¿Quién usa el puerto 3389?

RDP es un protocolo de capa de aplicación que proporciona una interfaz gráfica para el usuario. RDP opera sobre TCP y UDP en el puerto 3389. Permite a los usuarios ver y controlar un escritorio remoto, transferir archivos, y realizar tareas administrativas de forma remota. RDP soporta varios niveles de cifrado para proteger los datos transmitidos entre el cliente y el servidor. Utiliza métodos de autenticación que incluyen credenciales de usuario y autenticación de red. RDP proporciona acceso total a un sistema, lo que significa que comprometer un servicio RDP puede dar al atacante control completo sobre el equipo. Los servicios RDP son a menudo objetivo de ataques de fuerza bruta y enumeración de usuarios, especialmente si están expuestos a Internet sin medidas de protección adecuadas. Evaluar y asegurar los servicios RDP es crucial para prevenir accesos no autorizados y proteger la infraestructura de red. nmap -p 3389 --script rdp-enum-encryption,rdp-vuln-ms12-020,rdp-ntlm-info target-ip Ejecuta el comando Nmap. -p 3389: Especifica que Nmap debe escanear el puerto 3389, el puerto predeterminado para RDP. --script rdp-enum-encryption,rdp-vuln-ms12-020,rdp-ntlm-info: Utiliza scripts NSE para detectar configuraciones y vulnerabilidades en el servicio RDP. rdp-enum-encryption: Enumera los métodos de cifrado soportados por el servidor RDP. rdp-vuln-ms12-020: Detecta la vulnerabilidad MS12-020 en el servidor RDP. rdp-ntlm-info: Recupera información de NTLM del servidor RDP. target-ip: Especifica la dirección IP del objetivo. Starting Nmap 7.80 ( https://nmap.org ) at 2024-05-18 22:00 UTC Nmap scan report for 192.168.1.150 Host is up (0.0013s latency). PORT STATE SERVICE 3389/tcp open ms-wbt-server | rdp-enum-encryption: | Security layer | CredSSP (NLA): SUCCESS | CredSSP with NTLMv2: SUCCESS | TLS with NTLMv2: SUCCESS | RDP Standard Security: FAILURE | RDP Encryption level: Client Compatible | Encryption methods supported: 128-bit RC4, 56-bit RC4, 40-bit RC4 | rdp-vuln-ms12-020: | VULNERABLE: | MS12-020 Remote Desktop Protocol Denial Of Service Vulnerability | State: VULNERABLE | IDs: CVE:CVE-2012-0002 | Risk factor: HIGH | A denial of service vulnerability exists in the Remote Desktop Protocol. An attacker who successfully exploited this vulnerability could cause the target system to stop responding. Host is up: Indica que el sistema objetivo está en línea y responde. 3389/tcp open ms-wbt-server: El puerto 3389 está abierto y el servicio RDP (Microsoft Terminal Services) está activo. rdp-enum-encryption: Enumera los métodos de cifrado soportados por el servidor RDP. CredSSP (NLA): Éxito, indicando que el servidor soporta CredSSP con autenticación de red. TLS con NTLMv2: Éxito, indicando soporte para cifrado TLS con autenticación NTLMv2. RDP Standard Security: Fallo, indicando que el servidor no soporta el cifrado estándar de RDP. Encryption Level: Cliente compatible. Encryption Methods: Métodos de cifrado soportados (128-bit RC4, 56-bit RC4, 40-bit RC4). rdp-vuln-ms12-020: Detecta la vulnerabilidad MS12-020, que permite ataques de denegación de servicio en RDP. Estado: Vulnerable. CVE: CVE-2012-0002. Factor de riesgo: Alto. rdp-ntlm-info: Recupera información NTLM del servidor RDP. Target Name: EXAMPLE. NetBIOS Domain Name: EXAMPLE. NetBIOS Computer Name: SERVER. DNS Domain Name: example.local. DNS Computer Name: server.example.local. Forest DNS Name: example.local.

