Het Remote Desktop Protocol (RDP) is een protocol waarmee gebruikers vanop afstand toegang hebben tot computers en taken vanop afstand kunnen uitvoeren. Hoewel het gebruiksvriendelijk en flexibel is, gaat het ook gepaard met aanzienlijke beveiligingsrisico's voor de attack surface van je organisatie. Veel aanvallers gebruiken het RDP om toegang te krijgen tot een netwerk en data te stelen.
Om jezelf beter te beschermen, heeft het Centrum voor Cybersecurity België (CCB) een lijst met aanbevelingen en stapsgewijze tutorials uitgewerkt.
Wil je meer weten over het RDP ?
Schrijf je dan in voor ons webinar op 20 november van 10.00 tot 10.30 u. CEST.
Risico’s
Het RDP-protocol is een van de bekendste protocollen, omdat het standaard op Windows-apparaten staat, alsook te vinden is op Apple-apparaten. Het RDP heeft geen veilig ontwerp en kan daarom beveiligingsrisico’s met zich meebrengen, tenzij je organisatie de configuratie versterkt voor een veiliger gebruik.
Gelaagde verdedigingsaanpak
Het wordt aangeraden om verschillende maatregelen te treffen om de risico's te beperken.
Een goede praktijk is om verschillende technische maatregelen te combineren met bewustmaking van de gebruikers en proactieve opvolging van verdachte activiteiten.
- Ransomware-aanval:
Het RDP is vaak het doelwit van ransomware-aanvallers als toegangspoort om ransomware in te zetten op systemen en waardevolle gegevens te versleutelen. - Blootstelling via poorten en netwerkzichtbaarheid:
Het RDP gebruikt gewoonlijk poort 3389, die, als ze openstaat voor het internet, je netwerk blootstelt aan potentiële aanvallen. - Kwetsbaarheden en misbruik:
De RDP-software en het onderliggende besturingssysteem kunnen kwetsbaarheden bevatten die aanvallers kunnen misbruiken om toegang te krijgen of een kwaadaardige code uit te voeren. - Man-in-the-Middle (MitM)-aanvallen:
Onbeveiligde RDP-sessies kunnen worden onderschept, waardoor aanvallers de communicatie tussen de klant en de server kunnen onderscheppen. - Bruteforce-aanvallen:
Aanvallers kunnen onbevoegde toegang proberen te krijgen door systematisch verschillende combinaties van gebruikersnaam en wachtwoord te proberen. - Diefstal van inloggegevens:
Aanvallers kunnen phishing of andere tactieken gebruiken om de RDP-inloggegevens te stelen, waardoor onbevoegde toegang mogelijk wordt. - Lateral movement en netwerkexploitatie:
Zodra ze het netwerk zijn binnengedrongen, kunnen aanvallers gecompromitteerde RDP-sessies gebruiken om zich lateraal te bewegen, toestemmingen te verkrijgen en kritieke systemen aan te vallen.
Aanbevolen mitigaties
Indien je beslist om het RDP te blijven gebruiken, beveelt het Centrum voor Cybersecurity België aan om de volgende mitigaties uit te voeren:
- Network Level Authentication (NLA) inschakelen:
Zorg ervoor dat Network Level Authentication is ingeschakeld op je RDP-server. NLA vereist authenticatie voordat een sessie op afstand tot stand wordt gebracht en voegt een extra beveiligingslaag toe door de inloggegevens van de gebruiker te valideren voordat de toegang wordt verleend. Voor meer informatie over NLA en externe desktopconfiguratie, klik hier. - RDP-toegang beperken:
Beperk de RDP-toegang tot specifieke IP-adressen of specifieke gebruikers. Je kan opteren voor een Virtual Private Network (VPN) of een zero-trust-netwerktoegangsoplossing om een beveiligde tunnel te creëren voor het RDP-verkeer. Dit helpt de blootstelling aan het internet te beperken en zorgt ervoor dat alleen bevoegde gebruikers op afstand verbinding kunnen maken. Deze video toont hoe je het RDP kunt beperken tot specifieke IP-adressen. Hier ontdek je hoe je het RDP kan beperken tot specifieke gebruikers. - Gebruik sterke authenticatiemethodes:
Implementeer sterke authenticatiemethodes, zoals multifactorauthenticatie (MFA, soms ook 2FA genoemd) om de authenticatie van gebruikers te verbeteren. MFA voegt een extra beveiligingslaag toe door gebruikers te vragen om meerdere vormen van identificatie, waardoor het risico op ongeautoriseerde toegang wordt verkleind. Zorg ervoor dat je MFA implementeert op geprivilegieerde accounts zoals beheerdersaccounts! Geprivilegieerde accounts zijn immers zeer gewild bij aanvallers. - Accountvergrendelingsbeleid implementeren:
Configureer een accountvergrendelingsbeleid om bruteforceaanvallen te voorkomen. Dit beperkt het aantal mislukte aanmeldpogingen, waardoor het risico op ongeautoriseerde toegang door herhaalde aanmeldpogingen afneemt. Je vindt stapsgewijze tutorials op YouTube voor individuele werkstations en groepsbeleid. - Encryptie gebruiken:
Zorg ervoor dat de RDP-sessies versleuteld zijn om gegevens tijdens de overdracht te beschermen. Gebruik protocollen zoals Transport Layer Security (TLS) of zet een VPN op om een veilig communicatiekanaal te creëren tussen de klant en de server, waarmee interceptie en afluisteren kan worden voorkomen. - Standaardpoorten wijzigen:
