こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

-広告-

締切り済みの質問

ターミナルサービスvsリモートアクセスルータ

先日W2Kサーバで、ターミナルサービスというものを立て、外部からのアクセスにも成功しましたが、いかんせんセキュリティ設定を(調べてもなかなか有用な情報が見つからなかったため)何も講じることができず、実用は断念しています。

しかし先日リモートアクセスルータなるものを発見したのですが、これはいかがなものなのでしょうか?

W2Kサーバ+TSとの違いは3389番のポートが丸見えになっていなことぐらいで、セキュリティ設定はパスワードに頼ることなど、ほとんど同じような気がするのですが‥。
それとも何か特別安全な機能があるのでしょうか?

リモートアクセスに安全だと分かれば、どちらかを実用したいと考えております。
有用なご意見や、アドバイスなど頂けましたら幸いです。
どうぞ宜しくお願い致します。

投稿日時 - 2005-04-04 14:27:02

QNo.1310788

暇なときに回答ください

このQ&Aは役に立ちましたか?

4人が「このQ&Aが役に立った」と投票しています

-広告-
-広告-

回答(3)

ANo.3

こんにちは
お邪魔いたします。
”リモートアクセス”について、少し書かせていただきます。

>しかし先日リモートアクセスルータなるものを発見したのですが、これはいかがなものなのでしょうか?

”リモートアクセスルータ”にも幾つか種類があります。
一つは”VPN 対応ルータ”で、もう一つは”RAS 接続対応ルータ”です。

前者は#2 の方が説明されているので、割愛します。

後者の場合、ダイアル回線を直接接続するため、
セキュリティとしては最良です。

□必要な機器など
 ・RASルータ1台
 ・回線(アナログまたはISDN)

□接続方法
 例えば、RASルータのBRI インターフェースを使い、
 ISDN 回線を接続します。
 この回線が持つ電話番号に、RAS クライアントは接続を行います。

□接続構成
 以下のページの図を参照ください。
http://www.allied-telesis.co.jp/support/list/router/ar_manual/docs/docs/cmdcfg/cfg-18.html

□特徴
 RAS 接続を行ったPC はLAN 内のPC と同じ通信が可能です。
 RAS 接続は、ダイアルアップでプロバイダに接続する方法と全く同じです。
 接続中は、電話通話料が課金されます。

□セキュリティ
 電話回線を使用しますが、専用線と同等のセキュリティです。
 電話と同じ通信ですので、間にインターネットなどの公共的なNW を介さないため、
 通信の秘匿性は抜群です。

 設定によっては発信者番号の特定も可能です。

 接続時にCHAP の認証を行っておけば、
 接続相手を限定と認証パスワードの暗号化が可能です。

この方法の場合、セキュリティとしてはよいのですが、
通信費が通信時間によって加算される事と、
通信帯域が細いのがネックです。

そのため、現在では”リモートアクセスVPN”のようなInternet VPN や、
IP-VPN を使ったサービスが注目されています。

今一度、リモートアクセスで行いたい通信の内容や、
必要なセキュリティレベルを整理される事をお勧めします。

投稿日時 - 2005-04-05 16:08:22

-広告-

ANo.2

機能や目的がまったく異なるものを比較するのは、
少し無理があるのですが、
リモートアクセスVPNの方が、
設定によっては安全にリモートアクセス可能ですし、
リモートデスクトップ以外のアプリケーションが利用可能です。
しかし、別のリスクもあるので知っておくことも大切です。

リモートアクセスVPNを構築する場合、
求められるセキュリティレベルに応じて、
さまざまなカスタマイズが行えますが、
ターミナルサービスの場合、ほとんど
カスタマイズの余地はありません。

たとえば、二要素認証により本人確認を
厳重に行いたいとした場合、リモートアクセスルータの
機種・機能と設定次第では、実現可能です。

(二要素認証とは、パスワードの他に、物理的な鍵
[例えばICカードなど]も要求することで、
パスワードの盗難だけでは侵入を許さない方法です)

そのほかにも、接続前にクライアントPCを検疫
(ウィルスなどの「病気」を持っていないなどの確認)
して安全性が確認されてから接続を許可するなどの
応用例もあります。

それから、リモートアクセスVPNの場合、
使用する暗号化方式も選べることがあります。
より強い暗号化方式に変更することも場合によっては可能です。

しかし、リモートデスクトップの場合、以上のようなカスタマイズを管理者が選択することは困難です。

カスタマイズの幅が違うのは、そもそも暗号化により
保護しているレベルが異なるからです。

ターミナルサービスで使われているRDPというプロトコルの暗号化では、
サーバとクライアント間の、リモートデスクトップという単一のアプリケーションに対して、
暗号化を提供しています。

