Aanscherpen beveiligingsmaatregelen voor RDP-protocol

Het NCSC adviseert om de beveiligingsmaatregelen voor netwerkverbindingen op basis van het Remote Desktop Protocol aan te scherpen. Dit advies is gebaseerd op een waarschuwing uitgebracht door het Internet Crime Complaint Center (IC3).

Een internet-brede scan van onderzoekers van Rapid7 heeft online meer dan 11 miljoen apparaten ontdekt die gebruik maken van TCP-poort 3389. Hiervan maakt meer dan 4,1 miljoen gebruik van het Remote Desktop Protocol (RDP).

Doel van misbruik

Het Internet Crime Complaint Center (IC3) heeft, in samenwerking met het Departement of Homeland Security (DHS) en het Federal Bureau of Investigation (FBI), een toename van internet-gerelateerde aanvallen op RDP-verbindingen geconstateerd. Dit betreft kwaadwillende actoren die zich richten op het identificeren en actief misbruiken van kwetsbare, legitieme netwerkprotocollen voor extern beheer. Dergelijke protocollen worden misbruikt om diefstal van logingegevens en besmettingen met ransomware en malware mogelijk te maken.

Hoe wordt het RDP-protocol gebruikt?

Het misbruiken van netwerkprotocollen voor extern beheer als aanvalsvector neemt sinds 2016 toe [1]. Het RDP zoals in de Windows-besturingssystemen is een netwerkprotocol waarmee een beheerder vanaf de ene fysieke locatie via internet een computer op een andere fysieke locatie kan beheren. Dit protocol biedt volledige controle over de functionaliteiten van een computer door de invoer (muisbewegingen, toetsaanslagen) naar de fysieke locatie van de beheerder te verzenden en een grafische gebruikersinterface terug te sturen.

Om een dergelijke externe desktopverbinding tot stand te brengen, moet de beheerder op zowel de lokale als de externe machine met een gebruikersnaam en wachtwoord inloggen. Kwaadwillenden kunnen de veelal onbeveiligde verbinding tussen de computers overnemen en zo de logingegevens bemachtigen om malware of ransomware op het externe systeem te installeren. Dit wordt vaak veroorzaakt doordat beheerders toegang zonder authenticatie faciliteren, maar ook door eenvoudig te raden logingegevens te gebruiken of geen firewall gebruiken om toegang tot de RDP-server vanaf internet af te schermen.

Advies implementatie beveiligingsmaatregelen

Het NCSC adviseert om de volgende beveiligingsmaatregelen te implementeren:

  1. Segmenteer uw netwerk zodat een eventuele computerinbraak beperkte gevolgen heeft.
  2. Beheer alle devices via Out-of-Band netwerkmanagement.
  3. Voer hardening uit op alle netwerkapparatuur.
  4. Zorg ervoor dat de RDP-server - of de server waarop de RDP-service draait – is voorzien van de laatste updates en securitypatches.
  5. Stel een andere poort in dan de standaardpoort 3389 voor het RDP-protocol.
  6. Inventariseer alle externe koppelingen met uw netwerk.
  7. Beperk externe koppelingen tot alleen de meest noodzakelijke koppelingen.
  8. Inventariseer op welke koppelingen gebruik wordt gemaakt van het RDP en andere protocollen.
  9. Beoordeel de noodzaak van het gebruik van het RDP of een ander protocol. Is er geen noodzaak om het protocol te gebruiken, schakel het dan uit.
  10. Is het gebruik van het RDP of een ander protocol noodzakelijk, zorg er dan voor dat de verbinding met de externe computer via een VPN-verbinding loopt.
  11. Gebruik indien mogelijk aanvullende beveiligingsmaatregelen zoals een authenticatietoken.
  12. Schakel het gebruik van internet uit als er een VPN-tunnelverbinding op de externe computer actief is.
  13. Stel een maximale loginduur voor RDP-sessies in. Verbreek automatisch de verbinding na bijvoorbeeld 5 minuten.
  14. Stel IP-restricties in op de firewall zodat alleen geautoriseerde computers een RDP-sessie op kunnen zetten.
  15. Configureer te allen tijde toegang op basis van authenticatie. Eventueel tweefactorauthenticatie.
  16. Maak voor het inloggen gebruik van sterke wachtwoorden.
  17. Gebruik afwijkend benoemde beheeraccounts.
  18. Beperk het aantal inlogpogingen op alle accounts.

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig