Czym jest protokół pulpitu zdalnego?
- Słownik IAM
- Czym jest protokół pulpitu zdalnego?
Protokół pulpitu zdalnego (RDP) to sieciowy protokół komunikacyjny, który umożliwia użytkownikom zdalne połączenie z komputerami w bezpieczny sposób. Umożliwia też administratorom IT i specjalistom DevOps przeprowadzanie konserwacji i napraw zdalnych systemów, a nietechnicznym użytkownikom końcowym zdalny dostęp do swoich stanowisk pracy.
Protokół RDP został stworzony przez firmę Microsoft i jest fabrycznie zainstalowany na większości urządzeń Windows. Klienci RDP, w tym wersje open-source, są dostępni na system Mac OS, Apple iOS, Android oraz Linux/Unix. Na przykład protokół pulpitu zdalnego Java jest klientem open source Java RDP dla usługi Windows Terminal Server, a pulpit zdalny Apple (ARD) to rozwiązanie własnościowe dla systemów Mac.
Jak działa protokół pulpitu zdalnego?
RDP jest często mylony z chmurami obliczeniowymi, gdyż obie technologie umożliwiają pracę zdalną. Jednak dostęp zdalny to punk, gdzie kończą się podobieństwa między RDP i chmurą.
W środowisku opartym na chmurze użytkownicy uzyskują dostęp do plików i aplikacji przechowywanych na serwerach w chmurze, a nie na dysku twardym ich komputerów. RDP natomiast bezpośrednio łączy użytkowników z komputerem stacjonarnym, umożliwiając im dostęp do plików i uruchamianie aplikacji, zupełnie jakby siedzieli przed tym komputerem. Z tej perspektywy korzystanie z RDP w celu łączenia się z komputerem zdalnym przypomina używanie pilota do sterowania dronem, tyle ze RDP przesyła dane przez internet, a nie przez fale radiowe.
RDP wymaga od użytkowników zainstalowania oprogramowania klienta na maszynach, z których się łączą, oraz oprogramowania serwerowego na maszynach, do których próbują się połączyć. Po połączeniu z maszyną zdalną użytkownicy zdalni widzą taki sam graficzny interfejs użytkownika (GUI) i uzyskują dostęp do plików i aplikacji w taki sam sposób, jakby pracowali lokalnie.
Klient RDP i serwer komunikują się przez port sieciowy 3389 przy użyciu protokołu TCP/IP do przesyłu ruchów myszy, pracy klawiatury i innych danych. RDP szyfrują wszystkie przesyłane dane, aby zapobiegać czynnikom zagrażającym przejęcie tych danych. Z powodu GUI komunikacja między klientem i serwerem jest bardzo asymetryczna. Klient przesyła tylko ruchy myszki i pracę klawiatury, czyli dość mało danych, natomiast serwer musi przesłać GUI zajmujące dużo danych.
Do czego używany jest protokół RDP?
Nawet w środowisku w chmurze RDP jest doskonałym rozwiązaniem dla wielu przypadków użycia. Oto najpopularniejsze:
- RDP łączy użytkowników bezpośrednio do określonej maszyny, więc jest stosowany bardzo często przez administratorów i działy wsparcia technicznego w celu konfigurowania, utrzymywania, i naprawiania komputerów i serwerów zdalnych.
- DP zapewnia gotowy GUI podczas łączenia z serwerami, więc administratorzy mogą wybrać, czy chcą korzystać z GUI czy z interfejsu wiersza poleceń (CLI).
- RDP umożliwia użytkownikom używanie urządzeń mobilnych lub komputery o mniejszej wydajności w celu uzyskania dostępu maszyny zdalnej z dużo większą mocą obliczeniową.
- Pracownicy działów sprzedaży mogą korzystać z protokołu RDP podczas demonstracji procesów lub aplikacji, które są zwykle dostępne lokalnie.
- RDP i chmura mogą być stosowane razem. Klienci Microsoft Entra ID (Azure) stosują RDP, aby uzyskać dostęp do maszyn wirtualnych w chmurze Entra ID (Azure). Niektóre organizacje korzystają z RDP, aby umożliwić pracownikom zdalnym dostęp do środowiska w chmurze poprzez infrastrukturę pulpitu wirtualnego (VDI), co może być prostsze dla użytkowników nietechnicznych.
Jakie są wady i zalety RDP?
