Koje portove koristi RDP? Zadani RDP port 3389 i uobičajene alternative

Protokol udaljenog radnog površine (RDP) jedan je od najčešćih načina za daljinski pristup Windows poslužiteljima i radnim površinama. Ugrađen je u Windows, široko ga podržavaju klijenti trećih strana i često se koristi za administraciju, podršku i daljinski rad.

Ali kada objavite daljinski pristup korisnicima (ili kupcima), jedno pitanje brzo postaje ključno za povezivanje i sigurnost: koje portove koristi RDP? U ovom članku razmotrit ćemo zadane portove, "dodatne" portove koji se mogu pojaviti ovisno o vašoj konfiguraciji i što učiniti ako želite daljinski pristup bez izlaganja porta 3389.

Zadani RDP port

Zadano, RDP koristi TCP port 3389.

To je standardna slušna vrata na Windowsu za Remote Desktop veze, a to su vrata koja većina vatrozida i NAT pravila prosljeđuje kada netko "otvori RDP za internet." Microsoft također registrira 3389 za RDP povezane usluge (ms-wbt-server) za TCP i UDP.

Je li RDP uvijek na portu 3389?

Većinu vremena, da—ali ne uvijek. 3389 je zadani port, što znači da će standardna Windows instalacija s omogućenom Remote Desktop slušati na tom portu osim ako ga administrator ne promijeni. U stvarnim okruženjima, često ćete vidjeti da je RDP premješten na drugi port radi osnovnog smanjenja buke protiv automatiziranih skeniranja.

Također ćete vidjeti RDP promet pojaviti koristiti druge portove kada se proksira ili tunelira (na primjer kroz RD Gateway, VPN ili portal za daljinski pristup).

Ključna točka: vaši korisnici mogu "koristiti RDP" bez izravnog povezivanja na 3389, ovisno o tome kako je objavljen daljinski pristup.

Zašto RDP koristi i TCP i UDP?

RDP se povijesno oslanjao na TCP za pouzdanu isporuku, ali moderni RDP također može koristiti UDP (obično na istom broju porta, 3389) kako bi poboljšao odzivnost. UDP pomaže u scenarijima gdje je minimiziranje kašnjenja važno—pokreti miša, tipkanje, video i audio mogu se činiti glatkijima jer UDP izbjegava dio opterećenja koje TCP uvodi kada se paketi izgube ili trebaju ponovo poslati.

U praksi, mnoge postavke koriste TCP kao osnovu, a UDP kao poboljšanje performansi kada mreža to dopušta. Ako je UDP blokiran, RDP obično i dalje radi—samo s smanjenim performansama ili "sporijim" osjećajem pod lošim mrežnim uvjetima.

UDP i ponašanje dodatnih portova

Osim toga TCP 3389 RDP može također uključivati:

• UDP 3389 – Koristi se za RDP kako bi se poboljšala odzivnost i smanjila latencija (kada je UDP transport omogućen i dozvoljen).
• TCP 443 – Koristi se kada se povezujete putem Remote Desktop Gateway (RDP enkapsuliran u HTTPS).
• UDP 3391 – Često se koristi za “RDP preko UDP” putem RD Gateway-a (putanja performansi kroz gateway).
• TCP 135 / 139 / 445 – Može se pojaviti u određenim okruženjima za povezane Windows usluge i scenarije preusmjeravanja (npr., značajke ovisne o RPC/SMB-u).

Ako vaše RDP okruženje stoji iza vatrozida, NAT ili sigurnosnog prolaza, često ćete morati provjeriti koji RDP put se zapravo koristi (izravno 3389 naspram prolaza 443/3391) i osigurati da se politike podudaraju.

Brza provjera vatrozida za RDP portove

Da biste izbjegli rješavanje problema putem pokušaja i pogrešaka, potvrdite da ste omogućili TCP 3389 (i UDP 3389 ako želite najbolju izvedbu). Ako koristite RD Gateway, provjerite je li TCP 443 (i opcionalno UDP 3391) otvoren na gatewayu, a ne nužno na ciljnom poslužitelju.

Sigurnosne brige za tvrtke koje koriste RDP

S aspekta sigurnosti, objavljivanje TCP 3389 na internetu je visokorizičan potez. Intenzivno se skenira, često napadani brute forceom , i često su ciljana tijekom kampanja za ransomware.

Zašto je to važno u stvarnim implementacijama:

• Jedan izloženi RDP krajnji točka može postati stalna meta za pogađanje lozinki.
• Sigurnost RDP-a uvelike ovisi o jačanju (MFA, zaključavanje računa, zakrpe, korištenje VPN-a/portala, IP ograničenja)
• “Jednostavno otvorite 3389” često se pretvara u kontinuirano održavanje vatrozida i krajnjih točaka.
• Kako okruženja rastu, nametanje dosljednih kontrola na poslužiteljima postaje teško.

Za mnoge organizacije, cilj postaje: omogućiti daljinski pristup bez izlaganja 3389.

Praktični koraci za učvršćivanje ako morate koristiti RDP

Ako ne možete izbjeći RDP, smanjite izloženost zahtijevajući MFA, omogućujući NLA, provodeći stroge politike zaključavanja, ograničavajući pristup putem VPN-a ili dopuštanjem IP-a, te osiguravajući da su sustavi potpuno zakrpani. Kada je to moguće, stavite RDP iza RD Gateway-a (443) umjesto da izlažete 3389 izravno.

Sigurnija alternativa: TSplus Remote Access

Ako želite daljinski pristup dok je port 3389 zatvoren za javni internet, TSplus Remote Access nudi praktičan pristup: objavite aplikacije i radne površine putem web portala koristeći standardne web portove.

Zašto TSplus može biti bolji izbor:

• Ne zahtijeva izlaganje porta 3389 internetu (možete se osloniti na 80/443 za web pristup)
• Pristup temeljen na pregledniku s HTML5 Web Portalom, smanjujući složenost na strani klijenta
• Može lakše provoditi HTTPS i standardne sigurnosne prakse na poznatoj web površini.
• Dobro funkcionira za objavljivanje aplikacija (u stilu RemoteApp) kao i za pune radne površine.
• Može se ojačati dodacima poput dvofaktorske autentifikacije i dodatnih zaštita.

Za timove koji trebaju pouzdano služiti udaljenim korisnicima, ovo pomaže smanjiti površinu napada dok pojednostavljuje implementaciju i onboarding korisnika .

Završne misli

TCP 3389 je zadani RDP port—i RDP može također koristiti UDP 3389, plus 443/3391 kada je uključen pristupni portal, zajedno s drugim Windows mrežnim portovima u specifičnim scenarijima. Ako je daljinski pristup kritičan za poslovanje, razmislite želite li zaista zadržati 3389 izložen.

Mnoge organizacije prelaze na pristup u kojem se korisnici povezuju putem HTTPS (443) na siguran portal, a unutarnji RDP sloj ostaje privatni.

Ako istražujete sigurniji način za pružanje udaljenog pristupa, TSplus Remote Access može vam pomoći objaviti aplikacije i radne površine putem weba, dok vašu infrastrukturu čini jednostavnijom i sigurnijom.