インターネット経由のWindows RDP
2つのWindows 10プロフェッショナルステーションを使用して、インターネット上でRDPを実行するリスクと、優れたセキュリティを実現するためにVPNが絶対に必要かどうかを理解しようとしています。
これまでにネットで見つけた情報から、RDPセッションを傍受するエクスプロイトの作成を可能にするリークが2012年に発見されました。その間、このリークは閉じられ、ネットワークレベル認証(NLA)を使用した場合は常に保護されていたと思います。
その他のほとんどのセキュリティ問題は、クライアント側に集中しているようです。つまり、ユーザーの資格情報を盗むことを主な目的として、信頼できないRDPセッションに接続する場合です。
次の状況を想定すると、
- ホスト側とクライアント側で使用されるWindows 10 Professional
- 固定IPのホスト側、接続の確立にDNSは関与しません
- 使用されるNLA
- 強力なパスワードが使用され、毎月変更され、管理者アカウントがアクティブではありません
- ホストマシンには機密情報が含まれています
十分に快適に感じませんか? VPN経由の接続とは対照的に、最大のリスクはどこにあると思いますか?また、VPNに頼らずにRDP接続のセキュリティを強化する方法はありますか?
内部サーバーを直接インターネットに公開しないことをお勧めします。
リモートコード実行の脆弱性が頻繁に出現し、快適で内部ホストを直接さらすことができません。
そうは言っても、いくつかの手順でリスクをいくらか軽減することができます(これらは代替策ではなく、層状の補完的な防御策です)。
- 1つまたは複数のWindowsホスト上のtcp/3389にソースIPのホワイトリストを強制的に適用する境界ファイアウォール
- ローカルホスト上のtcp/3389にソースIPのホワイトリストを強制的に適用する各Windowsホスト上のWindowsファイアウォール
- いずれか: リモートデスクトップゲートウェイ を、別のドメインにあるDMZの要塞ホストとして使用し、DMZおよび内部
- または:RDGが適切なオプションでない場合は、上記のようにSSH踏み台インスタンスとポート転送を使用します
これらのステップにより、偵察や攻撃の危険性が大幅に減少します
RDPを保護する方法はいくつかあります。
- ベストプラクティスは、パブリックポート#3389を使用しないことです。それを別のものに翻訳します。ハッキングの試みを減らすための最良の方法です。
- 特定のIP(またはIPの範囲)アドレスのみをパブリックIPに許可します。スマートルーターを使用します。私はmikrotik( http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention )またはCiscoを使用しています。
- 多くの試行に対してファイアウォールブロッキングを構成します。サードパーティのツールを使用してトラフィックをブロックしています。無料のツールは www.bfguard.com から入手できます。他にもいくつかありますが、無料なのでこれが好きです。このツールは、失敗したログインのイベントログを分析し、WindowsファイアウォールにIPを追加してブロックします。
- 最後に、VPNをセットアップすることはより複雑ですが、悪くはありません。そのための方法はいくつかあります。
- 組み込みを使用 windows VPN server
- ルーターの機能を使用します。優れたルーターのほとんどには、それが組み込まれています。
- OpenVPN、Mikrotik、または一部のLinuxベースなどの個別のアクセスサーバーをセットアップします。
- プライマリディスクに格納されている仮想ディスクであるセカンダリドライブのビットロッカーでセカンダリパスワードを使用して機密データを暗号化することを検討してください。
- 強力なパスワードでランダムなユーザー名を使用します。パスワードとユーザー名を確認できます 漏洩したパスワードのリスト