質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

Q&A

解決済

4回答

13779閲覧

インターネット回線を利用したリモートデスクトップ接続について

f_horizon

総合スコア163

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

1グッド

0クリップ

投稿2016/05/06 14:30

お世話になっております。
社内での使用を目的として、以下のようなリモートデスクトップ接続をする場合、セキュリティの視点からどのような問題がありますでしょうか。
1.遠隔地のサーバーに対してリモートデスクトップ接続にてアクセスする
2.接続する側は被接続側のグローバルIPに接続する
3.被接続側のルーターの設定で、リモートデスクトップ用のポート3389を、被接続サーバーのIPアドレスにマッピングしておく
要はVPNがないため、遠隔地のサーバーのメンテナンスをリモートデスクトップを使って行えれば助かるのに、、、というところです。他に問題点等あれば合わせてご教授いただけると助かります。
どうぞよろしくお願いします。

otn👍を押しています

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答4

0

こんにちは。

要はVPNがないため、遠隔地のサーバーのメンテナンスをリモートデスクトップを使って行えれば助かるのに

他の方も言っているように、WAN側から直接リモート・デスクトップ接続できるようにするのはリスクが大きいです。

発想を変えて「VPNがない」をクリアできないものでしょうか?
VPNサーバ機能を持つルータは多数販売されてます。自宅で使っているルータが必要もないのにVPNサーバ機能を内蔵しているケースも少なくないと思います。
もしかすると、sm_ymさんがアクセスしたい遠隔地の拠点で使われているルータがVPNサーバ機能を持っている可能性もあるのでは?

VPNを張れれば、その内部でリモート・デスクトップ接続できます。それなら、リモート・デスクトップ接続をWANからできるようにしなくてよいので、その脆弱性を突かれるリスクは事実上ありません。

投稿2016/05/06 16:34

Chironian

総合スコア23272

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

f_horizon

2016/05/06 23:25

Chironian様 お世話になります。 おっしゃる通りです、「VPNさえあれば」なんですが、なぜ構築しないのか、私にはまだ解りかねるところです。。。 ルータの機能はまだ確認しておりませんが、今後の参考にさせていただきます。 貴重なご意見ありがとうございました。
guest

0

ベストアンサー

VPN経由の方がいいのですが、どうしてもできないのであれば、せめて下記を検討してください。

  1. クライアント側のグローバルIPが固定であれば、Windowsのファイアウォール機能でそのIPアドレスに限定する。
  2. 「ネットワーク レベル認証でリモート デスクトップを実行しているコンピューターからのみ接続を許可する」(OSのバージョンによって表現が微妙に異なります)を有効にする。
  3. 「Adminisrator」という名前のアカウントではログインできないようにする。(無効にする、または名前を変えるなどの方法で)
  4. ポート番号を3389以外に変更する。定期的に変更することが望ましい。
  5. リモートデスクトップ接続するアカウントに管理者権限を付与しない。
  6. ログイン通知や、ログインログの定期的な監視。ログイン失敗も監視すること。
  7. Windows Updateを自動更新にする。
  8. パスワードの定期的な変更。

リモートデスクトップには次の危険性があります。上記である程度は緩和できますが、完全では無いので注意してください。

  • ブルートフォースアタックによりパスワードが破られる。(特に、Administratorが有効だと危険)
  • Windowsの脆弱性により、リモートデスクトップ自体が乗っ取られる。
  • 低い暗号化レベルを使用している場合、通信が盗み見られる。

投稿2016/05/06 15:43

raccy

総合スコア21733

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

f_horizon

2016/05/06 23:32 編集

raccy様 お世話になります。 多くの検討事項のご教授ありがとうございます。ただそれだけ検討事項があるということは、リスクがある証拠ですよね…リモートデスクトップはポートスキャンからのリスクが捨てられないようですので、今回の構想からは外すことにします。 大変参考になりました。
guest

0

まず会社から認められたことを前提として書きます
もし認められていないのならすぐに止めてください
一応お約束として書いておきます

Remote Desktop (RDP) が使用する3389番ポートへのスキャンに関する注意喚起
は2011/09/07時点でJPCERT コーディネーションセンターから出ていた情報です
これを読むと問題はありまくりだと思いませんか?

個人的には、最低でもTeamViewerなどのサービスを経由してアクセスした方がよいと思います
TeamViewer

もし何らかのセキュリティインシデント起こしたら、下手すると首が飛ぶというか会社が傾くレベルにもなるご時世です
会社で運用するなら出せない金額ではないと思いますが...

投稿2016/05/06 15:38

dojikko

総合スコア3939

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

f_horizon

2016/05/07 04:18 編集

dojikko様 質問が不十分で申し訳ありません。認められる認められない以前に、あくまで私の中での構想段階のお話しです。「VPN構築せずに安全にリモートデスクトップ接続できれば良い意味で楽に業務改善できるな。あれ?でもどんなリスクがあるのかな…」というところでした。 挙げていただいたポートスキャンに関する記事を見ただけで恐ろしくなりますね。 TeamViewer等の被接続側での接続を許可するようなリモートコントロールツールも考えたのですが、基本的に被接続側には技術的な担当者はいないため、常にTeamViewerを立ち上げっぱなしにしておかなくてはならない状況になりそうなので、構想外にしていました。 参考になりました、ありがとうございました。
guest

0

セキュリティー上の問題としては、ポートスキャンなどでリモートデスクトップがあることがわかってしまうと、そこから不正アクセスのきっかけを作ってしまうことでしょうか?
パスワードをかけるのは当然としても、総当たりで突破される危険があります。

できればVPN経由で接続したほうが良いと思いますが、せめて、ポート番号を変えるのが良いかと思います。
Windowsのターミナルサービス/リモートデスクトップ接続のポート番号を変更する

投稿2016/05/06 14:40

CodeLab

総合スコア1939

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

f_horizon

2016/05/06 23:51

CodeLab様 お世話になります。 現在もリモートデスクトップ用のポートには不正アクセスの形跡があるのかもしれませんね。というかきっとありそうですね。(私の業務の範疇をこえているため確認はしておりませんが…) 貴重なご意見ありがとうございました、VPNの構築の件も含めて今後の参考にさせていただきます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問