Привет Хабр!
Для организации удалённой работы и технической поддержки многие компании продолжают использовать проверенные, но морально устаревшие технологии — RDP и VNC. Несмотря на широкое распространение, эти протоколы несут серьёзные риски для информационной безопасности, особенно критичные в современных условиях.
Ключевые проблемы традиционных решений:
Основной недостаток RDP и VNC — их уязвимость. Стандартные порты (3389 для RDP, 5900 для VNC) легко обнаруживаются при автоматическом сканировании. Смена портов обеспечивает лишь минимальную защиту от массовых атак, но не предотвращает целевое воздействие. Фундаментальные ограничения протоколов усугубляют ситуацию: базовый VNC не поддерживает шифрование трафика, а RDP допускает откат к небезопасным алгоритмам шифрования.
Слабая аутентификация как вектор атаки:
Большинство реализаций VNC и RDP не поддерживают многофакторную аутентификацию, что делает их уязвимыми к перебору паролей и использованию скомпрометированных учётных данных. Исторические уязвимости, такие как CVE-2019-0708 (BlueKeep), демонстрируют катастрофические последствия эксплуатации устаревших протоколов.
Человеческий фактор и сложность администрирования:
Настройка безопасности требует высокой квалификации, а в унаследованных системах часто встречаются ошибки конфигурации. Средства защиты могут отключаться случайно или намеренно, а в крупных инфраструктурах системы безопасности часто развёрнуты фрагментарно.
Современные требования к безопасности:
Актуальные решения должны обеспечивать:
Шифрование трафика по умолчанию с использованием современных алгоритмов
Обязательную многофакторную аутентификацию
Централизованное управление политиками безопасности
Защиту от перебора паролей и автоматических атак
Интеграцию с корпоративными системами аутентификации
Сквозное аудирование всех операций
Стратегия перехода:
Миграция на современные решения требует поэтапного подхода:
Закрытие устаревших портов и протоколов
Внедрение MFA для всех систем удалённого доступа
Настройка мониторинга и системы оповещений
Тестирование решений на пилотных группах
Постепенное расширение охвата
Результат оправдывает затраченные усилия — современные системы удалённого доступа обеспечивают не только безопасность, но и операционную эффективность, что особенно важно в условиях растущих киберугроз и ужесточения требований регуляторов.
В ближайшее время планирую провести сравнительный анализ российских решений для удалённого доступа — следите за обновлениями.
Комментарии (11)
JBFW
03.10.2025 10:05Первое же очевидное решение - ВПН до сервера и работа по rdp внутри безопасного канала.
Это будет лучше чем любое новое закрытое "решение", а накладные расходы на шифрование все равно будут, хоть на транспортном уровне, хоть внутри этого самого решения.
Ах да, ещё требования регуляторов: они могут запретить не-гост, например, или ВПН как таковые...
Cyber_Griffin Автор
03.10.2025 10:05VPN + RDP — рабочая схема, но она требует сложной настройки безопасности на нескольких уровнях.
И как вы сами сказали, требования регуляторов сейчас требуют решения из "коробки" которые соответствуют требованиям, после Аэрофлота и Неофарма ситуация стала еще острее, теперь для госников или холдингов, лучший расклад если не придется переплачивать вендору за серт ФСТЭКа
JBFW
03.10.2025 10:05Настройка безопасности там одна - ВПН канал, его можно вообще на смарт-токенах сделать и тогда никто без токена не пролезет.
А вот некая новая программа - это новые дыры, о которых ещё не узнал )
Так что тут вопрос не в безопасности, а в продаже этого самого "решения" под соусом безопасности и импортозамещения.
fcoder
03.10.2025 10:05Я перепробовал десятки разных тулов удалённого подключения и не нашёл ничего даже отдалённо похожего на RDP.
С точки зрения юзабилити там чаще всего там проблемы с пробросом оборудования на хост, поддержки мониторов, горячих клавиш и буфера обмена. В родном виндовом стеке можно делать ctrl+c/ctrl+v на текст, выделенную картинку или файл. Она сразу понимает какие у меня мониторы и микрофон. Win+буква работает корректно в удалённой системе, а не бесит перепрыгиванием в домашнюю. Почему так сложно поддержать совсем базовый UX? Или "разработчики" подобных систем неспособны собрать минимальный набор требований?
С точки зрения безопасности, часто исходники закрыты, а серверная часть требует связи с материнским кораблём. Это для меня абсолютно дисквалифицирующий фактор. О какой безопасности можно говорить вообще?
kenomimi
03.10.2025 10:05Для частного использования Spice работает отлично - 2-3 FHD экрана, и на 4G модеме оно почти не лагает, разве что видео рывками показывает. Пользуюсь уже несколько лет, очень доволен. У него защита никакая, но стандарт отрасли - ipsec (или иной впн), а уже внутри все сервисы, так что не критично.
А вот для многопользовательской терминальной фермы кроме rdp ничего как-то и не завезли. Или анально-закрытое облачное с приличной вероятностью взлома со стороны вендора (сломают облако - считай сломают всех клиентов разом), или решения за миллиарды (которые еще и не работают хорошо без постоянной поддержки вендора), или тормозящие наколенные поделки.
Shaman_RSHU
03.10.2025 10:05Думал, что проблема преувеличена, но потом с помощью shodan.io увидел, что открытых в Интернет RDP портов - 3,110,255
0xC0CAC01A
Вопрос в тему: работающие приложения удалённого доступа к андроиду так и не появились? Человечество утратило знание как писать сервера удалённого доступа?
Shaman_RSHU
Про это https://github.com/Genymobile/scrcpy ?
Cyber_Griffin Автор
Тестил RuDesktop и Ассистент, они работают с Android, но с ограничениями:
В Ассистенте есть только просмотр экрана и передача файлов и он требует ручного подтверждения доступа, в RuDesktop ситуация получше, но как и Ассистенте без root нет полного управления
ajijiadduh
anydesk разве не умеет?
Cyber_Griffin Автор
Если речь идет о корпоративном УД как с ним быть?