemu i otwarcie portu w firewallu. Taki scenariusz bywa wygodny w małych środowiskach, lecz w sieci firmowej powinien być zastąpiony konfiguracją przez GPO (Group Policy) i szablony bezpieczeństwa.

Podstawowe kroki przy wdrażaniu RDP na serwerach i stacjach roboczych:

  • włączenie RDP tylko na hostach, które realnie muszą go oferować (np. serwer terminali, wybrane stacje IT);
  • zdefiniowanie, które grupy AD mogą się logować przez RDP (np. „Remote Desktop Users – IT-Admin”, a nie „Domain Users”);
  • ograniczenie liczby jednoczesnych sesji i wyłączenie możliwości logowania na konto lokalnego administratora zdalnie;
  • wymuszenie użycia Network Level Authentication (NLA) – uwierzytelnienie zanim powstanie pełna sesja graficzna.

Mit: „W małej firmie nie warto bawić się w GPO, ręcznie będzie szybciej”. Ręczna konfiguracja jednego hosta jest rzeczywiście szybsza, ale przy kilku–kilkunastu maszynach praktycznie gwarantuje chaos. Politki GPO pozwalają w ciągu kilku minut poprawić bezpieczeństwo na całej grupie serwerów, a zmiana wymagań (np. dołożenie 2FA) nie wiąże się z bieganiem po każdym serwerze osobno.

Wymuszanie NLA, szyfrowania i poziomu zabezpieczeń

NLA to pierwsza bariera przed wieloma prostymi atakami na RDP. Bez NLA atakujący dostaje od razu ekran logowania, może próbować błędów w implementacji protokołu i generuje większe obciążenie serwera. Z NLA serwer najpierw wymaga poprawnego uwierzytelnienia na poziomie sieci, a dopiero potem buduje sesję graficzną.

Elementy, na które warto zwrócić uwagę w konfiguracji (lokalnie lub przez GPO):

  • wymuszenie NLA dla wszystkich połączeń;
  • umożliwienie tylko połączeń z użyciem dostatecznie silnego szyfrowania (TLS, wyłączenie starych protokołów);
  • ustawienie „Security layer: SSL (TLS 1.2)” zamiast „Negotiate” tam, gdzie to możliwe;
  • wyłączenie starych klientów RDP, które nie obsługują NLA i nowoczesnych szyfrów.

Na poziomie polityk można również wyłączyć zbędne przekierowania: drukarki, schowka, dysków lokalnych. Utrudnia to przenoszenie danych poza środowisko, zwłaszcza gdy serwer terminalowy przetwarza informacje szczególnie wrażliwe (np. dane HR czy finansowe).

Filtracja po adresach IP i integracja z firewallem

Oprócz samej konfiguracji RDP, krytyczny jest sposób publikacji usługi. RDP nie powinno być dostępne z całego Internetu. Nawet przy NLA i silnych hasłach niska ekspozycja zawsze działa na korzyść obrońcy. Typowe podejścia:

  • RDP dostępne tylko z podsieci VPN (adresy przydzielane przez serwer VPN);
  • reguły firewall na serwerach Windows ograniczające źródłowe IP (np. tylko podsieć administracyjna i bastion);
  • dodatkowe filtrowanie na poziomie firewalla brzegowego lub WAF, przy wykorzystaniu list kontroli dostępu.

W małych środowiskach prostym rozwiązaniem jest „białolistowanie” adresów IP administratorów lub stałych punktów dostępu. Trzeba jednak pamiętać o mobilności – przy pracy z hoteli czy sieci komórkowych dużo lepiej sprawdza się VPN lub SSH jako warstwa pośrednia niż ciągłe dopisywanie nowych IP do firewalla.

Ograniczanie funkcji w sesji RDP

RDP umożliwia wiele udogodnień, które z perspektywy bezpieczeństwa są mieczem obosiecznym. Mowa o przekierowaniu dysków, portów COM/LPT, dźwięku, schowka czy urządzeń Plug and Play. Tam, gdzie priorytetem jest minimalizacja ryzyka wycieku danych, sensowne jest wyłączenie większości z nich.

Przykładowa polityka dla serwera terminalowego, na którym użytkownicy uruchamiają aplikację finansowo-księgową:

  • przekierowanie schowka tylko dla określonych grup (np. dział raportowania, nie cały dział księgowości);
  • blokada przekierowania dysków lokalnych i napędów USB;
  • brak przekierowania drukarek (wydruki tylko na drukarkach sieciowych, które można audytować);
  • zakaz przechowywania danych na pulpicie i w „Moich dokumentach” na sesji terminalowej.

