web-dev-qa-db-ja.com

RDPセキュリティの向上:ファイアウォールにVPNまたはIPホワイトリストを備えたルーター

大学の研究室で共有しているワークステーションのセキュリティ設定を改善することを検討しています。私たちは、RDPを使用してラボメンバー間でワークステーションを共有していますが、最近侵害されました。力ずくのせいだと思います。そのため、新しいRDPセキュリティ戦略を設定する機会があります。

インターネット接続にはルーターを使用し、ワークステーションはルーターに有線接続されています。 RDPは、ポート転送を介して外部から到達可能です。セキュリティを向上させるために、ポートを3389から他のポートおよびすべての種類の設定に変更することを想定しています。次のオプションのいずれかをまだ決定できません。

  1. ローカルネットワークからのみアクセスできるようにRDPを設定します。つまり、RDPホストのアドレスとして192.168.X.Xを使用します。 VPNを使用したルーターのセットアップと組み合わせることで、自宅からマシンにアクセスできます。 VPNがハッキングされた場合、大学のリソースは他の人に公開されるので、少し心配です。

  2. ファイアウォールを有効にして、問題のポートにアクセスできるIPを制限しました。安全性が十分でないか心配です。

どちらのオプションが優れていますか?

2
Lotte Wang

まず第一に、

リソースのインターネットへの開放には常にリスクが伴います。 VPNは、そのようなリスクを最小限に抑えるための合理的なアプローチのようです。

さて、侵害されたVPNアクセスの影響を減らすためにネットワークを分離することについて考えましたか?

また、2つのオプションは相互に排他的ではありません。VPNを使用して接続を許可し、同時にIPホワイトリストを使用してVPNへのアクセスを制限してみませんか?

さらに、妥協の実際のベクトルを特定することが重要です-推測するだけではあまり良い考えではありません。

PS:デフォルトのポートを変更すると、セキュリティにほとんどメリットがないため、全員の生活が困難になります。これは「あいまいさによるセキュリティ」と呼ばれ、他のすべてが順調である場合は不要であるはずです。

2
Tobi Nary