Diese Arbeit widmet sich einer Einführung in das Remote Desktop Protocol (RDP), welches vornehmlich dem Fernzugriff auf entfernte Server und virtuelle Maschinen dient. Betrachtet wird insbesondere die Sicherheitsarchitektur des Protokolls sowie die Durchführung einer Erprobung einfacher Angriffsmöglichkeiten, um als Außenstehender Daten mitlesen und Nutzeraktionen so aufzuzeichnen, um sie später videographisch wiederzugeben zu können.
Seit Anbeginn der Vernetzung ist ein wesentlicher Aspekt der Zentralisierung von ITRescourcen, dass ein Anwender sich nicht physisch am Ort der maximalen Rechenleistung einfinden muss, sondern von einem beliebigen Terminal so auf einen Server zugreifen kann, als wäre der Nutzer direkt dort. Dies funktioniert seit jeher weltweit, sofern die Bandbreiten und Latenzen für den jeweiligen Anwendungszweck ausreichend bemessen sind.
Inhaltsverzeichnis
1 Theorieteil: Remote Desktop Protocol - RDP
1.1 Motivation und Zielrichtung
1.2 Einleitung Remote Access und Cloud Computing
1.3 Was ist RDP?
1.3.1 Historie von RDP
1.4 Einsatzmöglichkeiten
1.4.1 Voraussetzungen für Remote Desktop Services
1.4.2 Limitierungen des Protokolls
1.4.3 Alternativen zu RDP
1.5 Features und Möglichkeiten des RDP-Protokolls
1.6 Implementation von Sicherheitsmaßnahmen im Protokoll
1.6.1 Standard RDP Security
1.6.2 Enhanced RDP Security
1.7 Sicherheitsrisiko RDP?
1.7.1 Bekannte Sicherheitslücken und Bugs
1.7.2 Best Practice zur RDP Sicherheit
1.8 Angriffsmöglichkeiten
1.8.1 Weitere Angriffstools
2 Praktischer Teil: RDP-Replay
2.1 Test-Setup
2.1.1 Hardware
2.1.2 Software und Tools
2.1.3 Netzwerk
2.1.4 Remote-Desktop Konfiguration
2.2 Wireshark Netzwerkmitschnitt
2.2.1 Man-in-the-Middle
2.3 Verbindungsaufbau
2.4 Verschlüsselung und Key-Extraction
2.4.1 SSL
2.4.2 RDP RC4
2.5 Parser
2.6 Ergebnis des Versuchs
2.7 Fazit
Zielsetzung & Themen
Die vorliegende Arbeit untersucht die Sicherheitsarchitektur des Remote Desktop Protocols (RDP) und analysiert durch einen praktischen Proof-of-Concept, wie mittels Netzwerkanalyse und Key-Extraktion RDP-Sitzungen aufgezeichnet und videografisch wiedergegeben werden können.
- Sicherheitsarchitektur und Schwachstellenanalyse von RDP
- Methoden des Security-Downgradings bei RDP-Verbindungen
- Praktische Erprobung der RDP-Sitzungsaufzeichnung (RDP-Replay)
- Best-Practice-Maßnahmen zur Absicherung von Remote-Zugängen
- Analyse von Angriffswerkzeugen und deren Funktionsweise
Auszug aus dem Buch
2.2.1 Man-in-the-Middle
Grundsätzlich würde ein Angriff über RDP nicht lokal stattfinden, sondern durch Aufzeichnung der Netzwerkaktivitäten außerhalb der verwendeten Client-/Server Architektur. Die erprobte Methode funktioniert unabhängig vom Aufzeichnungsort, sofern die TCP-Pakete abgefangen werden können. Es bieten sich daher auch Port-Mirroring oder Man-in-the-Middle Konstellationen an. Die gegenständliche Methode erfordert allerdings auch die Verschlüsselungs-Keys, deren Gewinnung ohne Weiteres nur mit Admin-Rechten auf dem Remotedesktop-Host möglich ist.
Zusammenfassung der Kapitel
1 Theorieteil: Remote Desktop Protocol - RDP: Dieses Kapitel erläutert die Grundlagen, die Einsatzmöglichkeiten sowie die Sicherheitsmechanismen und bekannten Schwachstellen des Remote Desktop Protocols.
2 Praktischer Teil: RDP-Replay: Hier wird der Versuchsaufbau eines Proof-of-Concepts dokumentiert, bei dem mittels Netzwerkanalyse und technischer Manipulation eine RDP-Sitzung erfolgreich extrahiert und wiedergegeben wird.
Schlüsselwörter
Remote Desktop Protocol, RDP, Sicherheitsarchitektur, Netzwerksicherheit, RDP-Replay, Verschlüsselung, Key-Extraction, Man-in-the-Middle, Bluekeep, Credential-Sniffing, Authentifizierung, Schwachstellenanalyse, Remotedesktopdienste, IT-Sicherheit, Fernzugriff
Häufig gestellte Fragen
Worum geht es in dieser Arbeit primär?
Die Arbeit behandelt die Sicherheitsrisiken des Remote Desktop Protocols (RDP) und zeigt auf, wie ein Angreifer durch gezieltes Downgrading und Key-Extraktion RDP-Verbindungen kompromittieren kann.
Welche zentralen Themenfelder werden abgedeckt?
Die Schwerpunkte liegen auf der Protokoll-Architektur, der Analyse von Sicherheitsimplementierungen, der Aufdeckung von Konfigurationsfehlern und der praktischen Demonstration von Angriffsszenarien im Laborumfeld.
Was ist das primäre Ziel der Forschungsarbeit?
Das Ziel ist die Erprobung eines "RDP-Replay"-Szenarios, um aufzuzeigen, wie mittels abgefangener Netzwerkdaten und extrahierter kryptografischer Schlüssel fremde RDP-Sitzungen nachträglich visualisiert werden können.
Welche wissenschaftliche Methode kommt zum Einsatz?
Es handelt sich um einen praktischen Proof-of-Concept, bei dem unter kontrollierten Laborbedingungen ein RDP-Szenario aufgebaut, mittels Wireshark aufgezeichnet und anschließend mittels spezialisierter Software analysiert wird.
Was beinhaltet der Hauptteil der Arbeit?
Der Hauptteil gliedert sich in einen theoretischen Teil zur Sicherheit des Protokolls und einen praktischen Teil, der das Test-Setup, die Netzwerkmitschnitte und die Extraktion von Verschlüsselungs-Keys beschreibt.
Welche Keywords charakterisieren die Arbeit am besten?
Die zentralen Begriffe sind RDP, Sicherheitsarchitektur, RDP-Replay, Verschlüsselung, Key-Extraction, Man-in-the-Middle und Netzwerksicherheit.
Warum ist die Deaktivierung von NLA für den Versuch entscheidend?
Die Deaktivierung von Network Level Authentication (NLA) ist notwendig, um den RDP-Handshake und die Authentifizierung so zu manipulieren, dass ein Downgrading auf schwächere Verschlüsselungsstufen für den Angriff möglich wird.
Welche Rolle spielt Mimikatz in diesem Dokument?
Mimikatz wird als Werkzeug zur Extraktion von Sicherheits-Keys verwendet, wobei das Dokument auch auf die Schwierigkeiten bei der Kompatibilität mit neueren Windows-Versionen und deren Schutzmechanismen eingeht.
- Arbeit zitieren
- Marc Kasberger (Autor:in), 2020, Remote Desktop Protocol. Grundlagen, Sicherheit und RDP-Replay-Attacken, München, GRIN Verlag, https://www.hausarbeiten.de/document/942765