W efekcie nawet jeśli konto jednego z użytkowników zostanie przejęte, możliwości wyprowadzenia danych kanałem RDP są mocno utrudnione. Atakujący nie skopiuje ich jednym przeciągnięciem myszą na lokalny dysk.

VNC i alternatywy na Linuksie: bezpieczne wzorce konfiguracji

Klasyczne VNC – dlaczego wymaga tunelu

VNC w oryginalnej formie (RFB) był projektowany bardziej jako narzędzie wygodnego dostępu niż system wysokiego bezpieczeństwa. Wiele implementacji szyfruje co najwyżej etap uwierzytelniania, a sama sesja graficzna może być przesyłana w postaci łatwej do podsłuchania. Dochodzą do tego proste mechanizmy haseł (często krótkie, bez integracji z systemowym kontem).

Dlatego rozsądny schemat użycia VNC zakłada:

  • nasłuchiwanie serwera VNC wyłącznie na interfejsie lokalnym (127.0.0.1) lub w sieci wewnętrznej;
  • brak bezpośredniego wystawienia portów 5900+ na Internet;
  • korzystanie z tunelu SSH lub VPN jako warstwy szyfrującej i uwierzytelniającej;
  • silniejsze uwierzytelnianie (jeśli serwer VNC wspiera np. integrację z PAM/LDAP).

Mit brzmi: „Mam VNC w wersji Enterprise z opcją szyfrowania, więc nie potrzebuję SSH ani VPN”. Samo szyfrowanie połączenia to tylko część układanki. Nadal pozostaje kwestia filtracji dostępu, segmentacji sieci, centralnego uwierzytelniania oraz audytu, które klasyczny VNC często realizuje dużo słabiej niż SSH/VPN.

Tryb „headless” i sesje użytkowników

Na Linuksie VNC występuje w dwóch głównych wariantach:

  • VNC „do prawdziwego pulpitu” – podgląd fizycznej sesji X, tak jak widzi ją użytkownik przy monitorze;
  • VNC jako oddzielna sesja (headless) – każdy użytkownik ma własny wirtualny serwer X (np. :1, :2), niezależny od konsoli.

Druga opcja jest zwykle bezpieczniejsza i bardziej kontrolowalna. Pozwala ograniczyć uprawnienia do konkretnego użytkownika systemowego, łatwiej też przypisać logi i procesy do konkretnej sesji. W modelu „podglądu” fizycznego pulpitu granica między tym, co robi użytkownik lokalny, a tym, co dzieje się zdalnie, zaciera się.

Przy konfiguracji serwerów VNC (TigerVNC, x11vnc, TightVNC) warto zadbać o:

  • konfigurację w katalogu domowym użytkownika zamiast globalnie w /etc, tam gdzie to możliwe;
  • uruchamianie serwera VNC z uprawnieniami danego użytkownika, nie roota;

    • Automatyzacja startu i sprzątania sesji VNC

    Statycznie uruchomiony serwer VNC na stałym porcie, działający latami, to prosty cel. Bezpieczniej jest traktować sesję graficzną jak zasób „na żądanie”: uruchamiany, gdy ktoś go potrzebuje, i zamykany po zakończeniu pracy.

    Przydatne wzorce:

  • uruchamianie serwera VNC przez systemd --user lub dedykowaną jednostkę systemd z limitem czasu bezczynności;
  • automatyczne ubijanie sesji po określonym czasie braku aktywności (idle timeout);
  • logowanie wyjścia serwera VNC do osobnego pliku w katalogu użytkownika, co ułatwia analizę incydentów;
  • zamykanie sesji VNC przy wylogowaniu użytkownika z systemu, a nie pozostawianie „sierot” w tle.

Mit: „VNC musi wisieć cały czas, bo inaczej użytkownicy nie wejdą, kiedy chcą”. Zwykle wystarcza lekki skrypt lub unit systemd, który startuje serwer przy pierwszym logowaniu przez SSH i sprząta po zamknięciu sesji. Dla użytkownika różnica jest niewidoczna, a powierzchnia ataku maleje.

