安全なVPNの背後にあるMicrosoftリモートデスクトップアクセスのリスク

Question

これは主に私自身の教育用ですが、私には懐疑的なシナリオが仕事で出てきました。セキュリティの専門家に、このポリシーが圧倒的であるかどうかを教えてください。

会社から発行されていない自宅のPCからVPNにリモートアクセスします。 Aventailをマシンにインストールし、ログオフ時にすべてのキャッシュデータを破棄します。また、Sonicwallを介したスキャンも実行されます。私の質問は次のとおりです。VPNを使用すると、完全なネットワークアクセスが可能になります。これには、仕事用PCにリモートでアクセスする機能も含まれます。同社は現在、これをオフにしており、セキュリティ上の大きなリスクがあると述べています。それは本当ですか？誰かがすでにVPNにログインしていて、完全なネットワークアクセスが与えられている場合、会社はすでにDEFCON 1モードになっているのではないですか？ RDP全体は本当にその後の主要な追加リスクですか？私はその背後にある理由を実際には見ていませんが、うまくいけば誰かがそれに光を当てることができます。

gowenfawr · Accepted Answer

それは厳しいですが、私はそれが耐えがたいものだとは言いません。

プールの両端に企業ネットワークがあるとします。浅い端では広く開いており、デスクトップとサーバーの間に内部ファイアウォールはありません。どこからでも、あらゆるアプリ、あらゆるサーバー、あらゆるポートにアクセスできます。ディープエンドでは、ネットワークがセグメント化され、アクセス制御が実施されます。ファイナンスのみがファイナンスサーバーにアクセスできます。誰でもWikiサーバーのポート443にアクセスできますが、管理ネットワークのみがポート22にアクセスできます。

最も浅いネットワーク以外では、リモートアクセスユーザーは最も信頼性が低いと見なされます。適切なフィルターは、それらのために適切に配置されます。同社はこれらのシステムを物理的に制御できないため、完全なアクセスセットを取得できません。

デスクトップユーザーにRDPを許可することは、その制御を無効にする方法の1つです。内部デスクトップにRDPできる信頼されていないリモートPC上の誰かが、本質的に信頼できるアクセスを取得します。そして、それは大きな問題になる可能性があります。 Xeroxが90年代半ばに1週間インターネットから離れたのを覚えています。誰かがエンジニアの家に侵入して、Xerox内部ネットワークにISDNでアクセスできる自分のPCの前に座っていたからです。清掃に1週間かかり、清掃が完了するまでパイプを遮断しました。

ここで、VPNを実行した後にRDPにセカンダリ資格情報が必要であるという事実は、代償となる制御であると主張します。それが本当のポイントです。しかし、問題は、VPNユーザーからのアクセスを制限するために何らかのACLが配置されている場合、RDPはそれらの制限を回避する方法であることです。そのため、この種のポリシーに一定の規則を適用します。