Növeld a biztonságot: Az RDP (Távoli asztali kapcsolat) portváltás lépései

Szia! 👋 Ugye te is ismered a helyzetet? Hosszú nap a munkahelyen, hazaérsz, de még be kell fejezned valamit, vagy csak gyorsan ellenőriznéd a céges szervered állapotát. Ilyenkor a Távoli asztali kapcsolat (RDP – Remote Desktop Protocol) aranyat ér. Egy kattintás, és máris ott vagy, mintha a fizikai géped előtt ülnél. Kényelmes, gyors, hatékony. De mi van, ha azt mondom, ez a kényelem súlyos biztonsági kockázatot rejthet magában, ha nem figyelsz oda pár apróságra? 🤔

A mai digitális világban a kiberbiztonság már nem csak a nagyvállalatok luxusa, hanem mindenki számára alapvető szükséglet, legyen szó egyéni felhasználóról, kisvállalkozásról, vagy akár egy hatalmas multinacionális cégről. Amikor távoli hozzáférést biztosítunk gépeinkhez, lényegében egy digitális ajtót nyitunk a külvilág felé. Ha ez az ajtó nyitva áll, és még a küszöbre is rá van írva, hogy „gyere, be!”, akkor ne csodálkozzunk, ha nemkívánatos vendégek kopogtatnak.

Ebben a cikkben pontosan erről a „digitális ajtóról” fogunk beszélni: az RDP alapértelmezett portjáról, és arról, hogyan tehetjük biztonságosabbá a távoli hozzáférésünket egy egyszerű, de rendkívül hatékony lépéssel: a portváltással. Ne aggódj, nem kell informatikai zseninek lenned hozzá! Lépésről lépésre végigvezetlek minden szükséges beállításon, hogy a végén magabiztosan, és ami még fontosabb, biztonságosan használd az RDP-t.

Miért olyan fontos az RDP portjának megváltoztatása? ⚠️

Az RDP alapértelmezésben a 3389-es TCP porton keresztül kommunikál. Ez egyfajta szabvány, amit mindenki ismer. Gondolj úgy rá, mintha a házad főbejárati ajtajára rá lenne írva, hogy „Főbejárat”. A probléma ezzel az, hogy a rosszindulatú támadók, hacker csoportok, és automatizált „botnetek” is pontosan tudják ezt. 🤖 Ezek a rendszerek folyamatosan pásztázzák az internetet, keresve a nyitott 3389-es portokat.

Képzeld el, hogy a házad ajtajára ki van írva, hogy főbejárat, és az összes tolvaj tudja, hogy a 3389-es számú ajtó az! Nem is kell keresgélniük, csak odamennek és próbálgatják. Ha hagyod az alapértelmezett portot, az olyan, mintha kitennél egy „Kérem, próbálkozzon itt!” táblát. Ezek a folyamatosan futó szkriptek és botok megállás nélkül próbálkoznak különböző felhasználónevekkel és jelszavakkal (ezt hívjuk brute-force támadásnak), abban a reményben, hogy találnak egy gyenge pontot, vagy valaki egyáltalán nem állított be jelszót.

A portváltással nem teszed áthatolhatatlanná a rendszeredet, de jelentősen csökkented a támadási felületet. Elrejtőzködsz a tömegből. A portszkennelők nagy része csak a jól ismert portokat ellenőrzi, így ha egy ritkább, magasabb számú portra költözöl, máris kimaradsz a legtöbb automatikus támadás célkeresztjéből. Ez az első védelmi vonal, ami bár egyszerű, rendkívül hatékonyan szűri ki az „opportunista” támadókat.

Az RDP és a portok megértése 🖥️

Mielőtt belevágnánk a technikai részletekbe, tisztázzuk gyorsan, miről is van szó.

