Buscar

Windows: RDP IP pública origen firewall

En este post veremos cómo configurar utilizando el firewall de Windows, una regla para que solo se permita la conexión al puerto de RDP: 3389 desde una dirección IP pública origen.

Windows: RDP IP pública origen firewall: Antes de empezar


Para ofrecer la conexión RDP (Remote Desktop Protocol) a los usuarios o a los administradores desde fuera de la red local, no es buena idea mapear el puerto de RDP al exterior (Internet), ni tampoco cambiando el puerto 3389 por otro.

Si abrimos el puerto del RDP de un equipo al exterior estaremos expuestos a ataques de Ransomware.

Por este motivo, que la forma de ofrecer servicios de RDP al exterior de forma segura es por ejemplo: utilizando una VPN (Virtual Private Network) o bien en el caso de una granja de RDS (Remote Desktop Services) utilizar el servicio de Remote Desktop Gateway.

En el libro:


Disponemos de una guía paso a paso que nos explicará cómo configurar Remote Desktop Gateway.

También existen muchas otras formas de securizar un acceso remoto, por ejemplo: Utilizar un software de control remoto que disponga de segundo factor de autentificación, soluciones de Citrix, etc...

Sin embargo en ocasiones, no disponemos ni de tiempo ni dinero para realizar una configuración definitiva.

Como medida temporal, podemos abrir el puerto de RDP de un equipo al exterior filtrando la dirección IP pública origen.

Esta regla de filtrado debería realizarse desde el router o firewall corporativo.

En el caso de no poderse realizar y como último recurso, podemos utilizar el firewall de Windows, sin embargo, su configuración no es nada intuitiva.

Configurar una regla de firewall que solo permita conexiones RDP según la dirección IP pública origen hará invisible el puerto al resto de direcciones IP.

Windows: RDP IP pública origen firewall: Configuración

Abrimos la configuración del firewall de Windows.

Una forma rápida de acceder a la configuración del firewall de Windows es utilizando la consola msc: wf.msc

En primer lugar, deberemos verificar que el firewall de Windows no esté desactivado.

Si el firewall de Windows está desactivado, la regla configurada no tendrá efecto.

Una vez verificado que el firewall de Windows está activado, nos dirigimos a: "Reglas de entrada", botón derecho, "Nueva regla".


Indicamos regla basada en puerto:

Windows: RDP regla ip origen firewall

Indicamos el puerto: 3389 TCP:

Windows: RDP regla ip origen firewall

Indicamos que la acción sea: "Bloquear la conexión":

Windows: RDP regla ip origen firewall

Indicamos que la regla se aplique en el perfil que corresponda.

Podemos marcar los tres perfiles.

Windows: RDP regla ip origen firewall

Indicamos el nombre de la regla: "RDP regla ip origen firewall"

Windows: RDP regla ip origen firewall

Hasta aquí, si repasamos la configuración de la regla, vemos que no hemos especificado aún la dirección IP pública origen.

Simplemente, hasta ahora, hemos realizado una regla que bloquea las conexiones al puerto 3389.

El filtrado según la dirección IP pública origen viene ahora.

Editamos la regla.

Botón derecho, propiedades sobre la regla.

Nos dirigimos a la pestaña de: "Ámbito" y configuramos en: "Dirección IP remota" las direcciones IP que no queremos que puedan conectar.

La idea es situar aquí las direcciones IP bloqueadas:

Windows: RDP regla ip origen firewall

y ahora es donde viene la dificultad:

Debemos especificar los rangos completos a bloquear.

Ejemplo:

Imaginemos que queremos permitir las conexiones RDP desde la dirección IP:

70.124.23.37

Pues bien, debemos configurar lo siguiente:

0.0.0.0-70.124.23.36
70.124.23.38-255.255.255.255

Quedaría de la siguiente forma:

Windows: RDP regla ip origen firewall

A modo de resumen:

Se configura una regla de bloqueo al puerto 3389 desde todas las direcciones IP exceptuando la dirección IP que se quiere permitir, para ello es necesario especificar todos los rangos de Internet.

¿Qué ocurre si queremos permitir 2 direcciones IP en vez de una?

Pues tendremos que especificar lo de la misma forma.

Imaginemos que queremos permitir estas dos direcciones IP públicas:

70.124.23.37

y

80.22.21.123

La sintaxis sería:

0.0.0.0-70.124.23.36
70.124.23.38-80.22.21.122
80.22.21.124-255.255.255.255

Volvemos con el mismo concepto: Hemos de bloquear todos los rangos exceptuando las direcciones IP permitidas.

4 comentarios:

  1. Hola, ¿y esto no funcionaria si la acción en vez de "bloquear" es "permitir" y añadiendo solo las ips de origen que intentan acceder al puerto 3389"
    Muchas gracias por tu trabajo.

    ResponderEliminar
    Respuestas
    1. Hola Fernando,

      Desgraciadamente con el Firewall de Windows no te funcionará.

      Debes hacerlo tal y como te indica el post.

      Un saludo,

      Xavi.

      Eliminar
  2. Muy buen apunte.

    Me sorprendió gratamente.
    Parece una perogrullada la solución, pero es un puntazo y un salto de la leche en seguridad para accesos de RDP a un pc en casa, o para una pequeña empresa que aún no dio el salto a un router decente o firewall en el perímetro y no dispone de VPN ni puede poner reglas de bloqueo en el firewall.

    Como siempre aporte fantástico y explicado cristalinamente.
    Muchas gracias Xavier.

    ResponderEliminar
    Respuestas
    1. Hola Marcos,

      Efectivamente la configuración no es nada intuitiva y es para casos muy concretos que no permiten una solución mejor.

      Muchas gracias a ti por participar en el blog.

      Un saludo,

      Xavi.

      Eliminar