)
)
پروتکل دسکتاپ از راه دور (RDP) یکی از رایجترین روشها برای دسترسی به سرورها و دسکتاپهای ویندوز بهصورت از راه دور است. این پروتکل در ویندوز تعبیه شده، بهطور گستردهای توسط کلاینتهای شخص ثالث پشتیبانی میشود و بهطور مکرر برای مدیریت، پشتیبانی و کار از راه دور استفاده میشود.
اما زمانی که شما دسترسی از راه دور را برای کاربران (یا مشتریان) منتشر میکنید، یک سوال به سرعت برای اتصال و امنیت حیاتی میشود: RDP از چه پورتهایی استفاده میکند؟ در این مقاله، پورتهای پیشفرض، پورتهای "اضافی" که بسته به تنظیمات شما ممکن است ظاهر شوند و اینکه اگر میخواهید دسترسی از راه دور بدون افشای پورت ۳۳۸۹ داشته باشید، چه کاری باید انجام دهید را بررسی خواهیم کرد.
پورت پیشفرض RDP
به طور پیشفرض، RDP از پورت TCP 3389 استفاده میکند.
این پورت استاندارد گوش دادن در ویندوز برای اتصالات Remote Desktop است و پورت بیشتری از فایروالها و قوانین NAT است که زمانی که کسی "RDP را به اینترنت باز میکند" به جلو میبرد. مایکروسافت همچنین ۳۳۸۹ را برای خدمات مرتبط با RDP (ms-wbt-server) برای هر دو TCP و UDP ثبت میکند.
آیا RDP همیشه بر روی پورت ۳۳۸۹ فعال است؟
بیشتر اوقات، بله—اما همیشه نه. ۳۳۸۹ پیشفرض است، به این معنی که یک نصب استاندارد ویندوز با فعالسازی Remote Desktop در آنجا گوش میدهد مگر اینکه یک مدیر آن را تغییر دهد. در محیطهای واقعی، شما اغلب خواهید دید که RDP به یک پورت دیگر منتقل شده است تا کاهش نویز پایه در برابر اسکنهای خودکار انجام شود.
شما همچنین ترافیک RDP را مشاهده خواهید کرد ظاهر برای استفاده از پورتهای دیگر زمانی که از طریق پروکسی یا تونلزنی (برای مثال از طریق یک دروازه RD، VPN یا یک پورتال دسترسی از راه دور) استفاده میشود.
نکته کلیدی: کاربران شما ممکن است "از RDP استفاده کنند" بدون اینکه به طور مستقیم به ۳۳۸۹ متصل شوند، بسته به اینکه چگونه دسترسی از راه دور منتشر شده است.
چرا RDP از هر دو TCP و UDP استفاده میکند؟
RDP به طور تاریخی به TCP برای تحویل قابل اعتماد وابسته بود، اما RDP مدرن میتواند از UDP (معمولاً در همان شماره پورت، ۳۳۸۹) نیز برای بهبود پاسخگویی استفاده کند. UDP در سناریوهایی که کاهش تأخیر اهمیت دارد کمک میکند—حرکات ماوس، تایپ، ویدئو و صدا میتوانند روانتر احساس شوند زیرا UDP از برخی از بار اضافی که TCP هنگام از دست رفتن بستهها یا نیاز به ارسال مجدد معرفی میکند، اجتناب میکند.
در عمل، بسیاری از تنظیمات از TCP به عنوان پایه و UDP به عنوان یک افزایش عملکرد زمانی که شبکه اجازه میدهد استفاده میکنند. اگر UDP مسدود شود، RDP معمولاً هنوز کار میکند—فقط با عملکرد کاهش یافته یا احساسی "کندتر" در شرایط ضعیف شبکه.
رفتار پورت UDP و اضافی
علاوه بر TCP ۳۳۸۹ RDP همچنین میتواند شامل شود:
- UDP ۳۳۸۹ – توسط RDP برای بهبود پاسخگویی و کاهش تأخیر (زمانی که حمل و نقل UDP فعال و مجاز است) استفاده میشود.
- TCP 443 – زمانی که از طریق دروازه دسکتاپ از راه دور (RDP که در HTTPS محصور شده است) متصل میشوید، استفاده میشود.
- UDP ۳۳۹۱ – معمولاً برای "RDP بر روی UDP" از طریق RD Gateway (مسیر عملکرد از طریق دروازه) استفاده میشود.
- TCP ۱۳۵ / ۱۳۹ / ۴۴۵ – ممکن است در برخی محیطها برای خدمات ویندوز مرتبط و سناریوهای هدایت (مانند ویژگیهای وابسته به RPC/SMB) ظاهر شود.
اگر محیط RDP شما پشت یک فایروال قرار دارد، NAT یا دروازه امنیت، شما اغلب نیاز دارید که بررسی کنید کدام مسیر RDP در واقع استفاده میشود (مستقیم ۳۳۸۹ در مقابل دروازه ۴۴۳/۳۳۹۱) و اطمینان حاصل کنید که سیاستها مطابقت دارند.
