Chceli by ste vidieť stránku v inom jazyku?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Zmeniť jazyk
Obsah

Protokol vzdialenej plochy (RDP) je jedným z najbežnejších spôsobov, ako vzdialene pristupovať k serverom a desktopom so systémom Windows. Je zabudovaný do systému Windows, široko podporovaný klientmi tretích strán a často používaný na administráciu, podporu a vzdialenú prácu.

Ale keď zverejníte vzdialený prístup pre používateľov (alebo zákazníkov), jedna otázka sa rýchlo stáva kritickou pre konektivitu a bezpečnosť: aké porty používa RDP? V tomto článku si rozoberieme predvolené porty, "extra" porty, ktoré sa môžu objaviť v závislosti od vašej konfigurácie, a čo robiť, ak chcete vzdialený prístup bez vystavenia portu 3389.

Predvolený port RDP

Predvolene, RDP používa TCP port 3389.

To je štandardný port na počúvanie v systéme Windows pre pripojenia k vzdialenej pracovnej ploche a je to port, ktorý väčšina firewallov a pravidiel NAT presmerováva, keď niekto „otvorí RDP na internet.“ Microsoft tiež registruje 3389 pre služby súvisiace s RDP (ms-wbt-server) pre TCP aj UDP.

Je RDP vždy na porte 3389?

Väčšinu času, áno—ale nie vždy. 3389 je predvolený, čo znamená, že štandardná inštalácia Windows s povoleným Remote Desktop bude počúvať tam, pokiaľ to administrátor nezmení. V reálnych prostrediach často uvidíte, že RDP je presunuté na iný port na základné zníženie hluku proti automatizovaným skenovaniam.

Uvidíte aj RDP prenos. objaviť použiť iné porty, keď je to proxyované alebo tunelované (napríklad cez RD Gateway, VPN alebo portál na vzdialený prístup).

Kľúčový bod: vaši používatelia môžu „používať RDP“ bez priameho pripojenia na 3389, v závislosti od toho, ako je publikovaný vzdialený prístup.

Prečo RDP používa TCP aj UDP?

RDP historicky spoliehal na TCP pre spoľahlivé doručenie, ale moderný RDP môže tiež používať UDP (typicky na rovnakom čísle portu, 3389) na zlepšenie reakčnej doby. UDP pomáha v scenároch, kde je minimalizácia oneskorenia dôležitá—pohyb myši, písanie, video a audio môžu pôsobiť plynulejšie, pretože UDP sa vyhýba niektorým z režijných nákladov, ktoré TCP zavádza, keď sú pakety stratené alebo potrebujú opätovné odoslanie.

V praxi mnohé nastavenia používajú TCP ako základ a UDP ako zvýšenie výkonu, keď to sieť umožňuje. Ak je UDP zablokovaný, RDP zvyčajne stále funguje - len s nižším výkonom alebo s "laggier" pocitom pri zlých podmienkach siete.

UDP a správanie ďalších portov

Okrem TCP 3389 RDP môže tiež zahŕňať:

  • UDP 3389 – Používa sa RDP na zlepšenie reakčnej doby a zníženie latencie (keď je povolený a povolený prenos UDP).
  • TCP 443 – Používa sa pri pripojení cez Remote Desktop Gateway (RDP zapuzdrené v HTTPS).
  • UDP 3391 – Bežne sa používa pre „RDP cez UDP“ prostredníctvom RD Gateway (výkonová cesta cez bránu).
  • TCP 135 / 139 / 445 – Môže sa objaviť v určitých prostrediach pre súvisiace služby Windows a scenáre presmerovania (napr. funkcie závislé od RPC/SMB).

Ak sa vaše RDP prostredie nachádza za firewallom, NAT alebo bezpečnostná brána, často budete musieť overiť, ktorý RDP prístup sa skutočne používa (priamy 3389 vs. brána 443/3391) a zabezpečiť, aby politiky zodpovedali.

