Portar

Port 3389: RDP

Windows Remote Desktop. Högt värdemål för brute force- och ransomware-operatörer.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

TCP port 3389 är standardporten för Remote Desktop Protocol, som tillhandahåller en interaktiv fjärrsession till Windows-system. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd. En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar.

Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda. Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket.

En RDP-tjänst lyssnar på 3389 och en klient ansluter från en tillfällig källport för att starta en session. Efter TCP-handskakningen förhandlar klienten och servern om säkerhet och sessionsparametrar, och med Network Level Authentication autentiseras användaren innan hela skrivbordssessionen skapas.

Sessionen innehåller sedan skärmuppdateringar, urklipp, filomdirigering och inmatningshändelser. Eftersom RDP är fullständig fjärrkontroll, är det ett högvärdigt mål.

Exponerad 3389 är kraftigt skannad och är associerad med lösenordssprayning, brute force och utnyttjande av opatchade sårbarheter. I praktiken placerar säkra konstruktioner RDP bakom VPN- eller hoppvärdar, upprätthåller MFA och övervakar efter misslyckade inloggningar och ovanligt skapande av sessioner.

Hur det fungerar i stora drag

  1. Klienten ansluter och förhandlar sessionsparametrar och kryptering.
  2. Användaren autentiserar, helst med nätverksnivåautentisering innan hela skrivbordssessionen har upprättats.
  3. Sessionen innehåller skärmuppdateringar, inmatning, urklipp och ibland funktioner för enhetskartläggning och filöverföring.

Konkret exempel

En MSP exponerar RDP för att hantera servrar. Efter en lösenordsläcka loggar en angripare in och distribuerar ransomware. Den säkrare designen är VPN plus MFA och en hoppvärd med tight revision.

Varför det är viktigt

RDP exponering är en stor riskfaktor. Angripare bruteforce-angrepp med läckta autentiseringsuppgifter, utnyttja okorrigerade brister eller köp läckta autentiseringsuppgifter och använd sedan RDP för interaktiv kontroll. Även internt kan överdriven RDP åtkomst påskynda sidorörelser.

Säkerhetsperspektiv

  • Använd VPN eller en bastionsvärd, framtvinga MFA och begränsa med IP och enhetshållning.
  • Aktivera NLA och behåll Windows patchat.
  • Övervaka inloggningar, lockouthändelser och ovanliga sessionslängder eller geografiska platser.

Vanliga fallgropar

  • Publicerar RDP direkt på internet utan MFA och stark åtkomstkontroll.
  • Tillåter svaga lösenord eller delade konton.
  • Lämna omdirigering av urklipp och enhet aktiverade där det inte behövs.