お世話になっております。
社内での使用を目的として、以下のようなリモートデスクトップ接続をする場合、セキュリティの視点からどのような問題がありますでしょうか。
1.遠隔地のサーバーに対してリモートデスクトップ接続にてアクセスする
2.接続する側は被接続側のグローバルIPに接続する
3.被接続側のルーターの設定で、リモートデスクトップ用のポート3389を、被接続サーバーのIPアドレスにマッピングしておく
要はVPNがないため、遠隔地のサーバーのメンテナンスをリモートデスクトップを使って行えれば助かるのに、、、というところです。他に問題点等あれば合わせてご教授いただけると助かります。
どうぞよろしくお願いします。
気になる質問をクリップする
クリップした質問は、後からいつでもMYページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
回答4件
0
こんにちは。
要はVPNがないため、遠隔地のサーバーのメンテナンスをリモートデスクトップを使って行えれば助かるのに
他の方も言っているように、WAN側から直接リモート・デスクトップ接続できるようにするのはリスクが大きいです。
発想を変えて「VPNがない」をクリアできないものでしょうか?
VPNサーバ機能を持つルータは多数販売されてます。自宅で使っているルータが必要もないのにVPNサーバ機能を内蔵しているケースも少なくないと思います。
もしかすると、sm_ymさんがアクセスしたい遠隔地の拠点で使われているルータがVPNサーバ機能を持っている可能性もあるのでは?
VPNを張れれば、その内部でリモート・デスクトップ接続できます。それなら、リモート・デスクトップ接続をWANからできるようにしなくてよいので、その脆弱性を突かれるリスクは事実上ありません。
投稿2016/05/06 16:34
総合スコア23272
0
ベストアンサー
VPN経由の方がいいのですが、どうしてもできないのであれば、せめて下記を検討してください。
- クライアント側のグローバルIPが固定であれば、Windowsのファイアウォール機能でそのIPアドレスに限定する。
- 「ネットワーク レベル認証でリモート デスクトップを実行しているコンピューターからのみ接続を許可する」(OSのバージョンによって表現が微妙に異なります)を有効にする。
- 「Adminisrator」という名前のアカウントではログインできないようにする。(無効にする、または名前を変えるなどの方法で)
- ポート番号を3389以外に変更する。定期的に変更することが望ましい。
- リモートデスクトップ接続するアカウントに管理者権限を付与しない。
- ログイン通知や、ログインログの定期的な監視。ログイン失敗も監視すること。
- Windows Updateを自動更新にする。
- パスワードの定期的な変更。
リモートデスクトップには次の危険性があります。上記である程度は緩和できますが、完全では無いので注意してください。
- ブルートフォースアタックによりパスワードが破られる。(特に、Administratorが有効だと危険)
- Windowsの脆弱性により、リモートデスクトップ自体が乗っ取られる。
- 低い暗号化レベルを使用している場合、通信が盗み見られる。
投稿2016/05/06 15:43
総合スコア21733
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
0
まず会社から認められたことを前提として書きます
もし認められていないのならすぐに止めてください
一応お約束として書いておきます
Remote Desktop (RDP) が使用する3389番ポートへのスキャンに関する注意喚起
は2011/09/07時点でJPCERT コーディネーションセンターから出ていた情報です
これを読むと問題はありまくりだと思いませんか?
個人的には、最低でもTeamViewerなどのサービスを経由してアクセスした方がよいと思います
TeamViewer
もし何らかのセキュリティインシデント起こしたら、下手すると首が飛ぶというか会社が傾くレベルにもなるご時世です
会社で運用するなら出せない金額ではないと思いますが...
投稿2016/05/06 15:38
総合スコア3939
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/05/07 04:18 編集
0
セキュリティー上の問題としては、ポートスキャンなどでリモートデスクトップがあることがわかってしまうと、そこから不正アクセスのきっかけを作ってしまうことでしょうか?
パスワードをかけるのは当然としても、総当たりで突破される危険があります。
できればVPN経由で接続したほうが良いと思いますが、せめて、ポート番号を変えるのが良いかと思います。
Windowsのターミナルサービス/リモートデスクトップ接続のポート番号を変更する
投稿2016/05/06 14:40
総合スコア1939
あなたの回答
tips
太字
斜体
打ち消し線
見出し
引用テキストの挿入
コードの挿入
リンクの挿入
リストの挿入
番号リストの挿入
表の挿入
水平線の挿入
プレビュー
質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/05/06 23:25