Alternatywy dla VNC: X2Go, RDP na Linuksie i rozwiązania webowe

W wielu przypadkach VNC jest używane z przyzwyczajenia, mimo że nowsze narzędzia oferują lepszą wydajność i bezpieczeństwo. Na stacjach linuksowych i serwerach aplikacyjnych można rozważyć inne protokoły.

X2Go bazuje na SSH i tunelowaniu X11, ale opakowuje to w sensowny interfejs oraz kompresję. Komunikacja jest domyślnie szyfrowana, a uwierzytelnianie korzysta z mechanizmów SSH (w tym kluczy publicznych i agentów kluczy). Klient X2Go pozwala ograniczyć dostęp do pojedynczych aplikacji lub pełnego pulpitu, co bywa złotym środkiem między klasycznym RDP a VNC.

Druga grupa to serwery RDP dla Linuksa (xrdp i pochodne). Tutaj użytkownik łączy się standardowym klientem RDP z Windows, ale sesja kończy się na demonie xrdp i środowisku graficznym Linuksa. Przy dobrze skonfigurowanym TLS i zasilaniu kont z LDAP/AD, administracja uprawnieniami jest spójniejsza niż w świecie VNC.

Coraz częściej spotykane są rozwiązania webowe, jak Guacamole czy xpra z interfejsem WWW. Działają przez HTTP(S), co upraszcza przechodzenie przez firewalle, a jednocześnie zapewnia centralny punkt logowania i audytu. Trzeba jednak pilnować, aby serwer pośredniczący nie stał się pojedynczym punktem katastrofy – tu przydaje się segmentacja i osobne, twarde uwierzytelnianie.

Mit, który powraca: „Skoro to działa w przeglądarce, to znaczy, że jest mniej techniczne i mniej krytyczne”. W rzeczywistości jest odwrotnie – pojedyncza brama webowa do wielu serwerów zdalnych bywa ciekawszym celem niż pojedynczy RDP czy VNC.

Mapowanie uprawnień i integracja z PAM/LDAP

Luźno zarządzane konta lokalne dla VNC czy xrdp to proszenie się o zapomniane hasła i konta-widma. Dużo rozsądniejsze podejście zakłada integrację z centralnym repozytorium tożsamości – LDAP, FreeIPA, Active Directory przez SSSD – i stosowanie wspólnej polityki haseł oraz blokad kont.

Na Linuksie kluczowe elementy to:

  • konfiguracja PAM dla usług zdalnych (np. /etc/pam.d/xrdp-sesman, /etc/pam.d/lightdm, konfiguracje dla logind), aby używały tych samych reguł, co logowanie lokalne;
  • powiązanie sesji graficznych z kontami systemowymi z katalogu (LDAP/AD) zamiast lokalnych użytkowników;
  • spójne stosowanie MFA w warstwie PAM – np. moduły pam_google_authenticator, pam_oath lub integracje z zewnętrznymi IdP;
  • limity jednoczesnych sesji na użytkownika oraz reguły blokowania po nieudanych próbach logowania (np. pam_faillock).

Rzeczywistość pokazuje, że największym problemem nie jest brak szyfrowania, ale „dziurawe” zarządzanie tożsamością: konta serwisowe z dostępem graficznym, brak wygasania haseł, użytkownicy techniczni współdzielący jedno konto. Zamiana tego chaosu na uporządkowaną integrację z katalogiem daje większy efekt bezpieczeństwa niż dowolny egzotyczny algorytm szyfrujący.

SSH jako bezpieczny tunel: podstawy koncepcji i konfiguracji serwera

Dlaczego SSH jest dobrym fundamentem dla zdalnego pulpitu

SSH łączy w sobie trzy cechy, których brakuje wielu protokołom pulpitu zdalnego:

  • silne szyfrowanie całej sesji (nie tylko logowania);
  • elastyczne uwierzytelnianie (klucze, hasła, MFA, integracje z PAM);
  • wbudowane tunelowanie portów w obie strony.

Mit, który często się przewija: „SSH jest tylko do tekstowego terminala”. W praktyce większość bezpiecznych wdrożeń pulpitu zdalnego na Linuksie lub nawet na Windows opiera się na SSH jako kanale transportowym. Sam protokół graficzny (VNC, RDP, X2Go) widzi tylko połączenie do localhost, a „magia” przechodzenia przez sieć i firewalle dzieje się na poziomie tunelu SSH.

