Какви портове използва RDP? Порт по подразбиране RDP 3389 и често срещани алтернативи

Протокол за отдалечен работен плот (RDP) е един от най-разпространените начини за отдалечен достъп до Windows сървъри и работни станции. Той е вграден в Windows, широко поддържан от клиенти на трети страни и често използван за администриране, поддръжка и отдалечена работа.

Но когато публикувате отдалечен достъп за потребители (или клиенти), един въпрос бързо става критичен за свързаността и сигурността: какви портове използва RDP? В тази статия ще разгледаме стандартните портове, "допълнителните" портове, които могат да се появят в зависимост от вашата конфигурация, и какво да направите, ако искате отдалечен достъп без да излагате порт 3389.

Порт по подразбиране за RDP

По подразбиране, RDP използва TCP порт 3389.

Това е стандартният порт за слушане в Windows за връзки с Remote Desktop и е портът, който повечето защитни стени и правила за NAT пренасочват, когато някой "отвори RDP за интернет". Microsoft също регистрира 3389 за услуги, свързани с RDP (ms-wbt-server), както за TCP, така и за UDP.

RDP ли е винаги на порт 3389?

Повечето от времето, да—но не винаги. 3389 е по подразбиране, което означава, че стандартна инсталация на Windows с активиран Remote Desktop ще слуша там, освен ако администратор не го промени. В реални среди често ще видите RDP преместен на различен порт за основно намаляване на шума срещу автоматизирани сканирания.

Също така ще видите RDP трафик появяват се да се използват други портове, когато се проксират или тунелират (например чрез RD Gateway, VPN или портал за отдалечен достъп).

Ключовата точка: вашите потребители може да "използват RDP", без да се свързват директно с 3389, в зависимост от начина, по който е публикуван отдалеченият достъп.

Защо RDP използва както TCP, така и UDP?

RDP исторически разчиташе на TCP за надеждно предаване, но съвременният RDP може също да използва UDP (обикновено на същия номер на порта, 3389), за да подобри отзивчивостта. UDP помага в сценарии, където минимизирането на закъснението е важно - движенията на мишката, писането, видеото и звука могат да изглеждат по-гладки, тъй като UDP избягва част от допълнителната натовареност, която TCP въвежда, когато пакетите се загубят или трябва да бъдат повторно предадени.

На практика много настройки използват TCP като основа и UDP като подобрение на производителността, когато мрежата позволява. Ако UDP е блокиран, RDP обикновено все още работи - просто с намалена производителност или с "по-бавен" усещане при лоши мрежови условия.

UDP и поведение на допълнителни портове

В допълнение към TCP 3389 RDP може също да включва:

• UDP 3389 – Използва се от RDP за подобряване на отзивчивостта и намаляване на латентността (когато UDP транспортът е активиран и разрешен).
• TCP 443 – Използва се, когато се свързвате чрез Remote Desktop Gateway (RDP, инкапсулиран в HTTPS).
• UDP 3391 – Обикновено се използва за “RDP over UDP” чрез RD Gateway (път за производителност през шлюза).
• TCP 135 / 139 / 445 – Може да се появи в определени среди за свързани услуги на Windows и сценарии за пренасочване (напр. функции, зависещи от RPC/SMB).

Ако вашата RDP среда е зад защитна стена, НАТ или защитна шлюз, често ще трябва да валидирате кой RDP път всъщност се използва (директен 3389 срещу шлюз 443/3391) и да се уверите, че политиките съвпадат.

Бърз списък за проверка на защитната стена за RDP портове

За да избегнете опити и грешки при отстраняване на проблеми, потвърдете, че сте разрешили TCP 3389 (и UDP 3389, ако искате най-добра производителност). Ако използвате RD Gateway, уверете се, че TCP 443 (и по желание UDP 3391) е отворен на шлюза, а не непременно на целевия сървър.

Сигурност на бизнеса, използващ RDP

От гледна точка на сигурността, публикуването на TCP 3389 в интернет е рисковано действие. То е силно сканирано, често атакуван с брутфорс и често целят по време на кампании за ransomware.

Защо това е важно в реални внедрения:

• Един единствен открит RDP крайна точка може да стане постоянна цел за отгатване на пароли.
• Сигурността на RDP зависи в значителна степен от укрепването (MFA, заключване на акаунта, актуализации, използване на VPN/портал, IP ограничения)
• “Просто отворете 3389” често се превръща в текуща поддръжка на защитната стена и крайни точки.
• С нарастващите среди, прилагането на последователни контроли върху сървърите става трудно.

За много организации целта става: предоставяне на дистанционен достъп, без да се оставя 3389 открит.

Практически стъпки за укрепване, ако трябва да използвате RDP

Ако не можете да избегнете RDP, намалете излагането, като изисквате MFA, активирате NLA, прилагате строги политики за заключване, ограничавате достъпа чрез VPN или IP whitelisting и осигурявате системите да са напълно актуализирани. Когато е възможно, поставете RDP зад RD Gateway (443), вместо да излагате 3389 директно.

По-безопасна алтернатива: TSplus Remote Access

Ако искате отдалечен достъп, докато порт 3389 е затворен за публичния интернет, TSplus Remote Access предлага практичен подход: публикувайте приложения и работни станции чрез уеб портал, използвайки стандартни уеб портове.

Защо TSplus може да бъде по-добро решение:

• Не изисква експониране на порт 3389 в интернет (можете да разчитате на 80/443 за уеб достъп)
• Достъп чрез браузър с HTML5 уеб портал, намаляващ сложността от страна на клиента
• Може да наложи HTTPS и стандартни практики за сигурност по-лесно на позната уеб повърхност.
• Работи добре за публикуване на приложения (в стил RemoteApp), както и за пълни десктопи.
• Може да бъде подсилено с добавки като Двуфакторна автентикация и допълнителни защити.

За екипи, които трябва да обслужват отдалечени потребители надеждно, това помага за намаляване на атакуващата повърхност, докато опростява внедряването и потребителско въвеждане .

Крайни мисли

TCP 3389 е стандартният RDP порт — и RDP може също да използва UDP 3389, плюс 443/3391, когато е включен шлюз, заедно с други мрежови портове на Windows в специфични сценарии. Ако отдалеченият достъп е критичен за бизнеса, помислете дали наистина искате да оставите 3389 открит.

Много организации преминават към подход, при който потребителите се свързват чрез HTTPS (443) към сигурен портал, а вътрешният RDP слой остава частен.

Ако търсите по-сигурен начин за предоставяне на отдалечен достъп, TSplus Remote Access може да ви помогне да публикувате приложения и настолни компютри през уеба, като същевременно запазите инфраструктурата си по-проста и по-сигурна.