La administración remota de sistemas ha sido considerado durante mucho tiempo una herramienta imprescindible para administradores y usuarios debido a que brindan la posibilidad de operar y mantener sistemas a distancia y realizar acciones en un equipo remoto desde un equipo local, en cualquier parte del mundo y aprovechando las velocidades de conexión actual.

Esta administración se realiza conectando, a través de una red (internet o intranet), un equipo local y un servidor.

Para brindar estos servicios se puede utilizar protocolos como RDP (Remote Desktop Protocol), SSH (Secure Shell), RFB(VNC), ICA (Citrix Independent Computing Architecture), entre muchos otros.

La administración remota brinda excelentes ventajas tanto a los usuarios como a los administradores y por lo tanto, es utilizada por las organizaciones para facilitar el trabajo de los mismos:

• Permite al usuario acceder a su escritorio de trabajo desde cualquier ubicación.
• Facilita el trabajo móvil y ahorra costos en puestos de trabajo y recursos humanos.
• Facilita las tareas de mantenimiento y soporte a los usuarios.
• La conectividad actual permite que el usuario pueda conectarse a su “escritorio” desde cualquier dispositivo.
• Ahorra costos en equipamiento e infraestructura física.

Pero dentro de todas las ventajas, es necesario tener en cuenta que dar acceso remoto a un usuario significa, en muchas ocasiones, la posibilidad de que el mismo se encuentre “virtualmente conectado” a la red de la organización, y por lo tanto es un riesgo que debe contemplarse cuidadosamente.

El servicio elegido debería brindar al menos autenticación, confidencialidad (cifrado) e integridad en la transferencia de datos así como una administración adecuada que permita determinar la responsabilidad de quien realiza las acciones (logs).

Desde el punto de vista de la seguridad, la gestión del acceso remoto cobra especial significado cuando:

• No se administra ni gestiona adecuadamente el acceso de los usuarios.
• Se utilizan claves débiles.
• Se exponen servicios innecesarios a Internet.
• Se encuentran vulnerabilidades en las aplicaciones o protocolos utilizados.

Cualquiera de estos puntos brinda a un tercero la posibilidad de acceder a la red corporativa a través de la impersonalización de un usuario, ya sea porque “adivinó” su clave o explotó una vulnerabilidad en el servicio.

El reciente descubrimiento de la vulnerabilidad en el protocolo RDP utilizado por todas las versiones de Windows y que Microsoft corrigió a principios de marzo con el lanzamiento de la actualización MS12-020 (ver más aquí), abrió el debate sobre la importancia de gestionar adecuadamente los accesos remotos.

Desde el momento de su publicación la vulnerabilidad permite, a través de un exploit público, un ataque de DoS (el equipo da un Blue Screen y se lo debe apagar) sobre los sistemas que tengan el servicio disponible, pero sobre todo se sospecha de la posibilidad de modificar los exploit para lograr acceso remoto al equipo afectado, lo cual permitiría obtener acceso a sistemas ajenos, ejecutar código, infectarlos, obtener información confidencial de la organización o cualquier actividad que realizaría un usuario legítimo.

Este riesgo ha llevado a prevenir a todos aquellos que utilicen la administración remota con este protocolo (RDP sobre el protocolo TCP puerto 3389) para que, a través de un proceso de gestión de vulnerabilidades, evalúen sus activos y servidores para determinar la viabilidad y prioridad de la instalación de la actualización o de cualquier medida de mitigación recomendada.

Al margen de este caso particular y actual, es un buen momento para que los administradores evalúen la necesidad real de disponer de conexión remota a servidores y servicios críticos, cuáles son las ventajas y cuáles los costos (visibles y ocultos) y cómo pueden implementarse con medidas de seguridad adecuadas.

Cristian Borghello es consultor externo de seguridad para ZMA.