Cuando se conecta a un equipo a través del cliente de Escritorio remoto, la característica Escritorio remoto del equipo escucha la solicitud de conexión a través de un puerto de escucha definido, 3389 de forma predeterminada. Un equipo con Escritorio remoto habilitado. Para cambiar el puerto de escucha, puede usar el Editor del Registro o PowerShell. Para cambiar el puerto de escucha mediante el Editor del Registro, siga estos pasos: Seleccione el botón Iniciar , escriba Editor del Registro, abra Editor del Registro en la lista de coincidencias más adecuada. En el panel principal, seleccione PortNumber. La próxima vez que se conecte a este equipo mediante la conexión a Escritorio remoto, escriba el nombre de host junto con el puerto nuevo. Si ha cambiado el puerto para usar 3390, la dirección sería PC1.contoso.com:3390 Si usa un firewall, asegúrese de configurar el firewall para permitir conexiones al nuevo número de puerto.

Las conexiones RDP casi siempre tienen lugar en el puerto 3389. Los atacantes pueden suponer que este es el puerto en uso y marcarlo como objetivo para realizar ataques en ruta, entre otros. En redes, un puerto es una ubicación lógica, basada en software, que se designa para determinados tipos de conexiones. BlueKeep (clasificado oficialmente como CVE-2019-0708) es una vulnerabilidad que permite que los atacantes ejecuten el código que quieran en un ordenador si envían una solicitud especialmente diseñada al puerto adecuado (normalmente el 3389). Bloquear el puerto 3389: un software de tunelización seguro puede ayudar a impedir que los atacantes envíen peticiones que lleguen al puerto 3389. Reglas del firewall: puede ser factible configurar manualmente un firewall corporativo para que no pueda pasar ningún tráfico al puerto 3389, excepto el tráfico procedente de rangos de direcciones IP de la lista de permitidos.

El servicio utiliza por defecto el puerto TCP 3389 en el servidor para recibir las peticiones. Una vez iniciada la sesión desde un punto remoto el ordenador servidor mostrará la pantalla de bienvenida de windows, no se verá lo que el usuario está realizando de forma remota. Este servicio tiene distintos tipos de aplicaciones: se utiliza frecuentemente para el acceso remoto en la administración de equipos, pero también es cada vez más utilizado en la gestión de servicios de terminal o clientes ligeros. El redireccionamiento del audio permite al usuario ejecutar un programa de audio en una ventana remota y escuchar el sonido en el ordenador local. El redireccionamiento del sistema de ficheros permite a los usuarios utilizar sus ficheros locales en una ventana remota. Permite al usuario utilizar su impresora local al estar conectado al sistema remoto. El redireccionamiento de puertos permite utilizar los puertos serie y paralelo directamente. El portapapeles puede compartirse entre los ordenadores local y remoto. Se necesita Windows Server 2008. Soporte remoto de Aero Glass Thema, incluyendo tecnología de suavizado de fonts ClearType. Soporte para aplicaciones Windows Presentation Foundation compatibles con clientes .Net Framework 3.0 y que sean capaces de tener efectos en la máquina local. Revisado para que el redireccionamiento de dispositivos sea más general, permitiendo una mayor variedad de dispositivos. Todos los servicios de terminal serán totalmente configurables y suscritos vía Windows Management Instrumentation. Soporte para Transport Layer Security 1.0 en los lados cliente y servidor. Soporte de varios monitores. La sesión puede mostrarse en dos monitores.

TCP y UDP 3389: puerto estándar del Protocolo de escritorio remoto (RDP). Se puede configurar en un número de puerto diferente en el host y el cliente. TCP 3389: se usa para las conexiones con el host de sesión de Escritorio remoto. TCP 3389: se usa para las conexiones a grupos de máquinas virtuales no administradas. Las máquinas administradas usan Virtual Machine Bus (VMBus) para abrir puertos. TCP 3389: puerto de cliente para clientes que no usan puerta de enlace de Escritorio remoto. TCP y UDP 3389: usado por RDP. Nota: Los firewalls que tienen un análisis UDP direccional, como TMG, requieren que UDP "Enviar recepción" se configure en el protocolo UDP. TCP y UDP 3389: usado por RDP. Nota: Los firewalls que tienen un análisis UDP direccional, como TMG, requieren que UDP "Enviar recepción" se configure en el protocolo UDP.