Es besteht kein Zweifel daran, dass Unternehmen sich bemühen, den Anforderungen ihrer verteilten Belegschaft gerecht zu werden. Viele verschiedene Fernzugriffstechnologien ermöglichen es Unternehmen, die erforderliche Konnektivität bereitzustellen, damit Remote-Mitarbeiter auf geschäftskritische Anwendungen zugreifen können. Remote Desktop Protocol (RDP) über TCP-Port 3389 ist eine äußerst beliebte, einfach zu konfigurierende und standardmäßige Methode, um Remote-Mitarbeitern Fernzugriffsfunktionen bereitzustellen.
Während RDP-TCP-Port 3389 eine einfache Möglichkeit bietet, sich per Fernzugriff mit Unternehmensressourcen zu verbinden, ist er für viele Sicherheitslücken, darunter Ransomware, berüchtigt. Was ist Remote Desktop Protocol über TCP-Port 3389? Welche Sicherheitslücken müssen Sie bei der Verwendung beachten? Wie können diese Schwachstellen überwunden werden?
Was ist der Remote Desktop Protocol TCP-Port 3389?
Remote Desktop Protocol (RDP) ist ein Protokoll, das den Fernzugriff auf einen Desktop-Computer ermöglicht. Wenn Sie an „Remote-Desktop“ denken, sind heute viele Remote-Desktop-Protokolle verfügbar, die ähnliche Funktionen bieten. RDP ist jedoch das Protokoll, das in vielen Unternehmensumgebungen zu finden ist. Da es sich um eine Microsoft-Technologie handelt und viele Organisationen stark auf Windows Server- und Windows-Client-Technologien angewiesen sind, ist es leicht zu erkennen, warum es heute das am häufigsten verwendete Remote-Desktop-Zugriffsprotokoll ist.
Zu den häufigsten RDP-Anwendungsfällen gehören:
- Stellen Sie einen Bastion-Host mit Anwendungen in einer Umgebung bereit, die lokale Ressourcen nachahmt.
- Schaffen Sie eine gemeinsame Büroumgebung für Mitarbeiter oder Vertragspartner, die von zu Hause aus arbeiten und für ihre täglichen Aufgaben auf Systeme zugreifen müssen
- Bietet Remote-Servern, unabhängig von ihrem Standort, die Möglichkeit zur Wartung, Einrichtung und Fehlerbehebung.
Umgebungen mit Microsoft Windows Server- und Windows-Client-Betriebssystemen verlassen sich für Fernzugriff, Systemadministration, Remote-App-Funktionalität und andere robuste Funktionen des Tools auf das Remote Desktop Protocol (RDP). Da das Remote Desktop Protocol in Windows Server- und Client-Betriebssysteme integriert ist, ist für die Verwendung kein zusätzlicher Download erforderlich.
Unten sehen Sie ein Beispiel für die im Betriebssystem Windows 10 integrierte Remotedesktopverbindung.
Was genau bedeutet der Begriff Remotedesktop überhaupt? Anstatt physisch vor der Tastatur, dem Monitor und der Maus eines Windows-Servers oder Client-Betriebssystems zu sitzen, können Sie „Remotedesktop“ verwenden, um aus der Ferne auf den Desktop zuzugreifen. Obwohl Sie Hunderte oder sogar Tausende von Kilometern vom eigentlichen Server oder Desktop entfernt sind, können Sie mit RDP dieselben Funktionen ausführen, als ob Sie vor der Konsole säßen.
Nachfolgend sehen Sie ein Beispiel für den Remotezugriff auf einen Remotedomänencontroller mithilfe des Dienstprogramms „Remotedesktopverbindung“. Wie gezeigt wird der Desktop auf die gleiche Weise angezeigt wie die Konsolensitzung des Windows Server-Computers.
Remote Desktop Protocol-Sicherheitslücken
Das Remote Desktop Protocol war in der Vergangenheit extrem anfällig für verschiedene Angriffsformen, die es Hackern ermöglichten, Umgebungen zu kompromittieren und zu durchbrechen. Ist das Protokoll selbst sicher? Im Gegensatz zu HTTP und FTP, die unverschlüsselt sind, wird das Remote Desktop Protocol (RDP) über einen verschlüsselten Kanal übertragen. Dies verhindert, dass ein Angreifer den Netzwerkverkehr „abhören“ und vertrauliche Daten kompromittieren kann.
Es gibt jedoch einige RDP-Schwachstellen, die Sie beachten sollten. Dazu gehören:
- Sicherheitslücken
- Fehlkonfiguration
- Brute-Force-Angriffe
1. Sicherheitslücken
Es gab Probleme mit der Verschlüsselung des Remote Desktop Protocol (RDP) und Schwachstellen bei den früheren Versionen in älteren Windows-Betriebssystemen. In den letzten zwei Jahren wurden jedoch kritische Schwachstellen in der Implementierung des Remote Desktop Protocol durch Microsoft gefunden. Beispielsweise ist BlueKeep eine Sicherheitslücke, die in CVE-2019-0708 aufgeführt ist. Es ermöglicht einem Angreifer, über RDP eine Verbindung zu einem ungepatchten Zielsystem herzustellen und dann spezielle Pakete zu senden, die eine Remotecodeausführung ermöglichen.
