sshトンネルRDP接続に説得力のある理由はありますか?
私たちはオフィスでネイティブにMicrosoft製品を実行していませんが、Linux RDPクライアントを使用して、サービスプロバイダーのリモート仮想デスクトップ上のアプリケーションにアクセスする人が何人かいます。 sshを介してRDPをトンネリングするのに労力を費やす価値がありますか、それともあまり心配する必要はありませんか?
現在、Remminaを使用しています。Remminaは、TLSでFreeDesktop(RDPバージョン6)を使用しています。
更新:最初に投稿された質問は、1つの違いを強調するように編集されています。つまり、RDP v6 over TLSが使用されています。答えはまだ「大丈夫」と見なされているかもしれませんが、関連する潜在的な脅威シナリオがないため、SSHを介したTLSのトンネリングは不要であると主張する必要があります-TLS証明書の正しい構成を想定しているなど
理想的な世界では、セキュリティの決定は常に、データ、事実に基づく客観的なデータによってサポートされる必要があります。 SSHを介してRDPをトンネリングする「努力に値する」かどうかの判断は、既知の攻撃の知識、アクセスされた情報の分類(機密性、整合性、可用性の観点から)と対策の実装の「コスト」を組み合わせることによって行われます。
Fact-プロトコルバージョンが6.0未満のRDPには、MiTM攻撃などの多くの問題があります(簡単に説明したように、弱い認証 ここ )。
私は上記の脆弱性を利用した実際の攻撃に気づいていませんが、その可能性、またはその可能性を排除することはできません。ただし、Webの周りには、それがどのように悪用される可能性があるかを示す多数のデモがあります。
「良い」決断をするためにあなたが理解しなければならないことがたくさんあります。
- アクセスした情報の「機密性」
- 対策(SSHトンネリング)実施の労力(時間)
- 意図的にあなたを標的にして、脆弱性を利用して脅威を実現する可能性。 (残念ながら、過去のインシデントのセキュリティコミュニティ内でのデータ共有は非常に少なく、非常に困難です!)
SSHを介して接続をトンネリングするための労力が過度にコストと時間を費やさない場合は、上記の脅威を完全に軽減するため、これを使用するのが妥当な対策になります。
Sshトンネリングをキーファイルおよびssh-agentと一緒に構成できることを考えると(セッション中にキーを一度復号化する必要があります)、この方法で構成するのは明らかだと思います。
http://www.freerdp.com クライアントと共にネットワークレベルの認証を使用することをお勧めします。SSHトンネリングまたはVPNが、推奨される最低のセキュリティです。
RDPをロックダウンすることをお勧めします。 MSはRDPにすぐにパッチを適用する必要があると言っています