Podstawy twardej konfiguracji serwera SSH

Domyślny sshd_config w popularnych dystrybucjach jest coraz rozsądniejszy, ale nadal warto go dopasować do roli maszyny. Najważniejsze elementy przy serwerach, które mają służyć jako punkt wejścia do zdalnego pulpitu:

  • wyłączenie przestarzałych protokołów i słabych algorytmów (zachowanie tylko protokołu 2, nowoczesnych KEX, MAC i szyfrów);
  • ograniczenie metod uwierzytelniania – typowo: klucze publiczne + ewentualnie hasła z MFA, bez anonimowego keyboard-interactive bez kontroli;
  • wymuszenie użycia kluczy: PasswordAuthentication no tam, gdzie to możliwe;
  • redukcja informacji banerem i komunikatami, by nie zdradzać wersji systemu i dystrybucji;
  • limity na poziomie samego daemon’a: MaxAuthTries, LoginGraceTime, MaxSessions.

Często powtarzany mit: „Domyślne ustawienia w Ubuntu / CentOS są wystarczająco bezpieczne, bo autorzy dystrybucji wiedzą, co robią”. O ile nie są katastrofalne, o tyle nie są dopasowane do konkretnego profilu ryzyka i skali ataków. Serwer wystawiony na świat, który ma być furtką do krytycznego pulpitu administracyjnego, potrzebuje więcej niż domyślne PermitRootLogin prohibit-password.

Wyłączanie logowania roota i separacja ról

Bezpośredni SSH jako root to skrót, który prędzej czy później się zemści. Z punktu widzenia pulpitu zdalnego istnieją dwa bezpieczniejsze modele:

  • logowanie jako zwykły użytkownik, a następnie sudo do operacji administracyjnych;
  • osobny bastion, gdzie logują się tylko administratorzy, a stamtąd korzystają z zaufanych narzędzi (Ansible, RDP, VNC w tunelu) do dalszych hostów.

W konfiguracji SSH dobrze sprawdza się kombinacja:

PermitRootLogin no
AllowUsers admin1 admin2 support-team@

w której dopuszcza się konkretne konta lub grupy (np. przez wzorce mapowane na grupy w LDAP/AD). Przy takim układzie przejęcie jednego konta użytkownika „biurowego” nie daje z automatu dostępu do bastionu SSH i dalej do pulpitów serwerów.

Forwarding lokalny, zdalny i dynamiczny – różnice praktyczne

SSH oferuje kilka rodzajów tunelowania. Z punktu widzenia pulpitu zdalnego kluczowe są trzy tryby:

  • tunel lokalny (-L): lokalny port na stacji użytkownika przekierowany przez SSH na port zdalny; klasyczne użycie to tunelowanie VNC/RDP;
  • tunel zdalny (-R): port na serwerze dostępny jako wejście, ruch trafia do klienta; przydaje się przy dostępie do stacji za NAT-em;
  • proxy SOCKS (-D): dynamiczny tunel, który tworzy lokalny serwer SOCKS, a aplikacje (w tym przeglądarka) używają SSH jako „bazy” dla wielu połączeń.

Typowy scenariusz dla VNC:

ssh -L 5901:localhost:5901 user@bastion.example.com

Użytkownik łączy się klientem VNC do localhost:5901, podczas gdy realny serwer VNC nasłuchuje 5901 po stronie bastionu lub kolejnego hosta w sieci wewnętrznej. Dla firewalli wygląda to jak jedno połączenie SSH na port 22, a cały ruch graficzny jest ukryty w szyfrowanej sesji.

Bezpieczne tunelowanie RDP przez SSH

RDP w połączeniu z SSH sprawdza się zarówno na Windows, jak i Linuksie. Klucz leży w tym, żeby nie wystawiać 3389/TCP na świat, tylko przepuszczać go przez tunel.

Przykładowy schemat dla serwera Windows dostępnego tylko z sieci wewnętrznej:

  1. Użytkownik zestawia tunel SSH do bastionu:
    ssh -L 13389:win-serwer1:3389 user@bastion.example.com
  2. W kliencie RDP wpisuje localhost:13389 jako adres serwera.
  3. Na firewallu jedyny otwarty z zewnątrz port to 22 na bastionie (ewentualnie jeszcze porty VPN).

