web-dev-qa-db-ja.com

パブリックインターネットを介したMSTSCRDP

私の最初の質問なので、優しくしてください:)

私には、サードパーティベンダーにRDPを介してインターネットから直接サーバーへのアクセスをサポートさせる必要があると主張しているクライアントがいます。

私たちのポリシーでは、承認されたVPN接続と、そこにあるサーバーへの仮想デスクトップを除いて、管理のためにデータセンターの外部からインフラストラクチャに直接アクセスすることは許可されていません。

私は今、公共のインターネット上でRDPを使用することが危険である理由を説明しなければならない状況にあります。

どんな助けもいただければ幸いです

前もって感謝します

スチュアート

2
stuart Brand

そのサーバーを侵害する侵入者が、ファイアウォールの背後にある他の顧客の施設を攻撃するための踏み台としても使用する可能性があることを忘れないでください。したがって、セキュリティリスクは最初の顧客の資産だけに限定されるわけではありません。

VPNを使用できない理由について、ベンダーから正当な理由を入手してください。サーバーへの直接のRDP接続に代わるものが本当にない場合は、その接続を介したセキュリティ違反に対して責任を負う必要があります。ベンダーは、VPNの使用を妨げる何かがアプリケーションにあると述べて、アプリケーションアーキテクチャのセキュリティ上の欠陥を認めたばかりであることを覚えておいてください。

RDP接続を介したセキュリティ違反によって引き起こされた損害からあなたを補償する契約に署名することを条件としてアクセスを作成します。さらに、適切な専門職賠償責任保険または賠償責任保険に加入するように要求するか、この状況をカバーする条件で既存の補償の証拠を提供する必要があります。

要するに、ベンダーに損害賠償を支払う余裕があることを証明させ、契約上の義務を条件としてアクセスできるようにします。

インターネットから直接RDPを許可することに問題があるほとんどの人は、侵入者が認証のためにディレクトリ/ SAMに直接クエリを実行しているという考えに関して特定の懸念を抱いています。適切な監査がないと、これはしばしば気付かれなくなります。単一のログオンペアを正常に取得すると、環境への無制限のアクセスが可能になります。これに対するMicrosoftの対応は、TS-Gatewayの形でWindows2008に付属していました。 TS-Gatewayサービスは、SSLVPNトンネルの確立とそれほど異なるわけではないトンネルポイントを作成します。 TS-Gatewayサービスは、認証のために同じディレクトリまたはSAMを共有している間、以前は存在しなかった別個の許可ルールのセットを提供します。ユーザーレベルとコンピューターレベルの両方のルールを設定して、TS-Gatewayに対して認証された後に使用できるリソースを制御できます。したがって、1つはすべての内部サーバーへの外部DNS名マッピングを設定する必要はなく、2は特定のユーザー(ユーザーのグループ)を特定のシステムに制限することができます。

また、TS-Gatewayアクセスユーザーが内部サーバーにアクセスできるユーザーとは別のアカウントである実装も行いました。 TS-Gatewayアカウントでのパスワードの有効期限とロックアウトがはるかに高くなります。これにより、直接パススルー認証に関する偏執的な層がもう1つ提供されます。また、内部ドメインのメンバーであるDMZシステムに関する特定のビジネスポリシーを持つグループにも適しています。

これまでのTS-Gatewayに関する私の最大の問題は(他の人と同様に)、最初のゲートウェイ接続の2要素認証オプションがサポートされていないことです。 2番目に大きいのは、TS-Gatewayに対するクライアントサポートの欠如です。

ただし、外部ベンダーが6.1準拠のRDPクライアントの使用に同意し、適切なTS-Gatewayサーバーのセットアップに注意を払うと仮定した場合、要求が脅威をもたらす理由はほとんどありません。

2
Hylon Heaton

RDPが暗号化を使用するように構成されている場合でも、サーバーへの直接アクセスを許可します。ファイアウォールがあり、ベンダーIPのみがRDPポートに接続することを許可している場合、それはOk)である可能性がありますが、任意のIPから開いたままにしておくと、1日にセキュリティの問題が発生すると危険です。 RDP。

WEB SSLVPNアクセスを備えたCiscoASAのようなVPNゲートウェイを使用することをお勧めします。 Webポータルでは、ポートをリモートサーバーに転送できます。さらに、ポータルでRDPアプレット(directxまたはJava)を実行することもできます。このソリューションはより安全で、ベンダーのコンピューターにVPNクライアントをインストールしなくても機能します。 SSLとJavaまたはDirectXをサポートするブラウザが必要です

0
radius

「ダイレクトアクセス」と呼ばれるWindows2008 R2専用の新しいテクノロジーがあると聞きました。これは、基本的にOSに組み込まれたVPN over SSLであり、クライアントとしてWindows 2008R2とWindows7が必要だと思いますが、それは別のオプションであり、F5やCiscoなどの別のソリューションに投資するよりも安価な場合があります。

技術概要

0
Enigmae

私は質問が答えられることを知っています、しかしあなたがそれを通過する必要があるならばここにいくつかのガイダンスがあります。まず、オプションがある場合は、TSゲートウェイの使用を検討してください。このKB記事の情報:

リモートデスクトップ接続(ターミナルサービスクライアント6.0)

もう1つのオプションは、ファイアウォールを使用してポートをマップし、よく知られているポートであるTCP/3389にならないようにすることです。通常のスキャンでヒットする既知のポートを避けたいと考えています。

リモートデスクトップのリスニングポートを変更する方法

0
K. Brian Kelley