چک لیست سریع فایروال برای پورتهای RDP
برای جلوگیری از عیبیابی به صورت آزمایش و خطا، تأیید کنید که TCP 3389 (و UDP 3389 در صورت تمایل به بهترین عملکرد) را مجاز کردهاید. اگر از RD Gateway استفاده میکنید، مطمئن شوید که TCP 443 (و بهطور اختیاری UDP 3391) در دروازه باز است، نه لزوماً در سرور هدف.
نگرانیهای امنیتی برای کسبوکارها در استفاده از RDP
از نظر امنیتی، انتشار TCP 3389 به اینترنت یک اقدام با ریسک بالا است. این پورت به شدت اسکن میشود، بهطور مکرر تحت حملات brute force قرار گرفته است و به طور معمول در طول کمپینهای باجافزاری هدف قرار میگیرند.
چرا این در پیادهسازیهای واقعی مهم است:
- یک نقطه انتهایی RDP که در معرض خطر قرار دارد میتواند هدفی دائمی برای حدس زدن رمز عبور شود.
- امنیت RDP به شدت به سختافزاری (MFA، قفل کردن حساب، وصلهگذاری، استفاده از VPN/دروازه، محدودیتهای IP) وابسته است
- “فقط ۳۳۸۹ را باز کنید” معمولاً به نگهداری مداوم فایروال و نقطه پایانی تبدیل میشود.
- با رشد محیطها، اعمال کنترلهای یکسان در سراسر سرورها دشوار میشود.
برای بسیاری از سازمانها، هدف این میشود: ارائه دسترسی از راه دور بدون اینکه ۳۳۸۹ در معرض خطر قرار گیرد.
مراحل سختافزاری عملی اگر مجبور به استفاده از RDP هستید
اگر نمیتوانید از RDP اجتناب کنید، با الزامی کردن MFA، فعال کردن NLA، اجرای سیاستهای قفلگذاری قوی، محدود کردن دسترسی از طریق VPN یا whitelist کردن IP، و اطمینان از اینکه سیستمها بهطور کامل وصلهگذاری شدهاند، میزان دسترسی را کاهش دهید. در صورت امکان، RDP را پشت یک دروازه RD (443) قرار دهید به جای اینکه بهطور مستقیم 3389 را در معرض قرار دهید.
یک گزینه ایمن تر: TSplus Remote Access
اگر میخواهید دسترسی از راه دور داشته باشید در حالی که پورت ۳۳۸۹ را برای اینترنت عمومی بسته نگه دارید، TSplus دسترسی از راه دور رویکرد عملی را ارائه میدهد: برنامهها و دسکتاپها را از طریق یک پورتال وب با استفاده از پورتهای وب استاندارد منتشر کنید.
چرا TSplus میتواند گزینه بهتری باشد:
- نیازی به باز کردن پورت ۳۳۸۹ به اینترنت نیست (میتوانید به ۸۰/۴۴۳ برای دسترسی وب تکیه کنید)
- دسترسی مبتنی بر مرورگر با پورتال وب HTML5، کاهش پیچیدگی سمت مشتری
- میتوان HTTPS و شیوههای امنیتی استاندارد را به راحتی بر روی یک سطح وب آشنا اعمال کرد.
- برای انتشار برنامهها (به سبک RemoteApp) و همچنین دسکتاپهای کامل به خوبی کار میکند
- میتواند با افزودنیهایی مانند احراز هویت دو مرحلهای و حفاظتهای اضافی تقویت شود
برای تیمهایی که نیاز دارند به کاربران از راه دور به طور قابل اعتماد خدمات ارائه دهند، این به کاهش سطح حمله کمک میکند در حالی که استقرار را ساده میکند و ورود کاربر .
نتایج نهایی
TCP 3389 پورت پیشفرض RDP است—و RDP همچنین ممکن است از UDP 3389، بهعلاوه 443/3391 زمانی که یک دروازه درگیر است، همراه با سایر پورتهای شبکه ویندوز در سناریوهای خاص استفاده کند. اگر دسترسی از راه دور برای کسبوکار حیاتی است، در نظر بگیرید که آیا واقعاً میخواهید 3389 را در معرض خطر قرار دهید.
بسیاری از سازمانها به رویکردی منتقل میشوند که در آن کاربران از طریق HTTPS (۴۴۳) به یک پورتال امن متصل میشوند و لایه داخلی RDP خصوصی باقی میماند.
اگر به دنبال راهی ایمنتر برای ارائه دسترسی از راه دور هستید، TSplus دسترسی از راه دور میتواند به شما کمک کند تا برنامهها و دسکتاپها را از طریق وب منتشر کنید در حالی که زیرساخت شما سادهتر و ایمنتر باقی میماند.
TSplus دسترسی از راه دور آزمایشی رایگان
جایگزین نهایی Citrix/RDS برای دسترسی به دسکتاپ/برنامه. ایمن، مقرون به صرفه، محلی/ابری
)
)
)