• RDP (Remote Desktop Protocol): Ez egy hálózati protokoll, amelyet a Microsoft fejlesztett ki a grafikus felhasználói felület (GUI) távoli számítógépről történő elérésére. Lényegében átküldi a távoli gép képernyőjét a helyi gépedre, és a te billentyűzet- és egérmozdulataidat visszaküldi a távoli gépre.
• Port: A hálózati portok olyan virtuális „bejáratok” a számítógépeden, amelyeken keresztül a különböző szolgáltatások kommunikálnak. Gondolj rájuk, mint a lakásod ajtajaira: van egy a konyhához, egy a hálószobához, stb. Mindegyik ajtó egy-egy szolgáltatáshoz vezet. A 3389-es port az RDP „főbejárata” a szabvány szerint. Portok száma 0-tól 65535-ig terjedhet. Az 1-től 1023-ig terjedő portok a „jól ismert” vagy „privilegizált” portok (pl. 80-as HTTP, 443-as HTTPS), az 1024-től 49151-ig terjedő portok a „regisztrált” portok, míg a 49152-től 65535-ig terjedőek a „dinamikus” vagy „privát” portok.

Új port kiválasztása 🔢

Amikor új portot választasz az RDP-hez, érdemes néhány dolgot figyelembe venned:

• Ne válassz alacsony számú portot (0-1023): Ezeket a portokat általában ismert rendszer szolgáltatások használják, és ütközhetnek velük, vagy továbbra is támadók célpontjai lehetnek.
• Ne válassz olyan portot, amit már más szolgáltatás használ: Ez konfliktusokhoz vezethet, és a szolgáltatásaid nem fognak működni. (Pl. ne a 80-as vagy 443-as portot válaszd, ha web szervered van!)
• Válassz egy magasabb számú portot (ideális esetben 49152 felett): Ezek a portok a „dinamikus” vagy „privát” tartományba esnek, és sokkal kisebb az esélye, hogy egy automatikus szkennelés megpróbálja rajtuk keresztül elérni a gépedet. Példák: 54321, 60000, 50001, stb.
• Legyen emlékezetes számodra, de ne kitalálható: Valami, amit könnyen megjegyzel, de nem nyilvánvaló (pl. a születési dátumod fordítva, stb. – de ezt is csak óvatosan!).

Döntsd el most, milyen számot szeretnél használni! Ezt fogjuk beállítani mindenhol.

Az RDP portváltás lépései: Lássuk a gyakorlatot! ⚙️🛡️📡✅

Most jön a lényeg! Három fő területen kell módosítást végeznünk, hogy az RDP a kiválasztott új porton működjön:

1. A Windows rendszerleíró adatbázisában (Registry) – itt mondjuk meg a gépnek, hogy melyik porton hallgatózzon az RDP.
2. A Windows Tűzfalban – itt engedélyezzük, hogy a külső kapcsolatok elérjék az új portot.
3. A routeren (ha külső hálózatról akarsz csatlakozni) – itt irányítjuk át a külső hálózati forgalmat a belső gépünkre.

1. Lépés: Az RDP port megváltoztatása a Windows Registry-ben ⚙️

Ez az a hely, ahol a Windows szolgáltatásainak beállításai találhatók. Kis odafigyeléssel könnyedén elvégezhető a módosítás.

1. Nyisd meg a Registry Editor-t:
   • Nyomd le a Win + R billentyűkombinációt a Futtatás ablak megnyitásához.
   • Írd be: regedit, majd nyomd meg az Entert.
   • Ha megkérdezi, add meg az adminisztrátori jogosultságot.
2. Navigálj a megfelelő útvonalra:

   A bal oldali panelen navigálj a következő útvonalra:

   HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp

3. Keresd meg a PortNumber bejegyzést:

   A jobb oldali panelen keresd meg a PortNumber nevű DWORD értékű bejegyzést. Ez az alapértelmezett 3389-es portot tartalmazza.

4. Módosítsd az értéket:
   • Kattints jobb egérgombbal a PortNumber bejegyzésre, majd válaszd a Módosítás... opciót.
   • A felugró ablakban válaszd a Decimális alapot (így könnyebb lesz beírni a portszámot).
   • Írd be a már korábban kiválasztott új portszámot. Például, ha a 54321-et választottad, azt írd be.
   • Kattints az OK gombra.
5. Zárd be a Registry Editor-t.

