質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.48%

  • ネットワーク

    548questions

    ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

  • セキュリティー

    473questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

インターネット回線を利用したリモートデスクトップ接続について

解決済

回答 4

投稿

  • 評価
  • クリップ 0
  • VIEW 5,899

nature_

score 149

お世話になっております。
社内での使用を目的として、以下のようなリモートデスクトップ接続をする場合、セキュリティの視点からどのような問題がありますでしょうか。
1.遠隔地のサーバーに対してリモートデスクトップ接続にてアクセスする
2.接続する側は被接続側のグローバルIPに接続する
3.被接続側のルーターの設定で、リモートデスクトップ用のポート3389を、被接続サーバーのIPアドレスにマッピングしておく
要はVPNがないため、遠隔地のサーバーのメンテナンスをリモートデスクトップを使って行えれば助かるのに、、、というところです。他に問題点等あれば合わせてご教授いただけると助かります。
どうぞよろしくお願いします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 4

+2

こんにちは。

要はVPNがないため、遠隔地のサーバーのメンテナンスをリモートデスクトップを使って行えれば助かるのに

他の方も言っているように、WAN側から直接リモート・デスクトップ接続できるようにするのはリスクが大きいです。

発想を変えて「VPNがない」をクリアできないものでしょうか?
VPNサーバ機能を持つルータは多数販売されてます。自宅で使っているルータが必要もないのにVPNサーバ機能を内蔵しているケースも少なくないと思います。
もしかすると、sm_ymさんがアクセスしたい遠隔地の拠点で使われているルータがVPNサーバ機能を持っている可能性もあるのでは?

VPNを張れれば、その内部でリモート・デスクトップ接続できます。それなら、リモート・デスクトップ接続をWANからできるようにしなくてよいので、その脆弱性を突かれるリスクは事実上ありません。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/05/07 08:25


    Chironian様
    お世話になります。
    おっしゃる通りです、「VPNさえあれば」なんですが、なぜ構築しないのか、私にはまだ解りかねるところです。。。
    ルータの機能はまだ確認しておりませんが、今後の参考にさせていただきます。
    貴重なご意見ありがとうございました。

    キャンセル

checkベストアンサー

+1

VPN経由の方がいいのですが、どうしてもできないのであれば、せめて下記を検討してください。

  1. クライアント側のグローバルIPが固定であれば、Windowsのファイアウォール機能でそのIPアドレスに限定する。
  2. 「ネットワーク レベル認証でリモート デスクトップを実行しているコンピューターからのみ接続を許可する」(OSのバージョンによって表現が微妙に異なります)を有効にする。
  3. 「Adminisrator」という名前のアカウントではログインできないようにする。(無効にする、または名前を変えるなどの方法で)
  4. ポート番号を3389以外に変更する。定期的に変更することが望ましい。
  5. リモートデスクトップ接続するアカウントに管理者権限を付与しない。
  6. ログイン通知や、ログインログの定期的な監視。ログイン失敗も監視すること。
  7. Windows Updateを自動更新にする。
  8. パスワードの定期的な変更。

リモートデスクトップには次の危険性があります。上記である程度は緩和できますが、完全では無いので注意してください。

  • ブルートフォースアタックによりパスワードが破られる。(特に、Administratorが有効だと危険)
  • Windowsの脆弱性により、リモートデスクトップ自体が乗っ取られる。
  • 低い暗号化レベルを使用している場合、通信が盗み見られる。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/05/07 08:31 編集

    raccy様
    お世話になります。
    多くの検討事項のご教授ありがとうございます。ただそれだけ検討事項があるということは、リスクがある証拠ですよね…リモートデスクトップはポートスキャンからのリスクが捨てられないようですので、今回の構想からは外すことにします。
    大変参考になりました。

    キャンセル

+1

まず会社から認められたことを前提として書きます
もし認められていないのならすぐに止めてください
一応お約束として書いておきます

Remote Desktop (RDP) が使用する3389番ポートへのスキャンに関する注意喚起
は2011/09/07時点でJPCERT コーディネーションセンターから出ていた情報です
これを読むと問題はありまくりだと思いませんか?

個人的には、最低でもTeamViewerなどのサービスを経由してアクセスした方がよいと思います
TeamViewer

もし何らかのセキュリティインシデント起こしたら、下手すると首が飛ぶというか会社が傾くレベルにもなるご時世です
会社で運用するなら出せない金額ではないと思いますが...

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/05/07 08:44 編集

    dojikko様
    質問が不十分で申し訳ありません。認められる認められない以前に、あくまで私の中での構想段階のお話しです。「VPN構築せずに安全にリモートデスクトップ接続できれば良い意味で楽に業務改善できるな。あれ?でもどんなリスクがあるのかな…」というところでした。
    挙げていただいたポートスキャンに関する記事を見ただけで恐ろしくなりますね。
    TeamViewer等の被接続側での接続を許可するようなリモートコントロールツールも考えたのですが、基本的に被接続側には技術的な担当者はいないため、常にTeamViewerを立ち上げっぱなしにしておかなくてはならない状況になりそうなので、構想外にしていました。
    参考になりました、ありがとうございました。

    キャンセル

0

セキュリティー上の問題としては、ポートスキャンなどでリモートデスクトップがあることがわかってしまうと、そこから不正アクセスのきっかけを作ってしまうことでしょうか?
パスワードをかけるのは当然としても、総当たりで突破される危険があります。

できればVPN経由で接続したほうが良いと思いますが、せめて、ポート番号を変えるのが良いかと思います。
Windowsのターミナルサービス/リモートデスクトップ接続のポート番号を変更する

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/05/07 08:51

    CodeLab様
    お世話になります。
    現在もリモートデスクトップ用のポートには不正アクセスの形跡があるのかもしれませんね。というかきっとありそうですね。(私の業務の範疇をこえているため確認はしておりませんが…)
    貴重なご意見ありがとうございました、VPNの構築の件も含めて今後の参考にさせていただきます。

    キャンセル

関連した質問

同じタグがついた質問を見る

  • ネットワーク

    548questions

    ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

  • セキュリティー

    473questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。