RDPmon beschermt publieke RDP-servers tegen bruteforce-aanvallen

Cameyo, leverancier van virtualisatie-oplossingen voor applicaties, heeft een opensource Remote Desktop Protocol (RDP)-monitoringtool uitgebracht genaamd RDPmon. De tool stelt bedrijven in staat om RDP-aanvallen in hun omgeving te identificeren en tegen te beveiligen. 

De tool biedt een visualisatie van het totale aantal gepoogde RDP-verbindingen met servers. Daarbij biedt het een overzicht van de momenteel actieve applicaties, het aantal RDP-gebruikers en programma’s die gebruikers uitvoeren. Ook geeft RDPmon inzicht in de aanwezigheid van niet-goedgekeurde software, aldus Tech Republic. Het betreft een pure on-premises oplossing en de programmagegevens zijn niet toegankelijk voor Cameyo.

RDP over internet

RDP is ooit ontworpen met de bedoeling te worden uitgevoerd binnen particuliere netwerken, niet via internet. Toch is RDP inmiddels in het zakelijke gebruik zodanig wijdverspreid over internet, waardoor RDP-servers een aantrekkelijk doelwit zijn geworden voor hackers. Dat frustreert beveiligingsprofessionals nogal, gezien RDP een onmisbaar iets is binnen enterprise computing.

Botnets bruteforcen wereldwijd meer dan 1,5 miljoen RDP-servers. Hierdoor komt een speciale RDP-beveiligingstool om bedrijfsnetwerken te beschermen tegen inbreuken op de beveiliging dus als geroepen. Cameyo ontdekte tijdens het ontwikkelen van RDPmon, dat standaard ingestelde openbare cloudmachines die op Windows draaien (met poort 3389 geopend) meer dan 150.000 inlogpogingen per week ervaren.

“De intensiteit begint aanvankelijk laag. Zodra het IP-adres door meer en meer RDP-bots wordt ontdekt, groeit het aantal pogingen exponentieel. Naast de voor de hand liggende beveiligingsproblemen, heeft een grote hoeveelheid bruteforce-aanvallen ook invloed op de CPU- en machineprestaties”, constateert Eyal Doten, oprichter en CTO van Cameyo.

Trage aanvallen

Het eenvoudig instellen van firewallregels om IP-adressen te blokkeren voor landen waar veel wordt gescand, voldoet niet bij strategieën waar gebruik wordt gemaakt van RDP-bots. Dat geldt ook voor landen ​​waar geautoriseerde gebruikers plausibel verbinding mee zouden maken. Bovendien is het implementeren van een analoog van fail2ban voor RDP in het geval van RDP-bots zinloos.

“Dat heeft alleen resultaat bij bruteforce-aanvallen met veel volume, niet bij trage aanvallen. Er zijn tegenwoordig veel bots die ontworpen zijn om een ​​kleiner aantal verbindingen over een langere periode te proberen. Hierdoor wordt voorkomen dat ze worden opgemerkt en op een zwarte lijst komen te staan”, aldus Rob Henshaw, CMO bij Cameyo. 

“Het behandelt geen horizontale aanvallen. Een bot kan vanuit verschillende hosts werken en bruteforce-workloads op verschillende locaties uitvoeren. Dat wordt niet aangepakt door de typische firewall-blokkeeraanpak. Standaardbenaderingen voor het bewaken of voorkomen van bruteforce-aanvallen, houden geen rekening met de algehele impact die het heeft op CPU en RAM.” 

RDP is een blijvertje

Cameyo voorziet een lange levensduur als het gaat om het gebruik van RDP in organisaties. Ondanks de opkomst van het webgebaseerde software-as-a-service (SaaS). Volgens de leverancier van gevirtualiseerde applicatie-oplossingen lijkt RDP steeds meer de standaard, een beweging die Microsoft begrijpt en daardoor investeert in het RDP-protocol. “Elke belangrijke Windows-build lijkt RDP op een bepaalde manier te verbeteren. Microsofts aankomende Windows Virtual Desktop is ook gebouwd rond RDP”, aldus Doten.

Als je Windows 2019 Server gebruikt en kijkt naar de RDP-implementatie, dan presteren zowel server als clients beter dan ooit op het gebied van prestaties, stabiliteit en functies. Microsoft blijft nieuwe mogelijkheden ontwikkelen, zoals GPU-P om datacenters en hyperscalers te helpen verbeteren op hypervisor-niveau.

Gerelateerd: 800.000 systemen nog altijd kwetsbaar voor Bluekeep