Win 2000リモートコントロール用の3つのセキュリティソリューション

I.はじめにリモートコントロールソリューションを想定しています。ある企業は、300マイル離れた場所にあるIIS Webサーバーを配置したいと考えています。サーバーは、ブロードバンドネットワーク、エアコン、および電源制御装置を組み合わせたサーバーセンターです。このネットワークサービスセンターは安定していて手ごろな価格ですが、顧客はサーバーを完全にリモートコントロールする必要がありますこのコントロールはいつでも利用でき、サーバーを操作するためにコンソールに行く必要はありません。リモートコントロールには通常いくつかの問題があります。最も明白なのは、クライアントマシンとホスト間の通信がインターネット経由で送信されることです。このデータ交換はハッカーによって盗聴される可能性があり、リモートコントロール自体（オープンポートなど）もネットワーク攻撃につながる可能性があるという問題もあります。リモートコントロールソリューションを選択する最終的な目標は、ゲートウェイとしてのあなた（あなただけ）が他のネットワーク攻撃を引き起こすことなくサーバーを制御できるようにすることです。リモートコントロールスキームのセキュリティ原則は次のとおりです。リモートコントロール権限のセキュリティの確保リモートコントロールは、不正アクセスを防止できなければなりません。つまり、リモート管理ソフトウェアは、狭い範囲のIPアドレスへの接続のみを受け入れ、ユーザー名とパスワードの制御を必要とします。スマートカードフェーズの顧客検証を導入することで、リモートコントロールのセキュリティがさらに強化されています。また、標準的でないポートを使用してサービスを提供したり、サービスフラグを表示しないセキュリティ設定を使用するなど、簡単で既製の技術を使用して拡張することもできます。リモートで交換されるデータの整合性の確保リモートコントロールでのデータの損失を防ぐために、リモートコントロールサーバーとクライアントのデータ転送の整合性と即時性を保証する必要があります（つまり、送信データは信頼でき、再送信されません）。機密データ伝送の機密性の確保リモートコントロールで最も重要なことは、インターネットを介した機密データ伝送の機密性を確保することです。これは、送信されたデータメッセージがハッカーに盗聴されるのを防ぐためです。これには、堅牢で実行可能な暗号化アルゴリズムを使用したセッション暗号化が必要です。この暗号化の利点は、攻撃者でもデータを盗聴することです。匂いを嗅ぐ人にも役に立ちません。インシデントを安全に監査できるようにする優れたセキュリティ監査を行うと、リモートコントロールの全体的なセキュリティが劇的に向上し、セキュリティの脅威と技術犯罪が軽減されます。監査ログの主な目的は、誰がシステムにアクセスしているのか、どのサービスが使用されているのかなどを管理者に知らせることです。これには、技術的な犯罪を介して侵入しようとしている黒かび型リモートコントロールトレースの十分に適切で安全なログ記録がサーバーに必要です。第二に、Windows 2000のリモートコントロールのための3つのセキュリティソリューションWindows 2000をリモートコントロールする多くの方法がありますが。すべてのソフトウェアが上記のリモートコントロールソリューションのセキュリティ原則に準拠しているわけではなく、さまざまなソフトウェアを組み合わせて必要なリモートコントロールソリューションを完成させることができます。次の例は、Windows 2000ネイティブサービスまたはサードパーティソフトウェアの組み合わせによる安全なリモート制御を実現するために使用されています。方法1。Zebedeeソフトウェアと組み合わせてWindows 2000ターミナルサービスを使用するターミナルサービスは、ユーザーがリモートのWindows 9000サーバー上でWindowsベースのアプリケーションを実行することを可能にする、Windows 2000で提供される技術です。ターミナルサービスは、Windows 2000サーバーのリモート管理に最もよく使用される方法である必要があります。これは、Windows 2000サーバー自体の認証システムなど、Windowsの組み込みサービスによってもたらされる利便性とその他の利点に関連しています。しかし、ターミナルサービス自体には、クライアントの接続IPを制限できない、デフォルトのリスニングポートを変更する方法を明示的に提案しない、ログ監査機能、つまりロギングツールがないなどの欠点があります。この記事の冒頭で述べたリモートコントロールスキームのセキュリティ原則に基づいて、ターミナルサービスを単独で使用することはそれほど安全ではありません。