Unternehmen müssen ihre Windows-Server und -Clients stets mit den aktuellsten Sicherheitspatches versehen, um zu verhindern, dass sie Opfer von Schwachstellen durch ungepatchte Sicherheitslücken werden, wie sie beispielsweise durch die BlueKeep-Sicherheitslücke entstehen.
2. Fehlkonfiguration
Remote Desktop Protocol (RDP) ist in Produktionsumgebungen häufig falsch konfiguriert und implementiert. RDP-Server sind häufig direkt mit dem Internet verbunden, da dies eine schnelle und einfache Möglichkeit ist, verteilten Mitarbeitern Fernzugriff zu gewähren. Remote Desktop Protocol (RDP)-Server sollten niemals direkt mit dem Internet verbunden sein, da dort TCP-Port 3389 direkt erreichbar ist. Das führt garantiert zur Katastrophe.
Stattdessen empfiehlt Microsoft, RDP mit einem Remote Desktop Services Gateway-Server zu implementieren. Wenn der RDS-Gateway-Server vor dem Backend-RDP-Sitzungshostserver sitzt, wird das RDP-Protokoll über eine SSL-HTTPS-Verbindung getunnelt. Diese Konfiguration verbessert die Sicherheit einer RDP-Implementierung erheblich.
Unten finden Sie die Referenzarchitektur von Microsoft zur Implementierung einer grundlegenden Remotedesktopdienste-Implementierung mit einem RDP-Server im Backend. Beachten Sie, dass der RDP-Server nicht direkt dem öffentlichen Internet ausgesetzt ist.
3. Brute-Force-Angriffe
Angreifer suchen im Internet nach exponierten RDP-Servern, da diese ein leichtes Ziel für Brute-Force-Angriffe sein können. Darüber hinaus können Angreifer Password-Spraying-Angriffe auf RDP-Servern durchführen und bekannte, gehackte Anmeldeinformationen auf exponierten Servern ausprobieren. Viele Organisationen stellen fest, dass die Überwachung von RDP-Servern Hunderte, wenn nicht Tausende fehlgeschlagener Anmeldeversuche auf ihren Servern durch Angreifer, Bots, Ransomware-Angriffe und andere aufdeckt!
Einem aktuellen Bericht zufolge sind Phishing-E-Mails und Angriffe auf Remote-Desktop-Dienste die beiden häufigsten Methoden, mit denen Cyberkriminelle Ransomware-Angriffe starten.
„ Angriffe auf RDP-Dienste , bei denen Cyberkriminelle schwache oder standardmäßige Benutzernamen und Passwörter mit Brute-Force-Angriffen knacken oder sich mitunter über Phishing-E-Mails Zugang zu legitimen Anmeldeinformationen verschaffen, sind bei Ransomware-Gruppen nach wie vor äußerst beliebt und machen ebenfalls 42 Prozent der Angriffe aus.“
Beachten Sie die Erwähnung schwacher oder standardmäßiger Benutzernamen und Passwörter sowie legitimer Anmeldeinformationen. Der Schutz von Passwörtern vor gängigen Angriffs- und Kompromittierungsformen ist äußerst wichtig, um vor Ransomware-Angriffen auf geschäftskritische Daten zu schützen.
Setzen Sie strenge Kennwortrichtlinien durch und nutzen Sie einen Kennwortschutz bei kompromittierten Passwörtern.
Unternehmen müssen unbedingt strenge Kennwortrichtlinien durchsetzen und ihre Umgebung proaktiv vor Passwortdiebstählen schützen. Die Herausforderung besteht darin, dass Microsoft Active Directory über keine modernen Kennwortrichtlinienfunktionen verfügt, um Organisationen vor gängigen Angriffsformen zu schützen.
Specops Password Policy stärkt die Passwortrichtlinien, da es die Möglichkeit bietet, Ihre Active Directory-Passwörter vor gehackten Passwörtern zu schützen. Darüber hinaus enthält es einen Schutz, der Live-Angriffsdaten in die Funktionen für gehackte Passwörter einbezieht und so kontinuierlichen Schutz vor den neuesten gehackten Passwortquellen bietet. Außerdem können Sie damit ganz einfach benutzerdefinierte Listen mit verbotenen Passwörtern zu Active Directory hinzufügen, die speziell auf Ihr Unternehmen zugeschnitten sind Facebook Video.
Während Active Directory benutzerdefinierte Kennwortfilter-DLLs integrieren kann, muss ein Entwickler die benutzerdefinierten Kennwortfilter-DLLs schreiben. Diese müssen dann korrekt in AD integriert werden. Der gesamte Prozess kann ohne die entsprechenden internen Fähigkeiten eine Herausforderung darstellen. Specops Password Policy ermöglicht die Integration benutzerdefinierter Kennwortfilterlisten mit nur wenigen Klicks.
Es verhindert außerdem, dass Endbenutzer Passwörter festlegen, die auf Listen mit gehackten Passwörtern im Dark Web und anderswo zu finden sind. Administratoren und Endbenutzer können benachrichtigt werden, wenn ihr Passwort gehackt wird.