Wat is extern bureaubladprotocol (RDP, Remote Desktop Protocol)?
- IAM-woordenlijst
- Wat is extern bureaubladprotocol (RDP, Remote Desktop Protocol)?
Remote Desktop Protocol (RDP) is een netwerkcommunicatieprotocol waarmee gebruikers extern verbinding kunnen maken met computers op een veilige manier. Met RDP kunnen IT-beheerders en DevOps-personeel op afstand systeemonderhoud en reparaties uitvoeren, en krijgen niet-technische eindgebruikers extern toegang tot hun werkstations.
RDP werd oorspronkelijk ontwikkeld door Microsoft en is geïnstalleerd op de meeste Windows-machines. Daarnaast zijn RDP-clients, inclusief open-source-versies, beschikbaar voor Mac OS, Apple iOS, Android en Linux/Unix-systemen. Zo is Java Remote Desktop Protocol een open-source-Java RDP-client voor Windows Terminal Server, terwijl Apple Remote Desktop (ARD) een eigen oplossing is voor Macs.
Hoe werkt Remote Desktop Protocol (RDP)?
RDP wordt soms verward met cloudcomputing omdat met beide technologiëen werken op afstand mogelijk wordt gemaakt. Maar de externe toegang is wel de enige overeenkomst tussen RDP en de cloud.
In een cloudomgeving hebben gebruikers toegang tot bestanden en apps die zijn opgeslagen op cloudservers – niet de harde scijf van de desktopcomputer. RDP verbindt gebruikers rechtstreeks met desktopcomputers, waardoor ze toegang hebben tot bestanden en apps kunnen uitvoeren alsof ze fysiek voor die machine zitten. Vanuit dit perspectief is RDP gebruiken om verbinding te maken en op een externe computer te werken net zoals een afstandsbediening gebruiken om een drone te besturen. Alleen verzend RDP gegevens over internet in plaats van gebruik te maken van radiofrequenties.
Voor RDP moeten gebruikers clientsoftware installeren op de machines waarvandaan ze verbinding maken, en serversoftware op de machine waarmee verbinding wordt gemaakt. Zodra er verbinding is met de externe machine, zien externe gebruikers dezelfde grafische gebruikersinterface (GUI) en hebben ze toegang tot bestanden en apps op dezelfde manier als dat ze lokaal zouden werken.
RDP-client- en serversoftware communiceren via netwerkpoort 3389, waarbij het TCP/IP -transportprotocol wordt gebruikt om muisbewegingen, toetsaanslagen en andere gegevens te verzenden. RDP versleutels alle gegevens onderweg om te voorkomen dat hackers ze onderscheppen. Vanwege de GUI is de client- en servercommunicatie zeer asymmetrisch. Terwijl de client alleen de muis- en toetsenbordinvoeren verzendt (bestaande uit relatief weinig gegevens), moet de server de gegevensintensieve GUI versturen.
Waar wordt RDP voor gebruikt?
Zelfs in een cloudgebaseerde wereld is RFP een uitstekende keuze voor veel praktijkvoorbeelden. Hier zijn een aantal van de meest populaire:
- Omdat RDP gebruikers direct verbindt met een specifieke machine, wordt het uitgebreid gebruikt door beheerders, helpdesks en personeel van technische ondersteuning om desktopcomputers en servers te installeren, onderhouden, problemen op te lossen en repareren.
- RDP biedt een kant-en-klare GUI bij het verbinden met servers, zodat beheerders kunnen kiezen of ze hun werk via de GUI willen doen in plaats van via de interface met opdrachtregels (CLI, Command Line Interface).
- RDP stelt gebruikers in staat om een mobiel apparaat of een computer met lage kwalificaties te gebruiken om toegang te krijgen tot een externe machine met veel meer rekenkracht.
- Verkoop- en marketingpersoneel kan RDP gebruiken voor demonstraties van processen of software-applicaties die normaal gesproken alleen toegankelijk zijn op locatie.
- RDP en cloudcomputing kunnen samen worden gebruikt. Microsoft Entra ID (Azure)-klanten gebruiken RDP voor toegang tot virtuele machines in hun Entra ID (Azure)-cloudsessies. Soms gebruiken organisaties RDP om thuiswerkers toegang tot geven tot cloudomgevingen via een virtuele desktopinterface (VDI), die eenvoudiger kan zijn voor niet-technische gebruikers.
Wat zijn de voor- en nadelen van RDP?
