Porta RDP : della serie “cose da utilizzatori Microsoft”.
Mi connetto ?
Il Remote Desktop Protocol (RDP) è un protocollo di comunicazione “sicuro “di rete progettato per la gestione remota. In questo ultimo periodo sono aumentati del 8000% i server esposti su internet con funzionalita RDP.
Il protocollo RDP può supportare fino a 64.000 canali indipendenti per la trasmissione dei dati. I dati possono essere crittografati utilizzando chiavi a 128 bit e la funzione di riduzione della larghezza di banda ottimizza la velocità di trasferimento dati nelle connessioni a bassa velocità.
Con l’introduzione di Windows XP, Microsoft ha rinominato la tecnologia originale Terminal Server, acquistata da Citrix anni prima, in “Desktop Remoto”.
Terminal Server / Remote Desktop permette ad un client remoto di accedere da remoto ad una macchina adeguatamente “attrezzata e abilitata”. Una volta connessi permette di visualizzare un desktop completamente grafico da quella macchina remota.
Il protolocco RDP
Osserviamo lo stack RDP.
Le attività che vengono svolte nell’invio e nella ricezione di dati attraverso lo stack RDP sono essenzialmente le stesse degli standard del modello OSI a sette livelli previsti per le odierne comunicazioni ordinarie di rete LAN.
I dati di un’applicazione o di un servizio da trasmettere vengono fatti transitare attraverso gli stack di protocollo, sezionati, indirizzati a un canale (tramite il componente MCS), crittografati, compattati, finalizzati, suddivisi in pacchetti con il protocollo di rete e infine inviati via cavo al client.
Il percorso dei dati restituiti è il medesimo ma è all’inverso: il pacchetto di dati viene privato dell’indirizzo, quindi scompattato, decrittografato e così via, finché i dati vengono presentati all’applicazione perché possano essere utilizzati. Le parti chiave delle modifiche apportate dagli stack di protocollo hanno luogo tra il quarto e il settimo livello, laddove i dati vengono crittografati, compattati, finalizzati, inviati a un canale e suddivisi per priorità.
Quindi ?
È tutto molto bello e funziona sorprendentemente bene (per un’interfaccia utente grafica collegata a distanza). Ma, avete mai pensato alla sicurezza?. Poiché tutti sanno che Remote Desktop gira sulla porta TCP 3389, le scansioni Internet per la porta 3389 sono di prassi.
Da un rigoroso punto di vista della sicurezza:
“Io utilizzo password lunghe 50 caratteri!”. Indipendentemente dal nome utente e dalla forza delle password disponibili sulla macchina di hosting, chiunque stia deliberatamente lasciando la porta 3389 (o qualsiasi altra porta assegnata a questo servizio) spalancata e disponibile per l’intera rete Internet sta correndo un pericolo estremo.
Non bisogna dimenticare che TUTTE le porte aperte – come la 3389 – hanno server e servizi Internet in esecuzione dietro di loro, anche se è su una macchina in casa vostra. Diventa VOSTRA la responsabilità quando aprite deliberatamente ed esponete le porte a Internet.
Mentre alcuni sostengono che nessuno sarebbe in grado di indovinare un nome utente. e una password sufficientemente bizzarri, altri affermano che questo NON è l’unico rischio per la sicurezza (lo dico pure io). Il track record di Microsoft delle vulnerabilità dei server pubblicamente esposti e sfruttabili in remoto è così grave che probabilmente è vero che non hanno mai offerto un server o servizio in cui alla fine non sono state scoperte (e spesso sfruttate) molteplici vulnerabilità di sicurezza.
Stando così le cose, sarebbe meglio non esporre un server “Remote Desktop”. Perche? Perche un un giorno la comunità di hacker scoprirà il metodo per utilizzare aggirare il senso di “sicurezza” dei mezzi Microsoft e sfruttare la fiducia che si è implicitamente riposta in essa.
E ricordate, una porta aperta, una porta che risponde, può sempre essere sfruttata: anche solo per abbattervi il server!
Che cosa si può fare?
Bisogna bloccare le porte. Come ?
L’unica soluzione sicura è impedire che la porta 3389 (o qualsiasi altra porta assegnata allo scopo) del sistema sia esposta a livello globale. In questo modo, solo gli utenti remoti specificamente selezionati avranno la minima idea che la porta 3389 (o qualsiasi altra porta assegnata a questo servizio) sia aperta.
Se devi essere in grado di accedere al tuo sistema da qualsiasi punto di Internet, da qualsiasi indirizzo IP, non c’è niente che tu possa fare per nascondere la porta. Non avrete modo di limitare chi può vedere la porta 3389 () sul vostro sistema se avete bisogno di essere in grado di vederla da qualsiasi IP.
Utilizzare firewall ? Se, come nel caso di molti utilizzatori , avete solo bisogno di accedere al vostro sistema da una o poche postazioni con IP fissi, o intervalli fissi di IP, molti prodotti desktop personal firewall gratuiti o poco costosi possono essere utilizzati per limitare gli IP da cui può fluire il traffico da e verso la porta 3389 del vostro sistema.
In questo modo, è possibile continuare ad avere libero accesso al vostro sistema remoto da posizioni specifiche (per indirizzo IP). Nessun altro troverà alcuna opportunità di potenziale sfruttamento!
Cambiamo porta?
E’ perfettamente inutile che cercate di “mascherate” e modificate il “port number”. Basta un rapido scan delle porte e il servizio RDP risponderà come un pappagallo.
Della serie : protocollo RDP ? No grazie !
Potrebbe interessare : Come proteggere una porta in linux