Linux のバックグラウンドを持ち、現在 Windows サーバー (2008R2 および 2012R2) を管理しなければならないのですが、どのサービスをインターネット経由で直接実行しても安全なのか疑問に思っています。サーバーはすべてインターネットに接続されており、追加のハードウェア ファイアウォールや内部 VPN 管理ネットワークはありません。
疑わしいサービスは次のとおりです。
- RDP (標準構成)?
- MSSQL (2012)?
- アクティブディレクトリ?
- WSUS (3. が安全でない場合はドメインなし)?
少し調べたところ、RDP は少なくとも以前の Windows バージョン (2003) では安全ではなかったことがわかりました。また、AD は一般的に安全ではないと考えられているようです。RDP を SSH 経由でトンネリングするのは、依然として賢明な考えでしょうか (サーバーはすべて cygwin を実行しています)?
アドバイスありがとうございます!
答え1
このような場合の私の意見は、サーバーが主な目的 (http/s、ftp、sql server) を実行するために必要なポートを除くすべてのポートをブロックし、その場合でも、可能な場合はそれらのポートを特定の IP ブロックのみに制限することです。必要なサービスを除き、これらのサーバーに対してリモート接続を構成しないでください。
次に、要塞ホストこれは、リモート接続 (ssh、rdp、vpn) が有効になっている非常に堅牢なホストであり、他のホストへのダブルホップが可能になります。多くの人がこれを不要でやり過ぎだと考えていることは知っていますが、正直言って、これが最も安全な方法です。
答え2
RPD は VPN 経由でのみ使用してください。
SQL は特定のポートに接続できるため、安全です。
なぜインターネット側で AD を実行するのでしょうか? インターネットに接続された同じサーバー上で実行する必要がある場合は、実行する前にセキュリティ ポリシーを徹底的に確認する必要があります。
WSUS にはバグがあり、安全ではありません。WSUS は、ずっと前に作成されたパッチが適用されていないにもかかわらず、すべてが最新であると報告することさえあります。これにより、システムが脆弱になり、セキュリティ ポリシーに影響する可能性があります。必要なときにパッチを適用するためのダウンタイムを確保し、WSUS を無効にしておくことをお勧めします。