J'ai pris mes fonctions de tech. récemment dans une structure où il n'y avait pas de service info. et actuellement , je suis dans une phase d'inventaire/audit.
 
Je me suis aperçu que certains utilisateurs avaient la possibilité de se connecter au réseau de l'entreprise depuis l'extérieur : Connexion Bureau à distance sur une Ip publique avec une redirection de port  RDP (3389) sur l'IP privée d'un serveur interne sous windows 2008 R2.
 
L'authentification se fait avec le compte AD de l'utilisateur.
 
Vous en pensez quoi au niveau sécurité ?    
Il n'y a pas de données sensibles mais perso je verrais plus la mise en place d'une connexion via VPN.
 
Merci

Un VPN serait effectivement plus propre dans un premier temps, maintenant il faudrait aussi que le serveur en question soit en DMZ et très bien protégé.

un RDGateway ou un VPN serait plus sécure. Après à voir la sensibilité du truc.

Il faut que tu regardes si ton routeur permet des connexions ssl vpn.
Si c'est le cas il faut regarder si il y a des licence disponibles ou s'il faut en acheter.
Sinon il faut soit acheter un boitier SSL ou un un nouveau routeur qui gère les connexions SSL VPN, et fermer le port 3389.
Pour la dmz, je ne comprends pas trop l'utilité, si on se connecte en vpn sur le réseau.

Dans un 1er temps et facilement, tu peux limiter ces redirections à des IP sources précises.
Tu peux aussi changer le port par défaut.
 
Après l'intérêt du VPN c'est de faciliter l'accès au réseau de l'entreprise pour les users à l'extérieur sans gérer cela serveur par serveur et service par service.

Merci pour vos retour    
 
Donc dans l'immédiat, je vais rester comme ça en dépannage.
Et je vais faire des tests pour la mise en place d'un serveur VPN (soir par le service RAS de windows ou un serveur Openvpn)
 
Mais pour ma culture perso, un pirate qui fait un scan et qui trouve mon ip publique avec le port RDP d'ouvert, c'est "facile" pour lui de faire une intrusion sur mon réseau ?

 
Ajout : vérifier aussi que les comptes par défaut sont désactivés ou ont un MDP fort http://windows.microsoft.com/fr-fr [...] g-password

ce sera facile pour lui si jamais tu as laissé des comptes avec un faible mot de passe.
Ou des comptes de test genre test/test et que tu as laissé de coté.
 
Dans l'immédiat, tu peux aussi changer le port 3389.
Ca ne coute rien, juste reconfigurer l'adresse sur les clients.