Remote Desktop - RDP מוסבר¶
מנהל מערכות שצריך לתקן בעיה בשרת שיושב במרכז נתונים במקום אחר, או עובד שצריך לגשת למחשב המשרד מהבית - שניהם, ברוב הסיכויים, משתמשים באותו פרוטוקול בדיוק, שנקרא RDP.
מה זה RDP¶
RDP, ראשי תיבות של Remote Desktop Protocol, הוא פרוטוקול של מיקרוסופט שמאפשר להתחבר למחשב ווינדוס מרחוק, ולראות ולשלוט בשולחן העבודה שלו בדיוק כאילו יושבים מולו פיזית. בניגוד למנהור פשוט של פקודות טקסט כמו SSH, RDP מעביר תמונה גרפית מלאה, קלט מקלדת ועכבר, ואפילו אפשרות להעביר קבצים בין המחשב המרוחק למחשב שממנו מתחברים.
הכלי הלקוח, Remote Desktop Connection, מגיע מובנה בכל גרסת ווינדוס. בצד השרת, המחשב שאליו רוצים להתחבר צריך שRDP יופעל במפורש בהגדרות, כי הוא כבוי כברירת מחדל ברוב הגרסאות.
איך זה עובד בפועל¶
כשמתחברים דרך RDP, המחשב המרוחק לא שולח את התמונה הגרפית כווידאו רגיל - הוא שולח תיאור של מה שצריך להיראות על המסך, בפרוטוקול יעיל שמותאם לתנועה נמוכה יחסית ברשת. זו הסיבה שRDP יכול לעבוד בסבירות אפילו על חיבורי אינטרנט לא הכי מהירים, בהשוואה לכלים שמשדרים וידאו מלא.
חיבור RDP רץ כברירת מחדל על פורט 3389, וכולל תהליך אימות שדורש שם משתמש וסיסמה תקינים למחשב המרוחק, לפני שהחיבור בכלל נפתח.
הסכנה - חשיפת RDP ישירות לאינטרנט¶
זו אחת הטעויות הנפוצות והמסוכנות ביותר בעולם אבטחת המידע - חשיפת פורט RDP ישירות לאינטרנט, בלי שכבת הגנה נוספת, כדי לאפשר גישה מרחוק בקלות. הבעיה היא שברגע שפורט 3389 נגיש מהאינטרנט, הוא הופך למטרה מיידית לניסיונות brute force אוטומטיים, שבהם תוכנות סורקות את האינטרנט בחיפוש אחר פורטים כאלה, ומנסות אלפי שילובי שם משתמש וסיסמה בקצב מהיר.
מכונות עם RDP חשוף ומוגן חלש הן אחד הווקטורים הנפוצים ביותר לתקיפות תוכנת כופר, כי ברגע שתוקף מצליח לנחש או לגנוב פרטי התחברות, הוא מקבל שליטה מלאה על שולחן העבודה, בדיוק כמו המשתמש הלגיטימי.
איך עושים את זה נכון¶
הדרך המומלצת לגישה מרחוק לא כוללת חשיפה ישירה של RDP לאינטרנט בכלל. במקום זה, כדאי להתחבר קודם דרך VPN לרשת הארגונית או הביתית, ורק אז לפתוח חיבור RDP שנשאר פנימי לגמרי ולא נגיש מבחוץ. ארגונים גדולים משתמשים גם ב-Remote Desktop Gateway, שמאפשר שכבת אימות נוספת ומרוכזת לפני שחיבור RDP מגיע בכלל למחשב היעד.
בנוסף, כשRDP כן פתוח, חובה להגדיר סיסמאות חזקות, להגביל ניסיונות התחברות כושלים, ואם אפשר, להוסיף אימות דו שלבי, כדי שגניבת סיסמה בודדת לא תספיק בשביל גישה מלאה.
שכבת הגנה נוספת - NLA¶
תכונה נוספת שכדאי להכיר היא Network Level Authentication, בקיצור NLA, שמאלצת את המשתמש לאמת את עצמו עוד לפני שנפתח סשן גרפי מלא מול המחשב המרוחק. בלי NLA, תוקף יכול לפחות להגיע עד מסך ההתחברות ולנסות סיסמאות, גם בלי הרשאות תקינות. עם NLA מופעל, ברירת מחדל בגרסאות ווינדוס מודרניות, האימות קורה שלב מוקדם יותר, מה שמצמצם משמעותית את משטח התקיפה הזמין למי שמנסה לגשת בלי הרשאה.
לסיכום¶
RDP הוא כלי בעל ערך אמיתי, שמאפשר גישה מרחוק נוחה ומלאה למחשב ווינדוס. אבל הכוח שלו - שליטה מלאה בשולחן העבודה - הוא בדיוק מה שהופך חשיפה לא זהירה שלו לאינטרנט לאחת הטעויות היקרות ביותר בעולם אבטחת המידע. הכלל הבסיסי הוא פשוט - RDP צריך לרוץ מאחורי VPN, לא חשוף ישירות לעולם.
רוצים להעמיק עוד באבטחת מחשבי ווינדוס וגישה מרחוק? יש לנו קורס ווינדוס בסיסי מלא בחינם שבונה את הידע הזה שלב אחרי שלב.
יש לכם שאלה על RDP או אבטחת גישה מרחוק? בואו לדבר בדיסקורד.