El puerto del escritorio remoto es uno de los mas buscados por lo hacker (3389) y de cualquiera que quiera atacar a un sistema, existen spybot, que recorren la red buscando este puerto, una vez que tiene localizada la ip que tiene este puerto abierto, no tiene mas que practicar con aplicaciones de fuerza bruta, para conseguir llega entrar. Y una vez que han entrado pues básicamente pueden hacer lo que quieran, aunque lo que mas les gusta es instalar una puerta trasera (para volver a entrar cuando quieran, aunque se les cambie el usuario o contraseña), instalación aplicaciones maliciosas o bien robar información.
En un experimento de la empresa Shopos, colocó 10 dispositivos en diversas partes del mundo con este puerto abierto y descubrió lo siguiente:
- Se registraron 4,3 millones de intentos de inicio de sesión fraudulentos en un período de sólo 30 días.
- El primer ataque se produjo tan solo 1 minuto y 20 segundos después de hacer públicos en Internet los equipos.
- Todos los equipos fueron atacados al menos una vez transcurridas 15 horas desde su publicación.
- Los principales nombres de usuario atacados fueron los que tienen por defecto los sistemas operativos, como administrator, admin, user o ssm-user utilizado en AWS (Amazon Web Services);
- Fueron atacados tanto usuarios sin privilegios, como administradores;
- La mayoría de ataques centraban su foco en contraseñas débiles. Ver el articulo sobre como crear claves seguras.
La solución mas sencilla para evitar este ataque es cambiar el número de puerto por el que esta escuchando el servicio de escritorio remoto, por defecto es el 3389, pero podemos colocar cualquier otro, si es posible usar numero de puerto muy altos. por ejemplo 87456
Dos formas de hacerlo la primera desde el propio sistema operativo a través del registro, la segunda a través del redirecionamiento NAT de router.
Cambiar el puerto del escritorio remoto en el registro
Se accede al registro del sistema, comando regedit, y se busca la siguiente entrada, aquí tendrá el valor de 3389, y habrá que cambiarle por el 87456
- Ejecute el comando Regedit
- Acceda a: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber.
- En el parámetro PortNumber cambiar el nuevo puerto (por defecto 3389)
Cambio del puerto RDP sin modificar el registro de Windows
Una forma mas sencilla, es el cambio del puerto RDP desde el redireccionamiento del rotuer. Esto se hace a través de la tabla NAT, que permite indicar el puerto externo con el que el sistema esta escuchando las peticiones desde fuera de la red local, hacia el ordenador que las recibirá,
Esto no solo es recomendable hacerlo así, sino que ademas si tenemos varios equipos en la misma oficina, el router deberá de utilizar varios puertos para poder atender a todos los equipos (necesitara un puerto distinto por cada equipo que deseemos dar servicio)
Este caso tenemos que indicar el puerto externo que será por ejemplo el 8756 y el puerto interno que será el 3389, esto tiene la modificación que al acceder a nuestro equipo deberemos indicar también este nuevo puerto es decir habla que acceder a través de <ip_publica>:87456