Z punktu widzenia logiki dostępu taka architektura daje kilka plusów naraz: logujemy ruch w jednym miejscu (bastion), stosujemy jedną politykę kluczy SSH, a RDP „widzi” tylko ruch z zaufanego segmentu. Jeśli ktoś próbuje brute force na 3389/TCP spoza VPN/SSH, po prostu nie ma się gdzie podłączyć.

Ograniczanie forwarding’u w SSH i kanałów bocznych

Nie każdy serwer SSH powinien pozwalać na dowolne tunelowanie. Przy bastionach wykorzystywanych do pulpitu zdalnego trzeba pogodzić wygodę z kontrolą. Ustawienia takie jak:

AllowTcpForwarding yes
PermitTunnel no
X11Forwarding no

pozwalają zezwolić wyłącznie na tunelowanie TCP i jednocześnie zablokować mechanizmy, których nie używamy (np. wirtualne interfejsy TUN/TAP czy forwardowanie X11).

Częsty błąd: całkowite wyłączenie AllowTcpForwarding na serwerze, który ma być bramą do RDP/VNC. Administratorzy później „obejdą” ten zakaz w mniej przejrzysty sposób, np. tworząc osobne porty na firewallu lub ustawiając tymczasowe wyjątki. Rozsądniej jest świadomie włączyć forwarding, ale ograniczyć go do zdefiniowanych użytkowników czy grup, a pozostałym go zabronić.

Klucze SSH: generowanie, dystrybucja i rotacja

Teoretycznie „wszyscy wiedzą”, że logowanie na hasło jest słabsze niż klucze. W praktyce wiele środowisk zatrzymuje się na etapie pojedynczego, wiecznie żyjącego klucza trzymanego na laptopie administratora.

Bezpieczniejszy model obejmuje kilka zasad:

  • indywidualny klucz prywatny na każdego użytkownika, chroniony hasłem (passphrase) i najlepiej w menedżerze kluczy lub na tokenie sprzętowym;
  • brak współdzielenia kluczy pomiędzy osoby lub konta serwisowe;
  • okresowa rotacja – dodawanie nowego klucza, wycofywanie starego zamiast „doklejania” kolejnych i trzymania wszystkich w nieskończoność;
  • centralne zarządzanie plikami authorized_keys (np. przez Ansible, Puppet, narzędzia do zarządzania konfiguracją), aby nie opierać się na ręcznych kopiach;
  • oznaczanie kluczy w authorized_keys restrykcjami (from=, command=, wyłączenie forwardingu), tam gdzie chodzi o specyficzne zadania.

Mit: „Mamy klucze, więc jesteśmy odporni na phishing”. Klucze bez hasła, trzymane luzem na dysku, albo kopiowane między maszynami przez SFTP, są równie łakomym kąskiem jak dobre hasło. Phishing zmienia się wtedy w próbę skłonienia użytkownika do uruchomienia złośliwego oprogramowania, które kopiuje pliki kluczy i dane z agentów.

MFA i SSH – praktyczne warianty

Dwuskładnikowe uwierzytelnianie dla SSH można wdrożyć na kilka sposobów. Najprostszy i najczęściej spotykany to połączenie klucza lub hasła z jednorazowym kodem TOTP (aplikacje typu Google Authenticator, FreeOTP, Authy).

Przykładowe kombinacje:

  • klucz SSH + TOTP (PAM), gdzie klucz służy jako „coś, co masz”, a kod z aplikacji jako „coś, co wiesz/momentowo posiadasz”;
  • hasło + TOTP, jeśli z powodów organizacyjnych klucze nie są jeszcze standardem;
  • token sprzętowy U2F/FIDO2 integrowany z agentem SSH lub PAM.

W praktyce należy unikać konfiguracji, w której TOTP stoi „obok” SSH, np. jako formularz w zupełnie innym systemie, który nie blokuje bezpośredniego połączenia po kluczu. MFA musi być egzekwowane przez ten sam kanał logowania, którego używa użytkownik do zestawienia tunelu SSH do pulpitu.

Najczęściej zadawane pytania (FAQ)

Jak najlepiej zabezpieczyć pulpit zdalny – od czego w ogóle zacząć?

Pierwszy krok to schowanie samego RDP/VNC za inną warstwą dostępu: VPN-em albo tunelem SSH. Porty 3389 (RDP) czy 5900+ (VNC) nie powinny być dostępne bezpośrednio z Internetu – zamiast tego dostęp zdalny odbywa się przez bezpieczny kanał, a usługa pulpitu nasłuchuje tylko na interfejsie lokalnym lub w wydzielonej sieci administracyjnej.