しかし、Zebedeeソフトウェアと組み合わせることで、上記のリモートガバナンスのセキュリティニーズを達成できます。 Zebedeeは​​ローカルで指定されたアプリケーションを監視し、送信するTCPまたはUDPデータを暗号化および圧縮し、Zeebedeeクライアントはサーバーとの通信トンネルを確立し、圧縮および暗号化されたデータはこのチャネルで実行されます。転送;同じTCP接続で複数のTCPまたはUDP接続を確立できます。通常、Zeebedeeは​​次の2つのステップに分かれています。ステップ1：Zeebedeeのリスニングポートを設定する次のコマンドを使用します。C：\\ zebedee -s -o server.logステップ2：クライアントでリスナーポート3389を設定してリダイレクトするサーバ上のZeebedeeのリスニングポートに移動し、次のコマンドを使用します。C：\\> zededee 3389 serverhost：3389このようにして、Zebedeeが起動し始め、ターミナルサービスとの組み合わせでの使用方法を図1に示します。図1からわかるように、ターミナルサービスクライアントプロセス（ターゲットTCPポート：3389）がオンになると、ローカルのZebedeeクライアントが同時にデータパケットの傍受を開始し、Zebedeeは​​データを暗号化してZebedeeサーバに送信します（ここ）。 Zebedeeサービスのデフォルトポート11965）; Zeebedeeサーバーは、サーバーに配信されたサービスを受信して​​解凍し、復号化します（サービスポート：TCP：3389）。ここでは、サーバー上のターミナルサービスはローカルのターミナルサービスクライアントへの接続のように見えますが、実際には、渡されたすべてのパケットは暗号化されたトンネルを通過します。さらに、Zebedeeは​​アイデンティティ認証、暗号化、IPアドレスフィルタリング、そして設定ファイルを通したログインも実装することができます。適切に構成されたZebedeeとWindows 2000のターミナルサービスを組み合わせることで、非常に安全なリモート管理システムを構築できます。

一般的なターミナルサービスはファイル転送機能を提供していないという事実を考慮すると、他の方法を検討する必要があります。私たちはFTPサーバーを使うことができます。しかし、FTPサーバーは一般に安全ではないと考えられており、ターミナルサービスで直接データを送信することでZebedeeの暗号化トンネルを介してセキュリティを強化することもできます。これはやっかいなやり方ですが、Zebedeeのヘルプファイルは特に説明されています。ここでは2つのサードパーティソリューションが推奨されています。1つはAnalogxのTSDropCopy（http://www.analogx.com/con-tents/download/system/tsdc.htm）、もう1つはWTS-FTP（http; //Www.ibexsoftware.com/about.asp）一般に、Windows 2000ターミナルサービスは最も便利で迅速な方法の1つですが、それ自体のセキュリティのためです。 Zebedeeとターミナルサービスを組み合わせることで、便利で早く安全なソリューションを実現できます。方法2. VNC SSH上のVNCはターミナルサービスに似たリモート管理ソフトウェアで、次の点がターミナルと異なります。* VNCは現在ログインしているユーザーと同じセッションを共有します。現在のセッションにログインできます。ユーザーは同時に動作します; * VNCクライアントはWindowsCEとJavaを含む異なるプラットフォームで利用可能です; * VNCはIPアクセスを制限できます;クライアントとサーバーの暗号化はありません。 VNCのこれらの違いについては、VNCを使用することの利点は認識されていますが、単独で使用した場合は依然としてセキュリティ上のリスクがあります。最大の問題は、VNCのデータ転送が暗号化されていないことです。この欠点を補うためにSSH暗号化を使用できます。通常OpenSSH（http://www.networksimplicity.com/openssh）を使用しますOpenSSHは理論的にはZebedeeに似たソフトウェアです。しかし、それはSMTP.HTTP.FTP.POP3とTelnetトランスポートパケット暗号化のためにより広く使われています。 Zebedeeと同様に、これはポート通信を介したトンネルですが、違いはSSHがユーザーに広く認識され広く使用されている暗号化プロトコルになったことです。