RDP łączy się bezpośrednio z serwerami i komputerami lokalnymi i umożliwia pracę zdalną w organizacjach ze starszą infrastrukturą lokalną, w tym hybrydowymi środowiskami w chmurze. RDP jest też doskonałą opcją, gdy użytkownicy zdalni muszą uzyskać dostęp do danych, które z powodów prawnych są hostowanych lokalnie. Dział IT i administratory bezpieczeństwa mogą ograniczyć połączenia RDP z określoną maszyną do zaledwie kilku użytkowników (a nawet jednego) w określonym czasie.
RDP ma wiele zalet, ale trzeba pamiętać również o kilku wadach, w tym:
- Aktywność klawiatury i myszki musi być szyfrowana, a następnie przekazywana przez internet do maszyny zdalnej, połączenie RDP może powodować opóźnienia, zwłaszcza jeśli komputer klienta ma wolne połączenie internetowe.
- RDP wymaga używania oprogramowania zarówno na urządzeniu klienta i serwera. Takie oprogramowanie jest zainstalowane fabrycznie w przypadku większości wersji systemu Windows, ale trzeba jest skonfigurować i utrzymywać. Jeśli RDP nie zostanie poprawnie zainstalowany i oprogramowanie nie będzie regularnie aktualizowane, mogą wystąpić poważne problemy z zabezpieczeniami.
- Protokół RDP jest narażony na wiele luk w zabezpieczeniach, które opiszemy w następnej sekcji.
Luki w zabezpieczeniach RDP
Dwie największe luki w zabezpieczeniach RDP to słabe poświadczenia logowania i połączenie porty 3389 z internetem.
Na swoich własnych urządzeniach pracownicy korzystają ze słabych haseł, przechowują je w nieodpowiedni sposób i używają tych samych haseł na wielu urządzeniach. Takie praktyki obejmują również hasła do połączeń RDP. Skradzione dane logowania do RDP główny czynnik w atakach szantażujących. Problem jest na tyle poważny, że popularny mem krążący w mediach społecznościowych sugeruje, że RDP oznacza: „ransomware deployment protocol”.
Ze względu na to, że połączenia RDP korzystają domyślnie z portu 3389, port ten stał się celem ataków zwanych atakami „man-in-the-middle”. Podczas takiego ataku czynnik atakujący znajduje się pomiędzy urządzeniem klienta a urządzeniem serwera, gdzie może przejąć , odczytać i zmodyfikować komunikację wychodzącą i przychodzącą.
Jak zabezpieczyć RDP?
Zastanów się, czy Twoja organizacja naprawdę musi korzystać z RP, czy lepiej skorzystać z dostępnych alternatyw, np. VNC, czyli systemu do udostępniania obrazu graficznego. Jeśli RDP jest najlepszą opcją, ogranicz dostęp tylko do użytkowników, którzy naprawdę go potrzebują i zamknij dostęp do portu 3389. Opcje zabezpieczania portu 3389 obejmują:
- Skonfiguruj zapory systemu w taki sposób, aby zezwalały na dostęp do portu 3389 tylko znanym adresom IP.
- Wymagaj od użytkowników, aby łączyli się z siecią VPN (wirtualną siecią prywatną) przed zalogowaniem do RDP.
- Alternatywą dla VPN może być wymaganie od użytkowników połączenia z RDP poprzez bramę pulpitu zdalnego, taką jak Keeper Connection Manager. Takie bramy są prostsze i szybsze niż VPN, a dodatkowo posiadają funkcje nagrywania sesji i umożliwiają administratorom zarządzanie użytkowaniem uwierzytelniania wieloskładnikowego (MFA).
Wszechstronne zabezpieczenie haseł jest tak samo ważne, jak ochrona przed atakami na poziomie portów.
- Wymagaj od pracowników korzystania z silnych, unikatowych haseł do wszystkich kont, nie tylko RDP, oraz stosowania uwierzytelniania MFA. Wprowadź do użytku menedżer haseł dla przedsiębiorstw (EPM), taki jak Keeper, aby wyegzekwować stosowanie tych zasad.
- Rozważ „maskowanie” haseł RDP. To funkcja dostępna w menedżerach haseł, takich jak Keeper, umożliwia użytkownikom automatyczne uzupełnianie haseł w formularzach logowania, przy czym użytkownik nie może zobaczyć hasła.
- Nie używaj takich nazw użytkownika jak: „Administrator” czy „Admin”. Wiele zautomatyzowanych narzędzi do łamania haseł próbuje odgadnąć hasła administratorów, gdyż te konta mają najwięcej uprawnień.
- Stosuj limity szybkości jako obronę przed atakami siłowymi na hasła. Limity szybkości zapobiegają botom łamiącym hasła dokonywanie setek lub tysięcy szybkich prób odgadnięcia haseł w krótkim okresie poprzez zablokowanie użytkownika po małej licznie nieudanych prób logowania.