¿Cómo pueden identificarse las conexiones RDP en la red si ya no están usando TCP 3389 y en su lugar usan un puerto no estándar?
Si el administrador de un sistema cambió el puerto para conexiones remotas de 3389 a otra cosa y no se actualizó en IDS o firewall, ¿cómo puede alguien detectar las conexiones remotas activas a nivel de red?
La única forma de identificar las conexiones remotas "deshonestas" que están dentro de su red (y porque su caso de uso elimina el uso del número de puerto como identificador) es a través de una profunda inspección de paquetes en la red.
Si desea conocer la conexión saliente desde una máquina específica y tiene acceso al usuario root de dicha máquina. Puede preguntar a la pila de la red qué conexiones tiene ('' 'ss' '' en Ubuntu, pero todos los sistemas tienen alguna forma) Esto mostrará una lista de todas las conexiones que tiene el sistema. (Incluyendo enchufes)
El siguiente enlace de Wireshark proporciona una excelente visión general de lo que debe buscar y se puede usar para crear una regla para su entorno.
Si está ejecutando snort (o IPS / IDS similares), hay firmas para las conexiones de escritorio remotas. Por lo tanto, podrían modificarse para monitorear otros puertos y una búsqueda rápida muestra reglas específicas para identificar el escenario que desea abordar.
Las conexiones RDP a menudo utilizan certificados autofirmados o los emitidos por la PKI interna de Active Directory. Esto es útil si tiene capacidades para monitorear / alertar sobre certificados que atraviesan la red.
Lea otras preguntas en las etiquetas rdp detection remote-desktop