En Windows sería utilizando un SNMP - QA Monitor. Así lo hacen en la Empresa donde laboro.

El Ing. Configura un Monitor SNMP que le permite identificar [Así parece] las conexiones RDP y en esto se identifica su procedencia [Según tengo entendido]

Espero te sirva esta info. Yo personalmente nunca lo hecho, solo he visto a mi Jefe realizarlo más aún no comprendo su funcionamiento, pero si más o menos me ha explicado la "teoría" en palabras básicas.

Saludos

El servicio RDP recibe conexiones TCP remotas en el puerto 3389. Usando el comando netstat puedes ver qué conexiones se han establecido a dicho puerto, y desde qué dirección IP:

-n = que se muestre el número de puerto
-p = que se muestre el programa que tiene en uso dicho puerto
-t = que se muestren sólo conexiones TCP
-e = que se muestre más información, por ejemplo el estado ESTABLISHED / TIME_WAIT

Saludos,
Sidd.

Creo que el problema de esa herramienta de red es que sólo te muestra la dirección Ip del último salto al tratarse de una conexión externa, es decir, no realiza un rastreo de Ip's como un traceroute.

Saludos

quillo:

mhhhh, no había pensado en ello, y en realidad no sabría decir pues nunca he usado RDP a través de Internet ya que me parece un anzuelo muy llamativo para gente entrometida, yo uso SSH + DenyHosts + gSTM y con eso tengo.

En mi trabajo uso RDP a nivel nacional (distintas subredes) y siempre que me he conectado he visto que aparece la dirección IP real del cliente), no aparece la dirección IP de alguno de los enrutadores por los cuales pasé ... pero aún así ha sido dentro de la empresa así no sabría decir. En casa también uso RDP pero es sólo LAN, no MAN/WAN.

Sería cosa de que nuestro amigo probara y nos confirmara qué le aparece a través de Internet.

Saludos,
Sidd.

Si es una maquina windows, debes habilitar la opción de auditoria de login, el cual te mostrara fecha/hora y dirección ip de la maquina que se conecto y con que cuenta.

Ahora RDP es un protocolo de microsoft, pero no se si entendí muy bien al realizar esta pregunta acá me imagino que clientes se conectan a tu servidor linux o unix y deseas saber quien es, bueno con los comandos last, who puedes ver dicha información, ademas si tienes habilitado el servicio de syslog puedes verificarlo en el archivo /var/log/secure donde te mostrara el servicio que se ejecuto quien y a que hr.

¿Qué necesitas para confirmar amigo Sidd?

Yo tengo acceso desde fuera al RDP y también tengo acceso al Monitor del Server [Todo bajo claves seguras y encriptadas por supuesto] pero dime ¿Qué es lo que tengo que ver?

Me gustaría aportar en algo al tema

xanderboy: Por favor no invadas el tema ....... ah no perdón! jajaja! no te creas, es broma xander! ... es la alegría de ver tu buena disposición :)

Básicamente lo que necesitamos es hacer una conexión vía RDP a un servidor Debian, después hacer una conexión vía SSH al mismo servidor y ejecutar el siguiente comando para ver el resultado ... para ver qué dirección IP remota aparece usando RDP:

Queremos ver qué dirección IP pública aparece (no nos la muestres, por supuesto): la del cliente? la de algún enrutador entre el cliente el servidor?

Muchas gracias :)

Perfecto entonces, aproximadamente en 1 Hora salgo de la oficina [Son las 4:00 PM] por lo cual estaré en mi casa en unas 2 horas. Cuando llegué ejecutaré lo que dices y mostraré los resultados.

Afortunadamente tengo un Servidor Debian con RDP y SSH para realizar esa prueba.

Confirmo

1. Me conecto al RDP

2. Al mismo tiempo me conecto vía SSH

3. Ejecuto netstat -npte | grep :3389

4. Muestro los resultados [Claro está poniendo otros valores a las IP´s]

La idea se mira simple así que haré las pruebas correspondientes.

Saludos

Así es ... creemos que para el compañero que creó el tema le será útil esto si el resultado del comando devuelve la dirección IP pública verdadera del cliente .... y no la del enrutador que está más cerca del servidor Debian. Así que al conectarte vía RDP a tu trabajo se debería mostrar tu propia dirección IP pública en el campo que corresponde al cliente remoto.

Muchas gracias amigo,
Sidd.

EDITO: yo pretendía habilitar el enrutador para redireccionar -de manera temporal- el puerto 3389 ya que en casa uso RDP (sólo localmente) pero por alguna razón no puedo conectarme al enrutador a través del túnel. Me he conectado bien a todo, pero se corta la conexión al enrutador.

Bueno aquí estoy con las pruebas

Primero

Me conecto al Servidor Debian vía RDP luego abro un terminal SSH

Ahora ejecuto

Y el resultado ha sido el siguiente:

Ahora bien, la ip que termina con 69 es la Ip de mi casa Logicamente conozco la IP de mi casa así como la Ip de la Oficina que empieza con 204.XXX.XXX.XXX Y la Ip de mi casa con 204.XXX.XXX.69

Por supuesto como seguridad he eliminado las otras Ip's que salen en la imágen editando con Gimp.

Ahora bien ¿Es eso lo que queríamos verificar?

Si lo que quería es ver quien está conectado via escritorio remoto pues en efecto con el comando se puede verificar quien lo está, un poco rústico pero si funciona pues en todo momento me puso como Foreing Address la IP de mi casa

Interesante, un poco rústico pero interesante.

Cualquier cosa estamos a la orden