Schwache Benutzerauthentifizierung und Port-Targeting sind zwei der Hauptschwachstellen des Remote Desktop Protocols (RDP).
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Was ist das RDP?
Sicherheit bei externen Mitarbeitern
Zugriffskontrolle
Was ist IAM?
Fernzugriff gemäß DSGVO
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
RDP – Remote Desktop Protocol – ist eines der Hauptprotokolle, das für Remote-Desktop-Sitzungen verwendet wird, d. h. wenn Mitarbeiter von einem anderen Gerät aus auf ihre Desktop-Computer im Büro zugreifen. RDP ist in den meisten Windows-Betriebssystemen enthalten und kann auch mit Macs genutzt werden. Viele Unternehmen verlassen sich auf RDP, damit ihre Mitarbeiter von zu Hause aus arbeiten können.
Eine Schwachstelle ist eine Lücke oder ein Fehler in der Konstruktionsweise eines Programms, die es Angreifern ermöglicht, sich unberechtigten Zugang zu verschaffen. Denken Sie an ein unsachgemäß angebrachtes Schloss an einer Haustür, das es Kriminellen ermöglicht, in das Gebäude einzubrechen.
Dies sind die wesentlichen Schwachstellen von RDP:
*Im Netzwerkbereich ist ein Port ein logischer, softwarebasierter Ort, der für bestimmte Arten von Verbindungen vorgesehen ist. Durch Zuweisung verschiedener Prozesse zu verschiedenen Ports können Computer den Überblick über diese Prozesse behalten. Zum Beispiel geht HTTP-Traffic immer an Port 80, während HTTPS-Traffic über Port 443 läuft.
Zur Eindämmung der Risiken durch schwache Anmeldedaten:
Single-Sign-On (SSO): Viele Unternehmen nutzen bereits SSO-Dienste, um Benutzeranmeldungen für verschiedene Anwendungen zu verwalten. SSO bietet Unternehmen eine einfachere Möglichkeit, die Verwendung starker Passwörter durchzusetzen und noch sicherere Maßnahmen wie Zwei-Faktor-Authentifizierung (2FA) zu implementieren. Es ist möglich, den RDP-Fernzugriff hinter SSO zu verlagern, um die oben beschriebene Schwachstelle bei der Benutzeranmeldung abzusichern. (Cloudflare Zero Trust zum Beispiel ermöglicht es Unternehmen, genau das zu tun.)
Verwaltung und Verstärkung von Passwörtern: Einigen Unternehmen ist es eventuell nicht möglich, RDP hinter SSO zu verlagern. Als absolutes Minimum sollten sie von ihren Mitarbeitern verlangen, stärkere Desktop-Passwörter zu wählen.
Zum Schutz vor Port-basierten Angriffen:
Sperrung von Port 3389: Durch sichere Tunneling-Software können Angreifer daran gehindert werden, Anfragen zu senden, die Port 3389 erreichen. Mit einem sicheren Tunnel (z. B. Cloudflare Tunnel) werden alle Anfragen, die nicht durch den Tunnel gehen, blockiert.
Firewall-Regeln: Es ist theoretisch möglich, eine Firmen-Firewall manuell so zu konfigurieren, dass kein Traffic zu Port 3389 durchkommen kann, mit Ausnahme von Traffic aus IP-Adressbereichen von Genehmigungslisten (z. B. von Geräten, die bekannterweise Mitarbeitern gehören). Diese Methode erfordert jedoch einen hohen manuellen Aufwand und ist immer noch anfällig für Angriffe, wenn Angreifer eine IP-Adresse von einer Genehmigungsliste ergattern oder wenn Geräte von Mitarbeitern kompromittiert werden. Darüber hinaus ist es in der Regel sehr schwierig, alle Mitarbeitergeräte im Voraus zu identifizieren und auf eine Genehmigungsliste zu setzen, was erfahrungsgemäß zu ständigen IT-Anfragen von gesperrten Mitarbeitern führt.
RDP weist weitere Sicherheitslücken auf, die im Prinzip zwar behoben wurden, aber bei einer unzureichenden Kontrolle immer noch schwerwiegend sind.
Eine der massivsten Schwachstellen bei RDP wird als „BlueKeep“ bezeichnet. BlueKeep (offiziell als CVE-2019-0708 klassifiziert) ist eine Sicherheitslücke, die es Angreifern ermöglicht, jeden beliebigen Code auf einem Computer auszuführen, wenn sie eine speziell gestaltete Anfrage an den richtigen Port (normalerweise 3389) senden. BlueKeep ist wurmfähig, d. h. es kann sich ohne jede Aktion von Benutzern auf alle Computer in einem Netzwerk ausbreiten.
Die beste Verteidigung gegen diese Schwachstelle besteht darin, RDP zu deaktivieren, wenn es nicht gebraucht wird. Es kann außerdem helfen, Port 3389 mit einer Firewall zu blockieren. Schließlich hat Microsoft 2019 ein Patch zur Behebung dieser Schwachstelle herausgegeben, das Systemadministratoren unbedingt installieren müssen.
Wie jedes andere Programm oder Protokoll weist auch RDP mehrere andere Schwachstellen auf, von denen die meisten beseitigt werden können, indem immer die allerneueste Version des Protokolls verwendet wird. Anbieter beheben Sicherheitslücken normalerweise in jeder neu veröffentlichen Softwareversion.
Cloudflare Zero Trust und Cloudflare Tunnel erhöhen die Sicherheit für den Fernzugriff, indem sie gemeinsam die beiden oben beschriebenen größten Sicherheitslücken des RDP schließen. Ein Vorteil bei der Verwendung von Cloudflare liegt darin, dass es im Gegensatz zu typischen Unternehmensfirewalls nicht hardwarebasiert ist und keine manuelle Konfiguration erfordert. Zum Schutz von RDP-Verbindungen mit Argo Tunnel sind oft einfach nur ein paar Klicks auf dem Cloudflare-Dashboard nötig. Um mehr über Cloudflare und RDP zu erfahren, können Sie unseren Blogbeitrag lesen oder sich diese Demo ansehen.