Rilevamento di RDP su porte non standard

0

Come possono essere identificate le connessioni RDP sulla rete se non utilizzano più il protocollo TCP 3389 e invece utilizzano una porta non standard?

Se l'amministratore di un sistema ha cambiato la porta per le connessioni remote da 3389 a qualcos'altro e non ha aggiornato la stessa in IDS o firewall, allora come può qualcuno rilevare le connessioni remote attive a livello di rete?

    
posta Swapnil Patil 27.05.2015 - 11:56
fonte

2 risposte

1

L'unico modo per identificare le connessioni remote "canaglia" che si trovano all'interno della rete (e perché il tuo caso d'uso elimina usando il numero di porta come identificatore) è attraverso l'ispezione approfondita dei pacchetti sulla rete.

Se si desidera conoscere la connessione in uscita da una macchina specifica e si ha accesso all'utente root di detta macchina. Puoi chiedere allo stack di rete quali connessioni ha ('' s '' s 'su Ubuntu ma tutti i sistemi hanno un modo) Questo elencherà tutte le connessioni del sistema. (Comprese le prese)

    
risposta data 27.05.2015 - 17:20
fonte
1

Il seguente link di Wireshark fornisce una grande panoramica di cosa cercare e può essere usato per creare una regola per il proprio ambiente.

link

Se stai eseguendo snort (o IPS / IDS simili), esistono firme per le connessioni desktop remote. Quindi potrebbero essere modificati per monitorare altre porte e una ricerca rapida mostra regole specifiche per identificare lo scenario che stai cercando di indirizzare.

Le connessioni RDP utilizzano spesso certificati autofirmati o quelli emessi dall'infrastruttura PKI interna di Active Directory. Ciò è utile se si dispone di funzionalità per il monitoraggio / avviso sui certificati che attraversano la rete.

    
risposta data 27.05.2015 - 17:32
fonte

Leggi altre domande sui tag