大学の研究室で共有しているワークステーションのセキュリティ設定を改善することを検討しています。私たちは、RDPを使用してラボメンバー間でワークステーションを共有していますが、最近侵害されました。力ずくのせいだと思います。そのため、新しいRDPセキュリティ戦略を設定する機会があります。
インターネット接続にはルーターを使用し、ワークステーションはルーターに有線接続されています。 RDPは、ポート転送を介して外部から到達可能です。セキュリティを向上させるために、ポートを3389から他のポートおよびすべての種類の設定に変更することを想定しています。次のオプションのいずれかをまだ決定できません。
ローカルネットワークからのみアクセスできるようにRDPを設定します。つまり、RDPホストのアドレスとして192.168.X.Xを使用します。 VPNを使用したルーターのセットアップと組み合わせることで、自宅からマシンにアクセスできます。 VPNがハッキングされた場合、大学のリソースは他の人に公開されるので、少し心配です。
ファイアウォールを有効にして、問題のポートにアクセスできるIPを制限しました。安全性が十分でないか心配です。
どちらのオプションが優れていますか?
まず第一に、
リソースのインターネットへの開放には常にリスクが伴います。 VPNは、そのようなリスクを最小限に抑えるための合理的なアプローチのようです。
さて、侵害されたVPNアクセスの影響を減らすためにネットワークを分離することについて考えましたか?
また、2つのオプションは相互に排他的ではありません。VPNを使用して接続を許可し、同時にIPホワイトリストを使用してVPNへのアクセスを制限してみませんか?
さらに、妥協の実際のベクトルを特定することが重要です-推測するだけではあまり良い考えではありません。
PS:デフォルトのポートを変更すると、セキュリティにほとんどメリットがないため、全員の生活が困難になります。これは「あいまいさによるセキュリティ」と呼ばれ、他のすべてが順調である場合は不要であるはずです。