Rýchly kontrolný zoznam firewallu pre porty RDP

Aby ste sa vyhli problémom s pokusmi a omylmi, potvrďte, že ste povolili TCP 3389 (a UDP 3389, ak chcete najlepšiu výkonnosť). Ak používate RD Gateway, uistite sa, že je TCP 443 (a voliteľne UDP 3391) otvorený na bráne, nie nevyhnutne na cieľovom serveri.

Bezpečnostné obavy pre podniky používajúce RDP

Z hľadiska bezpečnosti je zverejnenie TCP 3389 na internete vysoko rizikový krok. Je intenzívne skenovaný, často napádané hrubou silou a bežne cielené počas kampaní s ransomvérom.

Prečo je to dôležité v reálnych nasadeniach:

  • Jeden vystavený RDP koncový bod sa môže stať neustálym cieľom pre hádanie hesiel.
  • Bezpečnosť RDP závisí vo veľkej miere od zabezpečenia (MFA, zablokovanie účtu, opravy, používanie VPN/portálu, obmedzenia IP)
  • „Jednoducho otvorte 3389“ sa často mení na prebiehajúcu údržbu firewallu a koncových bodov.
  • Ako prostredia rastú, uplatňovanie konzistentných kontrol naprieč servermi sa stáva ťažkým.

Pre mnohé organizácie sa cieľ stáva: poskytnúť vzdialený prístup bez vystavenia portu 3389.

Praktické kroky na zabezpečenie, ak musíte používať RDP

Ak sa nemôžete vyhnúť RDP, znížte vystavenie požiadavkou na MFA, povolením NLA, presadzovaním silných politiky zamknutia, obmedzením prístupu cez VPN alebo IP whitelistovanie a zabezpečením, že systémy sú plne opravené. Keď je to možné, umiestnite RDP za RD Gateway (443) namiesto priameho vystavenia 3389.

Bezpečnejšia alternatíva: TSplus Remote Access

Ak chcete vzdialený prístup a pritom udržať port 3389 uzavretý pre verejný internet, TSplus Remote Access poskytuje praktický prístup: publikovať aplikácie a pracovné plochy prostredníctvom webového portálu pomocou štandardných webových portov.

Prečo môže byť TSplus lepšou voľbou:

  • Nepožaduje vystavenie portu 3389 na internet (môžete sa spoľahnúť na 80/443 pre webový prístup)
  • Prístup založený na prehliadači pomocou HTML5 Web Portálu, ktorý znižuje zložitosti na strane klienta
  • Môže ľahšie vynucovať HTTPS a štandardné bezpečnostné praktiky na známej webovej ploche.
  • Dobre funguje na publikovanie aplikácií (štýl RemoteApp) ako aj na plné pracovné plochy.
  • Môže byť posilnené pomocou doplnkov, ako je Two-Factor Authentication a ďalšie ochrany.

Pre tímy, ktoré potrebujú spoľahlivo obsluhovať vzdialených používateľov, to pomáha znížiť útočnú plochu a zjednodušiť nasadenie a užívateľská príprava .

Záverečné myšlienky

TCP 3389 je predvolený RDP port - a RDP môže tiež používať UDP 3389, plus 443/3391, keď je zapojený brána, spolu s inými sieťovými portami Windows v konkrétnych scenároch. Ak je vzdialený prístup kritický pre podnikanie, zvážte, či naozaj chcete nechať 3389 vystavený.

Mnohé organizácie prechádzajú na prístup, kde sa používatelia pripájajú cez HTTPS (443) k zabezpečenému portálu a interná vrstva RDP zostáva súkromná.

Ak hľadáte bezpečnejší spôsob, ako poskytovať vzdialený prístup, TSplus Remote Access môže vám pomôcť publikovať aplikácie a pracovné plochy cez web, pričom vašu infraštruktúru udrží jednoduchšiu a bezpečnejšiu.

TSplus Bezplatná skúšobná verzia vzdialeného prístupu

Konečná alternatíva Citrix/RDS pre prístup k desktopu/aplikáciám. Bezpečné, nákladovo efektívne, na mieste/cloud

Začnite bezplatnú skúšobnú verziu

Zdieľať:

Facebook Twitter LinkedIn

Váš tím TSplus

Ďalšie čítanie

back to top of the page icon