Porta RDP : della serie “cose da utilizzatori Microsoft”.

Mi connetto ?

Il Remote Desktop Protocol (RDP) è un protocollo di comunicazione “sicuro “di rete progettato per la gestione remota.

Il protocollo RDP può supportare fino a 64.000 canali indipendenti per la trasmissione dei dati. I dati possono essere crittografati utilizzando chiavi a 128 bit e la funzione di riduzione della larghezza di banda ottimizza la velocità di trasferimento dati nelle connessioni a bassa velocità.

Con l’introduzione di Windows XP, Microsoft ha rinominato la tecnologia originale Terminal Server, acquistata da Citrix anni prima, in  “Desktop Remoto”.

Terminal Server / Remote Desktop permette ad un client remoto di accedere da remoto ad una macchina adeguatamente “attrezzata e abilitata” e di visualizzare un desktop completamente grafico da quella macchina remota.

Il protolocco RDP

Le attività che vengono svolte nell’invio e nella ricezione di dati attraverso lo stack RDP sono essenzialmente le stesse degli standard del modello OSI a sette livelli previsti per le odierne comunicazioni ordinarie di rete LAN. I dati di un’applicazione o di un servizio da trasmettere vengono fatti transitare attraverso gli stack di protocollo, sezionati, indirizzati a un canale (tramite il componente MCS), crittografati, compattati, finalizzati, suddivisi in pacchetti con il protocollo di rete e infine inviati via cavo al client. Il percorso dei dati restituiti è il medesimo ma è all’inverso: il pacchetto di dati viene privato dell’indirizzo, quindi scompattato, decrittografato e così via, finché i dati vengono presentati all’applicazione perché possano essere utilizzati. Le parti chiave delle modifiche apportate dagli stack di protocollo hanno luogo tra il quarto e il settimo livello, laddove i dati vengono crittografati, compattati, finalizzati, inviati a un canale e suddivisi per priorità.

protocollo rdp
protocollo rdp

Quindi ?

È tutto molto bello e funziona sorprendentemente bene (per un’interfaccia utente grafica collegata a distanza), ma si possono immaginare le implicazioni per la sicurezza. Poiché tutti sanno che Remote Desktop gira sulla porta TCP 3389, le scansioni Internet per la porta 3389 sono di prassi.

Da un rigoroso punto di vista della sicurezza:

indipendentemente dal nome utente e dalla forza delle password disponibili sulla macchina di hosting, chiunque stia deliberatamente lasciando la porta 3389  (o qualsiasi altra porta assegnata a questo servizio) spalancata e disponibile per l’intera rete Internet sta correndo un pericolo estremo.

Non bisogna dimenticare che TUTTE le porte aperte – come la 3389 – hanno server e servizi Internet in esecuzione dietro di loro, anche se è su una macchina in casa vostra. Diventa  VOSTRA la responsabilità quando aprite deliberatamente ed esponete le porte a Internet.

Mentre alcuni sostengono che nessuno sarebbe in grado di indovinare un nome utente e una password sufficientemente bizzarri, altri affermano che questo  NON è l’unico rischio per la sicurezza. Il track record di Microsoft delle vulnerabilità dei server pubblicamente esposti e sfruttabili in remoto è così grave che probabilmente è vero che non hanno mai offerto un server o servizio in cui alla fine non sono state scoperte (e spesso sfruttate) molteplici vulnerabilità di sicurezza.

Stando così le cose, sarebbe meglio non esporre un server “Remote Desktop” dato che un giorno la comunità di hacker scoprirà il metodo per utilizzare aggirare il senso di “sicurezza” dei mezzi Microsoft e sfruttare la fiducia che si è implicitamente riposta in essa.



Che cosa si può fare?

L’unica soluzione sicura è impedire che la porta 3389 del sistema sia esposta a livello globale. In questo modo, solo gli utenti remoti specificamente selezionati avranno la minima idea che la porta 3389 (o qualsiasi altra porta assegnata a questo servizio) sia aperta.

Se devi essere in grado di accedere al tuo sistema da qualsiasi punto di Internet, da qualsiasi indirizzo IP, non c’è niente che tu possa fare per nascondere la porta. Non avrete modo di limitare chi può vedere la porta 3389 () sul vostro sistema se avete bisogno di essere in grado di vederla da qualsiasi IP.

Ma se, come nel caso di molte persone, avete solo bisogno di accedere al vostro sistema da una o poche postazioni con IP fissi, o intervalli fissi di IP, molti prodotti desktop personal firewall gratuiti o poco costosi possono essere utilizzati per limitare gli IP da cui può fluire il traffico da e verso la porta 3389 del vostro sistema.

In questo modo, è possibile continuare ad avere libero accesso al vostro sistema remoto da posizioni specifiche (per indirizzo IP), mentre nessun altro che può essere la scansione di Internet troverà alcuna opportunità di potenziale sfruttamento.

E’ perfettamente inutile che cercate di  “mascherate” e modificate il “port number”. Basta un rapido scan delle porte e il servizio RDP risponderà come un pappagallo.

Della serie : protocollo RDP ? No grazie !