Drugim filarem jest hardening serwera SSH lub bramy VPN: uwierzytelnianie kluczem publicznym, wyłączenie logowania hasłem, ograniczenie użytkowników mogących się logować oraz filtrowanie adresów źródłowych na firewallu. Dopiero na tej bazie konfigurujesz uprawnienia do samego pulpitu zdalnego – kto może, z jakich maszyn i z jakimi rolami.

Czy samo silne hasło do RDP lub VNC wystarczy, żeby było bezpiecznie?

To jeden z popularniejszych mitów: „mam długie hasło, więc jestem bezpieczny”. Silne hasło utrudnia atak brute force, ale nie chroni przed podatnościami w samym protokole, błędną konfiguracją, wyciekiem hasła z innego systemu czy atakiem z sieci lokalnej, gdzie port jest otwarty bez ograniczeń. W praktyce większość udanych włamań na RDP zaczyna się od tego, że port jest widoczny z całego Internetu.

Bezpieczeństwo pulpitu zdalnego to kilka warstw naraz:

  • port RDP/VNC niewidoczny publicznie (VPN lub tunel SSH),
  • silne uwierzytelnianie (klucz SSH + dobre hasła w systemie),
  • ograniczone uprawnienia kont (brak codziennej pracy na koncie administratora),
  • monitoring logów i blokady po nieudanych logowaniach.

Sam fakt, że hasło jest „mocne”, nie zneutralizuje pozostałych wektorów ataku.

Jak zestawić bezpieczny tunel SSH dla RDP (3389) lub VNC (5900)?

W typowym scenariuszu RDP/VNC nasłuchuje tylko lokalnie na serwerze (np. 127.0.0.1:3389), a administrator łączy się przez SSH do tego hosta albo bastionu w tej samej sieci. Na komputerze lokalnym uruchamiasz tunel, np.:

ssh -L 3389:127.0.0.1:3389 user@bastion.example.com

Po zalogowaniu na bastion lokalny port 3389 „przekierowuje” ruch przez zaszyfrowany tunel do portu 3389 serwera z RDP. Następnie w kliencie RDP wskazujesz adres localhost:3389. Analogicznie działa to dla VNC (5900/5901 itd.). Różnica między konfiguracją „byle działało”, a bezpieczną, to m.in. wymuszenie logowania do SSH kluczem publicznym, wyłączenie logowania roota i otwarcie portu SSH tylko z wybranych adresów.

Czym jest bastion SSH i po co go używać do zdalnej administracji?

Bastion SSH (jump host) to pojedyncza, mocno utwardzona maszyna, przez którą przechodzą wszystkie połączenia administracyjne do wnętrza sieci. Zamiast wystawiać na świat dziesiątki serwerów z RDP/VNC, udostępniasz tylko jeden host z SSH, kontrolujesz tam logi, reguły firewalla, MFA i polityki haseł.

W praktyce wygląda to tak: administrator łączy się kluczem SSH do bastionu, a dopiero z niego – po wewnętrznej sieci – do maszyn z RDP/VNC lub innymi usługami. Jeśli ktoś próbuje ataku, koncentruje się na jednym, dobrze monitorowanym celu, a nie na całym stadu serwerów. To odwrócenie typowego błędu „wszędzie otwarty RDP, ale hasła mamy silne”.

Jak ograniczyć dostęp użytkowników do pulpitu zdalnego, żeby nie mieli „wszystkiego”?

Zamiast dawać każdemu pełne prawa administratora na serwerze terminalowym, tworzysz dedykowane grupy i role. Dostęp do pulpitu zdalnego mają tylko wybrane konta (np. konkretna grupa w AD lub grupa w systemie linuksowym), a sama sesja działa z uprawnieniami zwykłego użytkownika. Osobno definiujesz konta administracyjne używane tylko do zadań administracyjnych, najlepiej z innym zestawem haseł/kluczy.

Dobrym podejściem jest też segmentacja: inne serwery terminalowe dla użytkowników biurowych, inne dla administratorów, brak bezpośredniego RDP z Internetu na kontroler domeny. Przykładowo: helpdesk łączy się najpierw na serwer „pośredni”, dopiero z niego ma dostęp do stacji roboczych. Dzięki temu kompromitacja pojedynczego konta nie daje od razu pełnej kontroli nad całą siecią.

