インターネットからリモートデスクトップ可能にする時の注意事項(セキュリティ対策)について

自宅LAN内のWindowsXP(Pro)PCが、現在自宅LAN内の別PCからリモートデスクトップ接続(以下リモート接続)できています。これをインターネット側からも接続できるようにしようと思っています(FWに穴を開ければできると考えています)。セキュリティ的な観点から以下の点についてアドバイスいただけたらと思います。
●リモート接続のサーバ側で、リモート接続を許可するクライアントをIPやそれに準じるような方法で制限できないか
●リモート接続のポート番号をレジストリで変更できるようですが、それってセキュリティ的な効果もあるのか(知識のあるハッカー等にはあまり意味がないって事はないか？)
また、他の点についても方法があればお願いします。

No.3 ベストアンサー 回答者： anmochi 回答日時： 2008/07/21 11:46

> ルータにて・・・・送信元IPはチェックできません。

　えええええ？　激安ルータ(～15,000円)でもその位の機能はあると思ってた。

> Windowsファイアウォールを利用し、その場合は送信元IPなどによる制御はできない。
　一応できなくはないくらいですか。もっとも「許可するIPアドレスの一覧」しか作成できないけど。

> 後は他のパーソナルファイアウォールを利用するのが妥当だということでよろしいでしょうか。
　そうですな。可能であれば間にLinuxボックスでも一台かましてパケットフィルタする方が良いんでしょうが。

> ・・・・標準の3389以外に変更した場合でも、ハッカー側から・・・・わかるものなのでしょうか？
　私程度の人間でもそれは分かります。とするとハッカーなら赤子の手をひねるより簡単ではないかと。
　ハッカーっつってもどうせ機械がやるので、そんなに苦労はありません。全ポートに対して（相手ホストからの）最初のレスポンス内容から類推できる全サービスを試してみるというプログラムもありますし、その程度なら私でも30分もあれば作れます。
　なので同じIPからの連続接続要求を遮断する事に意味があると述べた訳です。と思ったら述べてなかった。申し訳ない。WindowsやWindows用のパーソナルファイアウォールにあるか知らないのですが、一定時間にACKが指定回数連続でくると攻撃とみなして遮断するというのは最低限の事なのですね。

この回答へのお礼

利用しているルータは\7000程度で数年前に購入したものでしたが、一般家庭向けとしては(その店の中では)値段的にも性能的にも良いほうのものだと思ってました。激安の部類だったんですね（汗
送信元IPのチェックもできますがポート番号とセットではないんです。自宅内にWebサーバやメールサーバなど(自分が勉強用に使う程度ですが・・)があるのでIPのみの制限はなるべく避けたいです。でも、そういう機能のあるルータの購入も検討してみます。ありがとうございます。

お礼日時：2008/07/21 21:24

No.2 回答者： jjon-com 回答日時： 2008/07/21 08:48

RDP(Remote Desktop Protocol)の既定のport番号:3389を変更するというのはセキュリティ的に意味があります。

現実的に効果もあるでしょう。

・特定のIPアドレスの１台のPCに対して，ある範囲のport番号群をscanして，侵入可能な脆弱性を見つけ出す
・特定プロトコルの既定port番号について，ある範囲のIPアドレス群をsweepして，侵入可能な脆弱性を見つけ出す

質問者が個人的に狙い撃ちされる事情をお持ちならいきなり前者の攻撃がやってくるのでしょうけれど，インターネットにおける一般的なポートスキャンは後者のタイプになります。
悪意ある攻撃者にとっては，１台１台のPCの全ポートを詳細にscanする時間と手間をかけるよりも，インターネット接続されている膨大な数のPCを浚っていってボンクラを見つけ出していく方がずっと効率的で今後の侵入も気づかれにくいですから。

>ハッカー側から「このポートはリモートデスクトップを
>待ち受けている」というところまでわかるものなのでしょうか？

分かるかもしれません。詳細な情報を表示できる無料ツールとしてはNmapが有名で，日本語による解説もたくさんのWebサイトで見つかります。ご自分のPCにnmapポートスキャンを試みてみる方が話が早いかと。

この回答へのお礼

漠然としていたポートスキャンの知識が少し深まりました
ありがとうございました！！

お礼日時：2008/07/21 21:24

No.1 回答者： anmochi 回答日時： 2008/07/20 14:39

> ●リモート接続のサーバ側で、リモート接続を許可するクライアントをIPやそれに準じるような方法で制限できないか

　Windows XP ProはSP2以上でパーソナルファイアウォール機能を備えています。また、フリーで使えるパーソナルファイアウォールソフトもたくさんあります。ここで言うパーソナルファイアウォールとは「自分にたどり着くパケットのみ制御できるもの」を指し、普通のファイアウォールは自分にたどり着いてその後またどこかに行くパケットも制御できるという違いがあります。
　また、インターネットからの接続はあなたの質問文にある「FW」にも、送信元IPアドレスを判別する機能があると思います。

> ●リモート接続のポート番号をレジストリで変更できるようですが、それってセキュリティ的な効果もあるのか(知識のあるハッカー等にはあまり意味がないって事はないか？)
　ポートスキャンというもので、今何番で何を待ち受けているかというのを知るのは簡単です。なので、効果が高いとは言えない、というのが正解でしょうか。気になるようでしたらFWで毎分何回以上接続要求があったらしばらくの間はじくというような設定を行えば良いでしょう。「IDS」などで検索すれば概要が分かります。

> 他の点
　リモートデスクトップの通信はMicrosoftが暗号化していますが、非常にもろいです。L2TPを噛ませても十分とは思えません。最低でも1024bit dsa SSH2くらいの暗号化強度は欲しいところです。
　まぁ一言で言うなら、絶対にやめといた方が良いよ、でしょうか。その根拠は2点ありますが今ここで言うべき事ではないので。

この回答への補足

anmochi様アドバイスありがとうございます。
余裕がありましたら、下記の追加の疑問にもご教授お願いします。
●リモート接続元の制限について、FWとの表現に不備がありました。当方はADSL接続にて、モデムとルータにて接続制限しています。その制限の内容としては、ポート番号を指定して外からのパケットを通すか通さないかの設定のみ可能です。送信元IPはチェックできません。アドバイスの内容から、Windows標準の機能からは、Windowsファイアウォールを利用し、その場合は送信元IPなどによる制御はできない。後は他のパーソナルファイアウォールを利用するのが妥当だということでよろしいでしょうか。
●ポートスキャンについて、空いているポートをスキャンできるのはわかるのですが、例えば標準の3389以外に変更した場合でも、ハッカー側から「このポートはリモートデスクトップを待ち受けている」というところまでわかるものなのでしょうか？
お手数ですが宜しくお願いします。

補足日時：2008/07/20 15:23