Fontos megjegyzés: A rendszerleíró adatbázis (Registry) módosítása óvatosságot igényel. Ha nem vagy biztos a dolgodban, kérj segítséget, vagy készíts biztonsági másolatot a Registry-ről a módosítás előtt! (Fájl menü -> Exportálás).

2. Lépés: A Windows Tűzfal konfigurálása 🛡️

Hiába állítottuk be az új portot a Registry-ben, ha a Windows Tűzfal blokkolja a bejövő kapcsolatokat. Engedélyeznünk kell az új portot.

1. Nyisd meg a Windows Tűzfal beállításait:
   • Nyomd le a Win + R billentyűkombinációt, írd be control firewall.cpl, majd nyomd meg az Entert.
   • Vagy: Keresd a Start menüben a „Windows Defender tűzfal” kifejezésre, majd kattints az „Engedélyezés alkalmazáson vagy szolgáltatáson keresztül a Windows Defender tűzfalon” vagy „Speciális beállítások” linkre. A leggyorsabb a „Speciális beállítások”.
2. Navigálj a bejövő szabályokhoz:

   A bal oldali panelen válaszd a Bejövő szabályok (Inbound Rules) lehetőséget.

3. Hozd létre az új szabályt:
   • A jobb oldali panelen kattints az Új szabály... (New Rule...) opcióra.
   • A Szabály típusa (Rule Type) ablakban válaszd a Port (Port) lehetőséget, majd kattints a Tovább (Next) gombra.
   • A Protokollok és portok (Protocols and Ports) ablakban válaszd a TCP-t, majd az Adott helyi portok (Specific local ports) opciót, és írd be az új RDP portszámodat (pl. 54321). Kattints a Tovább (Next) gombra.
   • A Művelet (Action) ablakban hagyd bejelölve az A kapcsolat engedélyezése (Allow the connection) opciót, majd kattints a Tovább (Next) gombra.
   • A Profil (Profile) ablakban válaszd ki, mely hálózati profilokra vonatkozzon a szabály (általában érdemes mindhármat – Tartományi, Privát, Nyilvános – bepipálni, de ha pontosan tudod, melyik hálózaton fogod használni, szűkítheted). Kattints a Tovább (Next) gombra.
   • A Név (Name) ablakban adj egy értelmes nevet a szabálynak (pl. „RDP új port 54321”), és opcionálisan egy leírást. Kattints a Befejezés (Finish) gombra.
4. Tiltsd le (vagy töröld) a régi RDP szabályokat (opcionális, de ajánlott):

   Keresd meg a „Távoli asztal (TCP-bejövő)” vagy „Remote Desktop (TCP-In)” nevű szabályokat, amelyek a 3389-es portot engedélyezik. Jobb gombbal kattintva válaszd a Szabály letiltása (Disable Rule) opciót, vagy ha biztos vagy a dolgodban, akár törölheted is. Ezzel elkerülheted, hogy valaki mégis a régi porton keresztül próbálkozzon.

3. Lépés: Router konfigurálása / Port átirányítás (Port Forwarding) 📡

Ha a távoli gépet a helyi hálózatodról (LAN) éred el, akkor erre a lépésre nincs szükséged. Viszont ha az internetről (WAN) szeretnél csatlakozni, akkor a routereden be kell állítanod a port átirányítást (más néven Port Forwarding vagy NAT).

Ez a lépés routerenként eltérő lehet, de az alapelv ugyanaz:

1. Lépj be a routered adminisztrációs felületére:

   Nyisd meg a böngésződet, és írd be a routered IP-címét (gyakran 192.168.1.1, 192.168.0.1 vagy 192.168.1.254). A bejelentkezési adatokat általában a router alján találod, vagy a szolgáltatódtól kapott dokumentációban.

2. Keresd meg a Port Forwarding / NAT beállításokat:

   Ez általában a „Tűzfal”, „WAN beállítások”, „Haladó beállítások” vagy „Port Forwarding” menüpont alatt található.

3. Hozd létre az új átirányítási szabályt:
   • Service Port / External Port / WAN Port: Ide írd be az új RDP portszámodat (pl. 54321).
   • Internal Port / LAN Port: Ide is az új RDP portszámodat írd be (pl. 54321). Ha a biztonságot tovább szeretnéd növelni, eltérő külső és belső portot is használhatsz, de ez a kezdeteknél bonyolultabb lehet.
   • Internal IP Address / Server IP Address: Ide annak a számítógépnek a belső IP-címét írd be, amelyhez az RDP-vel csatlakozni szeretnél. (Fontos: A számítógépnek statikus belső IP-címmel kell rendelkeznie, hogy az átirányítás mindig a megfelelő gépre mutasson! Ezt a Windows hálózati beállításaiban vagy a router DHCP szerverénél állíthatod be.)
   • Protocol: Válaszd a TCP-t.
   • Engedélyezd / Mentés: Győződj meg róla, hogy a szabály engedélyezve van, majd mentsd el a beállításokat. A routered valószínűleg újraindul.

Tipp: Ha nem találod a router beállításait, keress rá a routered pontos típusára és a „port forwarding” kifejezésre az interneten. Rengeteg útmutatót találsz majd!

4. Lépés: A kapcsolat tesztelése ✅

Most, hogy mindent beállítottál, itt az ideje ellenőrizni, hogy minden rendben van-e. Különösen fontos, hogy NE a saját gépedről tesztelj, hanem egy másik számítógépről a hálózatodon belül, majd ha ez működik, akkor külső hálózatról (pl. mobilinternetről, vagy egy barátod gépéről).

1. Csatlakozás a helyi hálózaton belül (LAN):
   • Egy másik számítógépen nyisd meg a Távoli asztali kapcsolat klienst (Start menü -> „mstsc” beírása).
   • A „Számítógép” mezőbe írd be a távoli gép belső IP-címét, majd kettősponttal elválasztva az új portszámot. Pl: 192.168.1.100:54321
   • Kattints a „Csatlakozás” gombra. Ha minden rendben, meg kell jelennie a bejelentkezési ablaknak.
2. Csatlakozás külső hálózatról (WAN):
   • Keress rá az interneten, hogy „What is my IP” (pl. whatismyip.com), hogy megtudd a routered külső IP-címét.
   • Egy olyan gépről, ami nem a te hálózatodon van (fontos!), nyisd meg a Távoli asztali kapcsolat klienst.
   • A „Számítógép” mezőbe írd be a routered külső IP-címét, majd kettősponttal elválasztva az új portszámot. Pl: 84.234.12.34:54321
   • Kattints a „Csatlakozás” gombra. Ha megkaptad a bejelentkezési ablakot, akkor sikeres voltál!

Probléma esetén:

• Ellenőrizd újra a Registry beállítást.
• Nézd át a Tűzfal szabályát – biztosan engedélyezve van, és a megfelelő portra vonatkozik?
• A routeren is ellenőrizd az átirányítást – jó IP-címre, és jó portra mutat?
• Győződj meg róla, hogy a távoli gép be van kapcsolva és fut az RDP szolgáltatás.
• Próbáld meg ideiglenesen kikapcsolni a Windows Tűzfalat a távoli gépen (csak tesztelésre!), ha akkor működik, akkor ott van a hiba. Ne felejtsd el visszakapcsolni!

További biztonsági intézkedések az RDP védelmére 🔒

A portváltás önmagában egy nagyszerű lépés, de nem az egyetlen, amit megtehetsz. Íme néhány további javaslat:

• Erős jelszavak: Ez alapvető. Használj hosszú, bonyolult jelszavakat, amik tartalmaznak nagy- és kisbetűt, számot és speciális karaktert. Soha ne használd a „password”, „123456” vagy a felhasználónevedet jelszóként!
• Fiókzárási házirend (Account Lockout Policy): Állítsd be, hogy x számú sikertelen bejelentkezési kísérlet után a fiók ideiglenesen zárolva legyen. Ez segít a brute-force támadások ellen. (Windows Csoportházirend-szerkesztőben állítható be.)
• Hálózati szintű hitelesítés (NLA – Network Level Authentication): Az NLA megköveteli, hogy a felhasználó még az RDP munkamenet létrehozása előtt hitelesítse magát. Ez megakadályozza, hogy a támadók erőforrásokat pazaroljanak a munkamenetek létrehozására, ha úgysem tudnak bejelentkezni. Ez általában alapértelmezésben be van kapcsolva a modernebb Windows rendszereken.
• Korlátozott IP-címek: Ha tudod, honnan fogsz csatlakozni, a routeren vagy a Windows Tűzfalban beállíthatod, hogy csak bizonyos IP-címekről lehessen elérni az RDP-t. Ez drasztikusan csökkenti a támadási felületet.
• VPN használata: A legbiztonságosabb megoldás, ha RDP-t csak VPN-en keresztül engedélyezel. Ebben az esetben a routeren nem is kell port forwardingot beállítanod az RDP-nek, csak a VPN szervernek. A VPN titkosítja a teljes kapcsolatot, és csak a VPN alagúton belülről engedélyezi a hozzáférést.
• Kétfaktoros hitelesítés (2FA): Bár az alap RDP nem támogatja natívan, léteznek harmadik féltől származó megoldások, amelyek integrálhatók, így a jelszón kívül egy második hitelesítési tényezőre (pl. mobiltelefonos kódra) is szükség van a belépéshez.
• Rendszeres frissítések: Tartsd naprakészen a Windows rendszeredet! A frissítések sokszor biztonsági réseket foltoznak be, amelyeket a támadók kihasználhatnának.

Személyes véleményem és a valóság

Személyes véleményem szerint, és ezt a kiberbiztonsági incidensek statisztikái is alátámasztják, az RDP alapértelmezett portjának használata egy melegágya a támadásoknak. Sajnos, a statisztikák azt mutatják, hogy a nyitott 3389-es port továbbra is az egyik leggyakoribb belépési pont a támadók számára, akik brute-force vagy credential stuffing támadásokkal próbálkoznak. Ezek a támadások hihetetlenül gyakoriak, és sokszor csak az idő kérdése, hogy egy gyenge jelszóval rendelkező fiókot találjanak.

„A kiberbiztonság nem egy egyszeri beállítás, hanem egy folyamatos éberséget és proaktív megközelítést igénylő feladat. Az RDP portjának megváltoztatása nem csak egy technikai lépés, hanem egy alapvető, felelősségteljes gondolkodásmód tükre a digitális térben.”

Ez egy első és alapvető lépés afelé, hogy komolyan vedd a hálózatod védelmét. Ne hagyd, hogy a kényelem elaltasson! Néhány perc ráfordítással sok órányi fejfájástól kímélheted meg magad, és ami még fontosabb, megvédheted az adataidat és a rendszereidet.

Záró gondolatok 🙏

Láthatod, az RDP portjának megváltoztatása nem ördöngösség. Néhány jól követhető lépéssel jelentősen növelheted a távoli asztali kapcsolatod biztonságát. Ez a módszer – amit gyakran „security through obscurity” (biztonság az ismeretlenségen keresztül) néven emlegetnek – bár nem nyújt teljes védelmet minden típusú támadás ellen, mégis az egyik leggyorsabb és leghatékonyabb módja annak, hogy elhárítsd a legtöbb automatizált, célzott szkennelést.

Ne feledd, a digitális világban a biztonság folyamatos odafigyelést igényel. A portváltás egy remek kezdő lépés. Kombináld erős jelszavakkal, tűzfal-szabályokkal és egyéb fent említett intézkedésekkel, és máris sokkal nyugodtabban használhatod a kényelmes RDP-t. Köszönöm, hogy velem tartottál, és remélem, ez az útmutató segít neked abban, hogy biztonságosabbá tedd a digitális életedet! Maradj biztonságban! 🚀