El acceso mediante Escritorio Remoto (RDP) ha sido históricamente uno de los vectores de ataque favoritos de los hackers. Tradicionalmente, lo protegemos con una VPN, pero esto crea un «todo o nada»: si la VPN cae, la red queda expuesta. Hoy te contamos cómo el Zero Trust Network Access (ZTNA) de Fortinet cambia las reglas del juego.
¿Por qué es mejor que una VPN?
A diferencia de la VPN, ZTNA no confía en nadie por defecto. Implementa un Acceso por Aplicación, lo que significa que el usuario solo «ve» el servidor que necesita, no el resto de la red. Además, realiza una verificación constante tanto del usuario como del estado de salud de su dispositivo.
El "truco" técnico: TCP Forwarding sobre HTTPS
¿Cómo funciona esto si RDP no es un protocolo web? La magia reside en el ZTNA Access Proxy. El tráfico RDP se encapsula dentro de un túnel seguro HTTPS. De cara al atacante, el puerto 3389 está invisible; solo hay una conexión segura cifrada.
Configuración en granjas de servidores (RDS Farms)
Un desafío común en entornos empresariales es cuando el servidor principal de RDS redirige al usuario a un servidor secundario de la granja. Sin la configuración correcta, la conexión se corta porque el cliente intenta saltar a una IP interna desconocida.
La solución —documentada por los expertos de Fortinet— consiste en mapear no solo el servidor principal, sino todo el rango de IPs de la granja en el ZTNA Server Mapping, permitiendo que el Access Proxy intercepte y asegure todo el flujo de la sesión.
Para saber más: Puedes consultar la guía técnica detallada en el portal oficial de soporte de Fortinet: Technical Tip: Connect to Remote Desktop Server (RDS) farm over ZTNA Access Proxy.
Resumen de los pasos técnicos
A continuación, recordemos estos puntos clave extraídos de la documentación:
Requisitos: Necesitas FortiGate, FortiClient EMS y que los agentes estén conectados.
Mapeo de IPs: Es vital configurar el rango completo de la granja RDS (ZTNA-RDS-Addresses) para que el proxy sepa a dónde enviar el tráfico tras la autenticación inicial.
Regla de Proxy: Se debe crear una proxy-policy específica que acepte el tráfico hacia el Access Proxy configurado.
Destinos en FortiClient: Las reglas de destino deben estar claras en el endpoint para que el tráfico sepa que debe viajar vía ZTNA y no intentar ir por la red local.