Czy zmiana domyślnego portu RDP (3389) realnie zwiększa bezpieczeństwo?

Zmiana portu na niestandardowy daje co najwyżej odrobinę „ciszy w logach” – boty skanujące standardowe porty szybciej odpuszczą, więc zobaczysz mniej prób logowania. To nie jest jednak środek bezpieczeństwa, a jedynie drobny zabieg utrudniający automatyczne skany. Celowy atak i tak wykryje usługę na innym porcie w czasie skanowania zakresu.

Rzeczywiste zabezpieczenie to ukrycie RDP całkowicie za VPN-em lub SSH, ograniczenie adresów źródłowych, wymuszenie silnego uwierzytelniania i aktualny system. Mit brzmi: „przecież nikt nie wie, jaki mamy port”, rzeczywistość jest taka, że pełne skany zakresu IP szybko taki port odkryją – zwłaszcza gdy firma ma statyczne adresy i jest obecna w publicznych rejestrach.

Co jest bezpieczniejsze: VPN czy tunel SSH do pulpitu zdalnego?

Z punktu widzenia samego szyfrowania obie opcje mogą być bardzo bezpieczne, jeśli są dobrze skonfigurowane. VPN zwykle daje pełny (lub częściowy – split-tunnel) dostęp do sieci firmowej, z którą klient staje się logicznie „w tym samym LAN-ie”. Tunel SSH natomiast standardowo przekierowuje tylko wybrane porty, więc powierzchnia dostępu jest mniejsza i dokładniej kontrolowana.

W małych i średnich środowiskach często wystarcza solidnie skonfigurowany bastion SSH i port forwarding dla RDP/VNC. W większych organizacjach, z wieloma aplikacjami i użytkownikami, sensowniejsze bywa połączenie: VPN dla pracowników + wyodrębniona strefa administracyjna (bastiony SSH) dla zespołów IT. Klucz nie leży w nazwie technologii, tylko w szczegółach: uwierzytelnianiu, segmentacji sieci i ograniczaniu uprawnień po stronie serwerów docelowych.

Kluczowe Wnioski

  • Pulpit zdalny (RDP, VNC, X11, rozwiązania webowe) jest krytycznym punktem bezpieczeństwa, bo daje napastnikowi praktycznie fizyczny dostęp do klawiatury i myszy serwera lub stacji roboczej, a więc także do systemów domenowych, finansowych i danych wrażliwych.
  • Publiczne wystawianie portów RDP/VNC bez dodatkowych zabezpieczeń to zaproszenie do ataku – takie usługi są automatycznie skanowane, identyfikowane i atakowane bruteforce oraz przez znane podatności, niezależnie od tego, czy ktoś „wie”, że dana firma korzysta z RDP.
  • Mit „silne hasło wystarczy” jest fałszywy: nawet dobre hasło nie chroni przed exploitami protokołu, przejęciem z sieci wewnętrznej czy socjotechniką; bezpieczeństwo opiera się na wielu warstwach naraz (tunelowanie SSH, segmentacja sieci, ograniczenia kont, aktualizacje).
  • Bezpieczeństwo serwera SSH staje się fundamentem całego środowiska zdalnego dostępu, zwłaszcza gdy RDP/VNC idzie wyłącznie tunelem SSH; stąd potrzeba hardeningu SSH, uwierzytelniania kluczem publicznym i stosowania bastionu SSH jako jedynego „wejścia” z Internetu.
  • Dobre praktyki to m.in. tunelowanie RDP/VNC przez SSH, odseparowanie hostów z pulpitem zdalnym w odpowiednim segmencie sieci, ograniczanie listy użytkowników i ich uprawnień oraz minimalizowanie liczby serwerów z dostępem administracyjnym zdalnie.

    • Opracowano na podstawie

  • NIST Special Publication 800-46 Revision 2: Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security. National Institute of Standards and Technology (2016) – Zalecenia bezpieczeństwa dla zdalnego dostępu i pracy zdalnej
  • NIST Special Publication 800-123: Guide to General Server Security. National Institute of Standards and Technology (2008) – Dobre praktyki hardeningu serwerów, w tym usług zdalnego dostępu
  • CIS Controls v8. Center for Internet Security (2021) – Kontrole bezpieczeństwa dotyczące zdalnego dostępu, segmentacji i uprawnień

Następne kroki w tym temacie: