Remote Desktop Erişim Güvenliği ve Bir Bağlantının Anatomisi

Remote Desktop Mimarisi son on sene içinde ciddi bir evrim geçirdi ve günümüz tehtitlerine cevap verebilmek için sürekli yenilendi. Yeni Remote Desktop mimarisine geleneksel Terminal Server mimarisi gibi yaklaşanlar Remote Desktop Role sayısının fazla olmasına çok anlam veremedi.

Yeni Remote Desktop mimarisi bir çok kuruluş için artık iş kritik sunucu görevine sahip ve iş sürekliliği ve felaketten korunma senaryolarına da destek vermekte.

Sunucu görevlerinin çok fazla olması iş sürekliliği kadar günümüz güvenlik tehtitleri içinde önemli bir konudur ve kararlı çalışabilmesi için güvenlik tehtitlerine karşı da hazırlıklı olması gerekmekte.

Bu çalışmamız da Remote Desktop ortamlarında erişim güvenliği ve bir bağlantının anatomisi adlı çalışmayı sizler için hazırladık.

Sol tarafta görmüş olduğunuz bölüm, son kullanıcıların barınmış olduğu bölge ve bu bölge içinde son kullanıcı aygıtlarıı bulunmakta. Bu aygıtlar Windows işletim sistemine sahip bilgisayarlar, IOS ve Android işletim sistemine sahip aygıtlar.

Aygıt çeşitliliği bu kadar fazla olduğu zaman Remote Desktop güvenliğini sıkı tutmak zorunlu. Çünkü, her bir aygıt özünde farklı zaafiyetleri de barındırmakta.

Sağ taraftaysa Remote Desktop ortamı içinde bulunan Remote Desktop Sunucu Rollerini görmektesiniz. Remote Desktop ortamında birden fazla RDS sunucu rolü blunmakta ve her bir sunucu bir-birinden farklı görevlere sahip.

Sunucu sayısının fazla olması, Remote Desktop ortamına yapılacak olan bağlantıları kontrol etmek ve güvenlik tehtitlerini önlemek için. Şirket ihtiyaçları çoğu kez güvenlik politikalarımız da esneme yaptırsa bile bizler yeni Remote Desktop sunucu görevleri ile güvenlik sıkılaştırma işlemlerini yapabiliriz.

İlk etapta, Kullanıcı RDS Platformuna bağlantı yapmak için RD Web Access Role merhaba demekte. Sahip olduğu kullanıcı adı ve parolayı, RD Web Access sunucuna paylaşmakta ve oturum açmak için izin istemekte.

İkinci etapta, RD Web Access Role, kullanıcıdan gelen bu bilgileri etki alanı sunucularına sormakta. Çünkü, yeni Remote Desktop platformunda hiç bir sunucu üzerinde kullanıcı kimlik bilgileri saklanmaz.

Etki alanı sunucuları, RD Web Access ‘den gelen kullanıcı kimlik bilgilerini kontrol etmekte. Eğer kullanıcı doğru kimlik bilgisi paylaştıysa RD Web Access ile etki alanı sunucuları arasında üç numaralı bağlantı oluşuyor ve kullanıcıya paylaşıması için geçici bir bilet veriliyor.

RD Web Access Role, etki alanı denetleyicisinden almış olduğu bileti son kullanıcı ile paylaşmakta ve son kullanıcıyı Remote Desktop ortamında bulunan RD Gateway ‘e yönlendiriyor.

Bu aşamaya kadar kullanıcımız henüz oturum açmadı.

Kullanıcı, RD Web Access sunucusından kendisine paylaşılan bileti 5 numaralı bağlantı da RD Gateway sunucularına paylaştı. RD Gateway sunucusu kullanıcının paylaşmış olduğu biletin doğruluğunu kontrol etmek için ilk önce RD Web Access sunucusuna daha sonra da etki alanı sunucularına gidiyor.

RD Gateway Role ilk bağlantı talebinde RD Web AccessRole güvenmez!!! Nedeni basit. RD Web Access Role zehirlenmiş olabilir ve bu süphe ile Remote Desktop ortamını tehlikeye atmaz.

RD Gateway Role, RD web Access Role ve etki alanı sunucularıyla 6 ve 7 numaralı geçici bağlantı oluştu. Bu bağlantılar üç numaralı bağlantı gibi iki yönlü ve kullanıcının talebi özelinde. Bunlar, kalıcı bağlantılar değildir.

Remote Desktop Gateway sunucuları, bileti doğruladı ve kullanıcı talebini Remote Desktop Connection Broker Role aktardı.

Remote Desktop Connection Broker sunucusu da Remote Desktop Gateway sunucusu tarafından paylaşılan bileti kontrol etmekte ve bilet içinde bulunan Remote Desktop Web Access sunucularına ve etki alanı sunucularına biletin geçerli olup-olmadığını sormakta.

Sonuçta, Remote Desktop Gateway Role ‘ da zehirlenmiş olabilir.

RD Connection Broker Role,  RD Web Access ve etki alanı sunucuları arasında geçici bir bağlantı başladı.  9 ve 11 numaralı bağlantı üç numaralı bağlantı gibi ve kullanıcı bağlantı talebi bitene kadar kapanmayacak.

Remote Desktop Connection Broker, biletin geçerli olduğunu doğruladı.

Sonraki aşama, Remote Desktop ortamına bağlantı yapmak isteyen kullanıcı hangi yetkilere sahip ve kullanıcı için hazırlanan platform hangisi. Bu kullanıcı daha önce Remote Desktop ortamında oturum açtı mı yada daha önce açılmış olan bir oturumu bir şekilde koptu mu. Kullanıcı IDLE olarak adlandırılan kullanıcı da olabilir mi?

Bu soruların bütün cevapları Remote Desktop Connection Broker Veri tabanı içinde bulunmakta ve veri tabanından bu soruların cevaplarını öğrenmekte…

Remote Desktop Connection Broker Role, kullanıcıyı tanıdı ve talebini aldı. Remote Desktop  Connection Broker, Remote Desktop Gateway sunucusuna geri dönmeden hemen önce Etki alanı sunucularıyla açmış olduğu 11 numaralı bağlantıyı kapatır.

Etki alanı sunucusu da Remote Desktop Connection Broker Role ile ilişkisini bitirdikten sonra Remote Desktop Web Access Role ile açmış olduğu 3 numaralı bağlantıyı kapatır. Remote Desktop  Web Access sunucusu da Remote Desktop Connection Broker sunucusu ile açmış olduğu 9 numaralı bağlantıya son verdi. Remote Desktop  web Access ile ilişkisi biten Remote Desktop Connection Broker sunucusu Remote Desktop Gateway sunucularıyla 14 numaralı yeni bir bağlantı açtı.

Bu açılan yeni bağlantı bu kullanıcı özelinde ve kullanıcı oturumunu kapatana kadar yada son bulunan kadar açık kalacak.

14 numaralı bağlantı üzerinden Remote Desktop Gateway Role ve Remote Desktop Connection Broker Role sürekli olarak konuşacak, Aynı 13 numaralı bağlantı gibi.

13 numaralı bağlantıya dikkatli bakarsanız henüz sonlanmadı. Bu bağlantı da bu kullanıcı özelinde ve kullanıcı oturumu kapatana kadar Remote Desktop Connection Broker Role ve veri tabanı sunucularıyla konuşacak..

Remote Desktop Connection Broker Role kullanıcı yetkilerini, bağlantı yapacak olduğu sanallaştırma ortamını (Session Virtualization yada Virtual Desktop) Remote Desktop Gateway Role’e bildirdi. Remote Desktop Gateway Role da kullanıcıya geri dönüş yapmadan hemen önce etki alanı sunucularıyla açmış olduğu 7 numaralı geçici bağlantıları sonlandırdı.

Remote Desktop Gateway  ve Remote Desktop Web Access konuşmaya devam etmekte ve bu çift taraflı bağlantı henüz kopmadı. Remote Desktop Gateway Role ve Remote Desktop Web Access sunucularına açılan 1 ve 4 numaralı bağlantıları kapatması için bilgi vermekte.

Remote Desktop Web Acccess son kullanıcıyla bağlantısını kopardıktan sonra Remote Desktop Web Access ile Remote Desktop Gateway arasında ki bağlantı da artık son buldu.

Kullanıcı, RDS platformuna sadece 5 numaralı bağlantı üzerinden iletişim kurmakta ve bu bağlantıya cevap veren sunucu da sadece Remote Desktop Gateway Role.

Remote Desktop Gateway Role 5 numaralı bağlantı üzerinden kullanıcıya geri dönüş yapmakta ve oturum açmasına artık izin vermekte. Kullanıcı oturum açma bilgisini aldıktan sonra Remote Desktop Gateway ile 15 numaralı SSL bağlantı (443) başladı ve bu bağlantı günümüzde güvenilen en güvenli bağlantı türü.

Kullanıcı, Remote Desktop ortamına sadece Remote Desktop Gateway Roleüzerinden iletişim kurmakta ve Remote Desktop Gateway Role ‘ da kullanıcı bağlantısını RDP bağlantısı (3389) olarak dönüştürmekte.

Oturum sanallaştırma yada masa üstü sanallaştırma ortamına bağlantı yöntemi Rdp over Http ‘dir ve dış dünyaya açılan portlar RDP portu değil sadece SSL portu.

Remote Desktop Gateway ‘in görevi kullanıcı oturumu kapatana kadar bitmeyecek, kullanıcıyı sanallaştırma ortamına ulaştırmakla sorumlu olacak.

Remote Desktop Gateway, bir köprü görevinde ve bu köprü görevi sadece sanallaştırma ortamıyla sınırlı değil.

Kullanıcı durumunu an ve an sürekli olarak Remote Desktop Connection Broker sunucusuna paylaşmakta ve Connection Broker sunucusunun güncel kalmasını sağlamakta.