Overweeg om de standaard RDP-poort (TCP 3389) te wijzigen in een niet-standaard poort. Hoewel dit geen onfeilbare beveiliging biedt, kan het helpen bij het afschrikken van geautomatiseerde aanvallen die zich richten op standaardpoorten. Bekijk deze video om te zien hoe je een standaardpoort vervangt en de bijbehorende firewallregels aanpast. Deze maatregel volstaat op zich echter niet en moet deel uitmaken van een bredere beveiligingsstrategie. - Regelmatige systeemupdates en patches:
Houd het besturingssysteem en de RDP-software up-to-date met de nieuwste beveiligingspatches. Controleer regelmatig op updates en voer ze onmiddellijk uit om de bekende kwetsbaarheden te verhelpen en je te beschermen tegen mogelijke misbruiken. - RDP-sessies controleren en monitoren:
Schakel logboekregistratie in voor de RDP-sessies en controleer de logboeken regelmatig op verdachte activiteiten. Stel waarschuwingen in voor meerdere mislukte aanmeldpogingen of ander afwijkend gedrag. Monitoring en controle zijn cruciaal voor het detecteren van en reageren op potentiële beveiligingsincidenten. - Gebruik endpoint-bescherming:
Installeer en onderhoud sterke endpoint-beschermingsoplossingen bij zowel de client als de server. Dit omvat onder meer antivirussoftware, firewalls en inbraakdetectie-/preventiesystemen om kwaadaardige activiteiten te detecteren en te voorkomen. - Regelmatige beveiligingsopleidingen voor gebruikers:
Sensibiliseer gebruikers over de beste praktijken voor de RDP-beveiliging: sterke wachtwoorden gebruiken, geen openbare netwerken gebruiken voor RDP-sessies en verdachte activiteiten direct melden. - Regelmatige beveiligingsaudits:
Voer regelmatig beveiligingsaudits uit om mogelijke kwetsbaarheden in je RDP-infrastructuur te identificeren en aan te pakken. Deze proactieve aanpak helpt ervoor te zorgen dat de beveiligingsmaatregelen na verloop van tijd effectief blijven. Je kan een reeks video’s met uitleg en studievragen van Sophos raadplegen op https://news.sophos.com/en-us/2024/03/20/remote-desktop-protocol-the-series/
Alternatieve oplossingen
RDP is zeker niet het enige middel om zich op afstand te verbinden op een apparaat. Er bestaan nog talrijke oplossingen voor toegang op afstand.
- SSH (Secure Shell):
Use case: beveiligde toegang tot de opdrachtregel en bestandsoverdracht.
Beveiligingsfuncties: sterke encryptie, public-key-authenticatie en de mogelijkheid om andere protocollen veilig te tunnelen.
Belangrijke implementaties: OpenSSH (open-source), PuTTY (Windows), WinSCP (Windows, voor bestandsoverdrachten). - VPN (Virtual Private Network):
Use case: externe gebruikers veilig verbinden met een privénetwerk.
Beveiligingsfuncties: versleutelde tunnel voor al het netwerkverkeer, bevat vaak authenticatie- en autorisatiemechanismen.
Belangrijke implementaties: OpenVPN, Cisco AnyConnect, Microsoft VPN.
- VNC (Virtual Network Computing):
Use case: externe desktoptoegang en -controle.
Beveiligingsfuncties: versleutelde versies (zoals VNC over SSH), wachtwoordauthenticatie en ondersteuning voor multifactorauthenticatie.
Belangrijke implementaties: TightVNC, RealVNC, TigerVNC. - TeamViewer:
Use case: externe desktoptoegang met ondersteuning voor meerdere platforms.
Beveiligingsfuncties: end-to-end-versleuteling, tweefactorauthenticatie en sessieopname.
Opmerking: hoewel TeamViewer gebruiksvriendelijk is, moet je zorgen voor de juiste configuratie en accountbeveiligingspraktijken. - AnyDesk:
Use case: lichte en snelle externe desktoptoegang.
Beveiligingsfuncties: TLS-encryptie, tweefactorauthenticatie en sessieopname.
Opmerking: net als bij TeamViewer moet je rekening houden met beveiligingsconfiguraties. - Splashtop:
Use case: externe desktoptoegang voor particulieren en bedrijven.
Beveiligingsfuncties: TLS-encryptie, tweefactorauthenticatie en sessieopname. - Guacamole:
Use case: webgebaseerde desktoptoegang vanop afstand, gebaseerd op het internet.
Beveiligingsfuncties: ondersteuning voor SSL/TLS, tweefactorauthenticatie en LDAP-integratie.
Opmerking: Guacamole biedt toegang via een webbrowser zonder klantensoftware. - Radmin (Remote Administrator):
Use case: beheer en ondersteuning op afstand.
Beveiligingsfuncties: 256-bits AES-encryptie, Windowsauthenticatie en filteren van IP-adressen.
Opmerking: gericht op snelle en veilige toegang op afstand.
Bij het implementeren van een alternatieve oplossing voor toegang op afstand is het essentieel om de best practices op het vlak van beveiliging te volgen.
Het Centrum voor Cybersecurity België streeft ernaar om nauwkeurige en nuttige informatie te verstrekken door optimaal gebruik te maken van de bestaande openbare en gratis onlinebronnen. Hoewel we ernaar streven onze artikelen steeds up-to-date te houden, kan het gebeuren dat sommige links niet meer werken of dat de informatie niet langer actueel is. De gekozen artikelen en video's zijn uitsluitend bedoeld als leidraad voor gebruikers. Elke organisatie moet de adviezen aanpassen aan de eigen omgeving en behoeften.