リモートアクセスVPNの場合、
アプリケーションのレベルではなく、
ネットワークのレベルで暗号化をかけます。
守りたいネットワークに対し、リモートのVPNクライアントを
安全に参加させる方法を提供します。
だから、安全にネットワークに参加した状態になってしまえば、
リモートデスクトップだけでなく、ファイルコピーをしたり、
プリントをしたり、メールの読み書きをしたり、
リモートにいながらにして、ローカルに接続しているのと同じことができます。
しかし、リモートのクライアントの安全を確保できていない場合、
安全でないコンピュータを守るべきネットワークに参加させてしまうことにもなりかねません。
リモートアクセスを使うと、ウィルスやワームの侵入経路がひとつ増えるという見方ができるわけです。
ですから、VPNを構築する場合はクライアントセキュリティと一体となった対策を考える必要があります。

・アクセスしたいサーバが1台だけで、
・しかも使いたいアプリケーションがリモートデスクトップ接続(ターミナルサービス)だけ
であれば、リモートアクセスVPNを使うメリットは大きくありません。
暗号化の程度も、最新のパッチを当てていれば、
それほど弱いものではありません。

しかし、
・より高度な暗号化方式を使いたい
・複数台のターミナルサーバに容易に接続したい
・リモートにいながらにして、ローカルに接続しているのと同じことがしたい
のであれば、リモートアクセスVPNを使うほうがよいでしょう。

市販の個人向けリモートアクセスVPN対応ルータを導入される場合、
業務用のものとは異なり、カスタマイズの幅はせまいので、
二要素認証や検疫機能はないのが普通です。
ですから、リモートのクライアントのセキュリティについては十分注意されながら運用されてください。

投稿日時 - 2005-04-04 21:37:44

ANo.1

こんにちは。

ここのところ、似たような悩みを抱えていらっしゃる方が増えているようですね。

Windowsのターミナルサービスは、設計思想がLAN(イントラネット)での利用を意識したものですので、当然LAN/WANの境界線セキュリティーに関しては厳しいものがあります。(あくまで一般論としての話ですが。)

いずれにしても、まずは下記の過去ログに目を通されることで、ご質問の大部分にはお答えできると感じます。

■当サイト、過去ログ■

http://okweb.jp/kotaeru.php3?q=1289064

上記の過去ログ内のリンクをはじめ、ネット上には豊富な情報がありますヨ。

>>しかし先日リモートアクセスルータなるものを発見したのですが、これはいかがなものなのでしょうか?

正直、これだけでは全く具体的な話ができませんネ…

Windows2000Serverの標準機能についての話でしょうか?

Yesであれば、過去ログにある(R)RASの話をイメージしますし(もちろん、その他のプロトコルによるVPNの話も絡んできます。)、Noであれば、ルーター(アプライアンス)の「VPNサーバー機能」あたりの話でしょうか?

いずれにしても、過去ログ内のリンクから、「Windowsサーバー標準/後付を含めた様々なリモートアクセス手法とそれぞれのメリット・デメリット」をよく検討したうえで、導入技術を決め、正しく運用されるようにオススメさせてください。

これは大変失礼な言い方に聞こえるかもしれませんが、情報セキュリティーも「我流+場当たり式」で突き進んでしまうと、明るい未来がやってこないという法則が活きた世界だと思っています。

最後にポートの件ですが、リモートアクセス(サービス)を運用する限り、IPレベルでポート(ソケット)を開放(ネットワーク的なアクセスを許す)しなければなりませんよね。(でなければ、基本的にサービス提供は不可能ですから。)

仕組み(設定)としてセキュリティーをいくらガチガチに固めても、提供サービス(アプリケーション)に脆弱性が残っていれば元も子もありませんので(正規の通信路や手順を突いた攻撃には無力なケースが多いものです。)、基本中の基本である「パッチ管理」とともに、総合的なメリット/デメリットの判断と階層的なセキュリティー環境構築が求められるようになってきているというのが現状だと思います。

いずれにしても、安全なリモートアクセスの仕組みが構築できるよう、お祈りしております。

一先ず、ご参考まで。

それでは。

投稿日時 - 2005-04-04 16:09:22

-広告-
-広告-

あなたにオススメの質問

-広告-
-広告-