RDP ポートを変更しても安全ですか?

tag-icon tag-icon windows-server-2008 port rdp connection ip-address
RDP ポートを変更しても安全ですか?

私の Web サーバーは米国にあり、リモート デスクトップ接続、標準ポートを使用してカナダの自宅からアクセスしています。

不正な人物がさまざまな国からログインを試みており、中には最終的に諦めるまで 1 日に 10,000 回以上ログインを試みている人もいます。

RDP ポートが非標準ポートに変更された場合、これらの攻撃者は、再割り当てられた RDP ポートが見つかるまでポートを反復し、パスワードの総当たり攻撃を続行する可能性が非常に高いのではないでしょうか。

未知の不安は、ポートを変更するにはリモート デスクトップ接続を介して行う必要があるということですが、安全でしょうか?

自分自身を締め出すリスクは何ですか?

また、RDC に「自分のサーバーの IP アドレス」にアクセスするように指示する代わりに、今後のアクセスは「自分のサーバーの IP アドレス:新しい RDP ポート」と表現する必要がありますか?

答え1

if the RDP port is changed to a non-standard port, it is very likely that these people will simply iterate ports until they locate the re-assigned RDP port and then continue to try to brute force the password?- はい、そうなる可能性はあります。

My fear of the unknown is that to change the port it would be done by me via Remote Desktop Connection; is it safe?- 現在のセッションでは安全です。デフォルトのリスニング ポートを変更するにはサーバーの再起動が必要なので、この変更を行った後にサーバーを再起動するまでは問題ありません。

What is the risk of locking myself out?- 既存のセッションでは非常に低いです。リスクは、サーバーの前にネットワーク ファイアウォールがあり、サーバーのデフォルト ポートへの接続のみを許可する場合、変更を加えてサーバーを再起動した後、サーバーにアクセスできなくなる可能性があることです。

Also, instead of telling RDC to go to "my server ip address", would future access have to be expressed as "my server ip address:new RDP port"?- はい。

答え2

RDP ポートを変更することでサーバーへのアクセスが失われるリスクはほとんどありませんが、それでも多少はあります。

RDP ポートを変更する前に、サーバーの背後にあるファイアウォールをチェックして、新しいポートがブロックされていないことを確認してください。

また、必要に応じてコンソール アクセス (リモート ハンズ、サーバーにアクセスできる友人、リモート IP KVM など) が利用できることを確認してください。これは、おそらくどのサーバーにも適しています。

最後の質問にお答えすると、はい、毎回 RDP 接続でポート番号を指定する必要があります。

最後にもう 1 つアドバイスをすると、RDP がリッスンするポート番号を変更しても、悪意のあるユーザーが接続を確立することは可能です。すべてのアカウントに強力なパスワードを設定し、可能であれば管理者アカウントを無効にしてください。

答え3

サーバーの RDP ポートを変更しないでください。

ポート番号を変更しても、RDP が自動的に安全になるとは思わないでください。

サーバーとの間の RDP トラフィックを制御できるファイアウォールをサーバーの前に設置してください。

非標準ポートのトラフィックを RDP 標準ポート 3389 に転送するようにファイアウォールを設定してください。理由については以下で説明します。私の知る限り、組み込みの Windows ファイアウォールではこの処理は行われませんが、他のファイアウォールでは行われます。

ファイアウォールを設定して、自宅のシステムからの RDP ポートのトラフィックを許可し、他のすべてからの RDP を禁止してください。ファイアウォールやその他のオプションによっては、自宅のシステムに静的 IP を取得するか、動的 DNS サービスを設定するか、または使用している既知の MAC アドレスに基づいてファイアウォール ルールを作成する必要がある場合があります。

この問題がファイアウォール インターフェイスにまで及ぶのを避けるには、ファイアウォールを RDP 経由でのみ構成できるように設定する必要があります。それでも、ロックアウトされるリスクは軽減されるはずです。これは、標準の RDP ポートに加えて、ファイアウォールに非標準のポート転送ルールを構成することで実現します。これにより、新しいルールを安全にテストできます。必要なポートのファイアウォール ルールを作成し、ランダムな場所 (図書館など) からのアクセスをブロックするが、自宅からのアクセスは許可することをテストします。ルールのテストに成功したら、通常のポートでのアクセスをブロックします (またはその逆: 標準ポートでルールをテストするまで、非標準ポートを安全策として使用します)。

もちろん、ここで実際に行うべきことは、サーバーへの VPN 接続を設定することです...ただし、VPN 接続を使用する場合でも、アクセスを制御するファイアウォールが必要になります。

答え4

私の意見では、RDP をインターネットに直接公開するのは安全ではありません。すでに述べたように、VPN の使用を検討することをお勧めします。VPN を使用しない理由がある場合は、ファイアウォールの NAT ルールのポートを変更し、ポートをスキャンするユーザーをブロックするルールを設定します。

関連情報