Aangezien het direct verbinding maakt met servers en computers op locatie, maakt RDP werken op afstand mogelijk in organisaties met oude infrastructuur op locatie, waaronder hybride cloudomgevingen. Op dezelfde manier is RDP een geweldige optie als externe gebruikers toegang moeten hebben tot gegevens die moet worden opgeslagen op locatie omwille van wettelijke of nalevingsredenen. IT- en beveiligingsbeheerders kunnen RDP-verbindingen met een bepaalde machine beperken tot maar een paar gebruikers (of zelfs maar eentje) tegelijkertijd.
Maar ook al heeft RDP veel voordelen, er zijn ook een paar nadelen, waaronder:
- Aangezien toetsenbord- en muisactiviteit moet worden versleuteld, vervolgens verstuurd via internet naar de externe machine, hebben RDP-verbindingen vaak last van vertragingen, helemaal als de clientcomputer een slechte internetverbinding heeft.
- RDP vereist het gebruik van software op zowel client- als servermachines. Hoewel deze software vooraf wordt geïnstalleerd op de meeste versies van Windows, moet deze nog wel worden geconfigureerd en onderhouden. Als RDP niet goed is ingesteld, en als software-updates niet prompt worden toegepast, kunnen er aanzienlijke beveiligingsproblemen optreden.
- RDP is vatbaar voor diverse beveiligingsproblemen, die we in het volgende gedeelte gaan bespreken.
Beveiligingsproblemen RDP
De twee grootste beveiligingsproblemen van RDP hebben betrekking op zwakke aanmeldingsgegevens en de openstelling van poort 3389 naar internet
Als het om hun eigen apparaten gaat, gebruiken werknemers vaak zwakke wachtwoorden, slaan wachtwoorden onveilig op en hergebruiken wachtwoorden voor meerdere accounts. Dit is inclusief wachtwoorden voor RDP-verbindingen. Gecompromitteerde RDP-aanmeldingsgegevens zijn een grote aanvalskant voor ransomware. Het probleem is zo wijdverbreid, dat in een meme op sociale media wordt gegrapt dat RDP eigenlijk staat voor 'Ransomware Deployment Protocol'.
Aangezien RDP-verbindingen standaard gebruikmaken van poort 3389, richten hackers zich op deze poort voor aanvallen, met name man-in-the-middle-aanvallen. Bij zo'n aanval, plaatst een bedreiger zich tussen de client en de servermachine, waar de communicatie heen en weer kan worden onderschept, gelezen en aangepast.
Hoe kunt u RDP beveiligen?
Besluit eerst of uw organisatie RDP echt moet gebruiken, of dat u beter af bent met een alternatief voor RDP, zoals Virtual Network Computing (VNC), een platformonafhankelijk grafisch systeem voor bureaublad delen. Als RDP uw beste optie is, beperk de toegang dan tot alleen de gebruikers die het absoluut nodig hebben, en vergrendel de toegang tot poort 3389. Opties om poort 3389 te beveiligen:
- Configureer firewall-regels, zodat alleen IP's op de acceptatielijst toegang hebben tot poort 3389.
- Eis van gebruikers dat ze verbinding maken met een Virtual Private Network (VPN) voordat ze zich aanmelden bij RDP.
- Als alternatief voor een VPN kunt u gebruikers verplichten om te verbinden met RDP via een externe desktop-gateway, zoals Keeper Connection Manager. Naast dat het gebruikersvriendelijker is en minder log dan een VPN, hebben externe desktop-gateways mogelijkheden om sessies op te nemen en stellen beheerders in staat om het gebruik van multi-factor-authenticatie (MFA) verplicht te stellen.
Uitgebreide wachtwoordbeveiliging is net zo belangrijk als bescherming tegen poortgebaseerde aanvallen:
- Vereist dat werknemers sterke, unieke wachtwoorden gebruiken voor elk account, niet alleen RDP, en vereist het gebruik van MFA. Zet een Enterprise Password Manager (EPM) zoals Keeper in om deze beleidsregels af te dwingen.
- Overweeg RDP-wachtwoorden te 'maskeren'. Dit is een functie in wachtwoordbeheerders, inclusief Keeper, waarmee gebruikers een wachtwoord automatisch kunnen invullen in een aanmeldingsformulier, maar de gebruiker het wachtwoord niet kan zien.
- Gebruik niet de gebruikersnaam 'beheerder', 'admin' of vergelijkbaar. Veel geautomatiseerde wachtwoordkrakers proberen om het wachtwoord te raden voor de beheerder, aangezien dat account de hoogste privileges heeft.
- Gebruik snelheidsbeperking als verdediging tegen brute force-wachtwoordaanvallen. Snelheidsbeperkingen voorkomen dat wachtwoordkrakende bots honderdduizenden rapid-file wachtwoordgokpogingen binnen korte tijd doen door de gebruiker te blokkeren na een paar onjuiste gokken.