Tichá hrozba: Ako RDP port 3389 otvára dvere hackerom

RDP je jedna z najpohodlnejších vecí, ktoré si admin vie zapnúť. Sedíš doma, pripojíš sa na server, otvoríš vzdialenú plochu a máš pocit, že si v práci, len bez firemného kávovaru a náhodného kolegu za chrbtom. Problém je, že rovnaký pocit má aj útočník, keď nájde verejne dostupný rdp port 3389.

Tento článok je súčasťou série o tom, ako fungujú sieťové porty, ktoré musíš poznať. Ak si chceš najprv spraviť širší obraz o tom, ktoré porty sú nebezpečné a prečo ich útočníci radi skenujú, začni práve rozcestníkom.

Microsoft uvádza, že Remote Desktop používa Remote Desktop Protocol a predvolene počúva na porte 3389. RDP je určené na vzdialené pripojenie k počítačom so systémom Windows alebo Windows Server. Samotný protokol teda nie je zlo. Zlo začína vtedy, keď je vzdialená plocha otvorená do internetu, chránená slabým heslom, bez MFA, bez VPN a bez rozumnej kontroly prístupov.

Prečo je RDP také lákavé?

RDP je pre útočníka veľmi praktická vec. Ak sa mu podarí uhádnuť, kúpiť alebo získať prihlasovacie údaje, nedostane len nejakú malú službu. Dostane celé pracovné prostredie. Vidí plochu, súbory, aplikácie, mapované disky, interné nástroje a niekedy aj oprávnenia, ktoré by používateľ nemal mať ani v stave hlbokého optimizmu.

CISA priamo uvádza RDP medzi slabinami a nesprávnymi konfiguráciami, ktoré ransomwarové kampane využívajú. Útočníci môžu cez port 3389 získať neoprávnený prístup najmä pri slabých alebo kompromitovaných RDP účtoch. CISA zároveň vo svojich ransomware materiáloch spomína RDP credentials a brute force ako bežné cesty získania prístupu do sietí.

A tu prichádza prvá špecialitka: RDP nie je problém preto, že existuje. Problém je, že vyzerá ako normálna administrátorská služba, ale pri zlom nastavení sa zmení na recepciu pre útočníka. Nie zadné dvere. Predné dvere. S rohožkou. A niekedy aj s heslom nalepeným na vrátnici.

Brute-force útoky RDP: keď robot skúša kľúče

Brute-force útoky RDP sú jednoduché v princípe a nepríjemné v praxi. Automatizovaný nástroj skúša používateľské mená a heslá. Admin, Administrator, user, test, účtovníctvo, meno firmy, staré účty, lokálne účty. Skúša to znova a znova, často z rôznych IP adries. Ak neexistuje blokovanie pokusov, MFA, monitoring a rozumné heslá, útočník má čas.

Najhoršie na tom je, že útok nemusí byť hlučný pre bežného používateľa. Počítač funguje, server beží, účtovníctvo tlačí faktúry a v logoch medzitým prebieha malý festival neúspešných prihlásení. Kým si to niekto všimne, môže byť neskoro.

Preto je rdp port 3389 taký citlivý. Nie preto, že každý otvorený port automaticky znamená incident. Ale preto, že ak je verejne dostupný, útočníci ho vedia nájsť, skúšať a zneužívať. Pri RDP navyše nejde o obyčajné „pripojil som sa k službe“. Ide o pokus dostať sa priamo k ovládaniu systému.

Zraniteľnosť vzdialenej plochy nie je len teória

Keď sa povie zraniteľnosť vzdialenej plochy, veľa ľudí si predstaví starý článok z minulosti, ktorý sa ich už netýka. Lenže história RDP ukázala, že vzdialený prístup je veľmi citlivá plocha. Príkladom je CVE-2019-0708, známe ako BlueKeep. Microsoft ho označil ako kritickú zraniteľnosť Remote Desktop Services umožňujúcu vzdialené spustenie kódu na nepodporovaných alebo neaktualizovaných systémoch. NVD opisuje CVE-2019-0708 ako zraniteľnosť, pri ktorej sa neautentifikovaný útočník pripája cez RDP a posiela špeciálne vytvorené požiadavky.

To neznamená, že každý dnešný Windows má BlueKeep. Znamená to niečo iné: RDP patrí medzi služby, pri ktorých aktualizácie, segmentácia a blokovanie z internetu nie sú kozmetika. Sú to brzdy. A brzdy netreba riešiť až vtedy, keď auto letí z kopca.

Ako má vyzerať rozumné RDP

Základné pravidlo je jednoduché: RDP nevystavuj priamo do internetu. Ak ho potrebuješ, použi VPN, RD Gateway, obmedzenie podľa IP adries, MFA a Network Level Authentication. Microsoft má samostatnú dokumentáciu k plánovaniu MFA pre Remote Desktop Services a uvádza, že MFA pridáva dodatočné overenie identity, čím znižuje riziko neoprávneného prístupu.

Zmena portu z 3389 na iné číslo môže znížiť hluk v logoch, ale nie je to bezpečnostná stratégia. Je to skôr presunutie zvončeka na inú stenu. Boty možno chvíľu klopú inde, ale ak je služba stále verejne dostupná a slabá, problém ostáva.

rdp-port-3389-schema-workflow

en-rdp-port-3389-scheme-workflow

Checklist: RDP port 3389 bez paniky, ale s rozumom

Mini prax: ako blokovať port 3389 na firewalle

Na perimetri siete by som nastavil základ:

Microsoft dokumentuje správu Windows Firewallu cez PowerShell a cmdlet New-NetFirewallRule, ktorý vytvára pravidlá s podmienkami ako smer, protokol, port a vzdialená adresa.

Windows: povoliť RDP iba z lokálnej siete

Windows: blokovať RDP z internetu

Windows: blokovať RDP úplne

Na Linuxe sa port 3389 používa napríklad pri RDP serveroch typu xrdp. Ak ho nepotrebuješ, neotváraj ho. Pri firewalld platí princíp, že port musí byť otvorený, aby prepúšťal sieťovú komunikáciu; firewalld štandardne blokuje porty, ktoré nie sú explicitne otvorené v danej zóne.

Linux UFW: povoliť iba LAN a blokovať ostatné

Linux UFW: blokovať RDP úplne

Linux firewalld: odstrániť povolenie portu 3389

Pozor: ak tieto príkazy spúšťaš cez vzdialené pripojenie, najprv si over alternatívny prístup. Inak si môžeš odpíliť konár, na ktorom sedíš, a adminský pád býva veľmi poetický, hlavne keď je server 40 kilometrov ďaleko.

Záver

Rdp port 3389 je pohodlný sluha, ale zlý verejný vrátnik. V internej sieti, cez VPN, s MFA, NLA, silnými heslami a dobrým monitoringom môže byť RDP normálny pracovný nástroj. Na verejnej IP bez ochrany je to pozvánka na problém.

Ak si z článku odniesť jednu vetu, nech je to táto: RDP nemá byť otvorená brána do firmy, ale kontrolovaný vstup cez bezpečnostnú recepciu. Lebo útočník nepotrebuje rozbiť okno, keď mu necháš dvere na vzdialenú plochu otvorené dokorán.

Zdroje :

Microsoft , Microsoft Security