Win2000リモートコントロール用の3つのセキュリティソリューション

I.はじめにリモートコントロールソリューションを想定しています。ある企業は、300マイル離れた場所にあるIIS Webサーバーを配置したいと考えています。サーバーは、ブロードバンドネットワーク、エアコン、および電源制御装置を組み合わせたサーバーセンターです。このネットワークサービスセンターは安定していて手ごろな価格ですが、顧客はサーバーを完全にリモートコントロールする必要がありますこのコントロールはいつでも利用でき、サーバーを操作するためにコンソールに行く必要はありません。リモートコントロールには通常いくつかの問題があります。最も明白なのは、クライアントマシンとホスト間の通信がインターネット経由で送信されることです。このデータ交換はハッカーによって盗聴される可能性があり、リモートコントロール自体（その開いているポートなど）もネットワーク攻撃につながる可能性があるという問題もあります。リモートコントロールソリューションを選択する最終的な目標は、ゲートウェイとしてのあなた（あなただけ）が他のネットワーク攻撃を引き起こすことなくサーバーを制御できるようにすることです。
リモートコントロールスキームのセキュリティ原則は次のとおりです。
リモートコントロールのアクセス許可のセキュリティを確保する
リモートコントロールは不正アクセスを防ぐことができなければなりません。つまり、リモート管理ソフトウェアは、狭い範囲のIPアドレスへの接続のみを受け入れ、ユーザー名とパスワードの制御を必要とします。スマートカードフェーズの顧客検証の導入により、リモートコントロールのセキュリティがさらに強化されています。また、標準的でないポートを使用してサービスを提供したり、サービスフラグを表示しないセキュリティ設定を使用するなど、簡単で既製の技術を使用して拡張することもできます。
リモートで交換されるデータの整合性を確保する
リモート制御でのデータの損失を防ぐために、リモートコントロールサーバーとクライアントのデータ転送の整合性と即時性を確保する必要があります。再送されていません）。機密データ転送の機密性を確保する
リモートコントロールで最も重要なことは、インターネットを介した機密データ転送の機密性を保証することです。これは、送信されたデータメッセージがハッカーに盗聴されるのを防ぐためです。これには、堅牢で実行可能な暗号化アルゴリズムを使用したセッション暗号化が必要です。この暗号化の利点は、攻撃者でもデータを盗聴することです。匂いを嗅ぐ人にも役に立ちません。
インシデントを安全に監査できるようにする
優れたセキュリティ監査を行うと、リモートコントロールの全体的なセキュリティが劇的に向上し、セキュリティの脅威と技術犯罪が軽減されます。監査ログの主な目的は、誰がシステムにアクセスしているのか、どのサービスが使用されているのかなどを管理者に知らせることです。これには、技術的な犯罪を介して侵入しようとしている黒かび型リモートコントロールトレースの十分に適切で安全なログ記録がサーバーに必要です。
第二に、Windows 2000のリモートコントロール用の3つのセキュリティソリューション
Windows 2000をリモートコントロールする方法はたくさんありますが。すべてのソフトウェアが上記のリモートコントロールソリューションのセキュリティ原則に準拠しているわけではなく、さまざまなソフトウェアを組み合わせて必要なリモートコントロールソリューションを完成させることができます。
次の例は、Windows 2000ネイティブサービスまたはサードパーティソフトウェアの組み合わせによる安全なリモート制御を実現するために使用されています。
方法1. Zebedeeソフトウェアと組み合わせてWindows 2000ターミナルサービスを使用する
ターミナルサービスは、Windows 2000で提供されているテクノロジで、ユーザーはリモートのWindows 9000サーバー上でWindowsベースのアプリケーションを実行できます。ターミナルサービスは、Windows 2000サーバーのリモート管理に最も広く使用されている方法である必要があります。これは、Windows 2000サーバー自体の認証システムなど、Windowsの組み込みサービスによってもたらされる利便性とその他の利点に関連します。しかし、ターミナルサービス自体には、クライアントの接続IPを制限できない、デフォルトのリスニングポートを変更する方法を明示的に提案しない、ログ監査機能、つまりロギングツールがないなどの欠点があります。この記事の冒頭で述べたリモートコントロールスキームのセキュリティ原則に基づいて、ターミナルサービスを単独で使用することはそれほど安全ではありません。しかし、Zebedeeソフトウェアと組み合わせることで、上記のリモート管理セキュリティニーズを達成できます。 'Zebedeeは​​、ローカルに指定されたアプリケーションを監視し、送信するTCPまたはUDPデータを暗号化および圧縮します; Zeebedeeクライアントとサーバーは通信トンネルを確立します;圧縮され暗号化されたデータはこの中にありますチャネルで転送すると、同じTCP接続で複数のTCPまたはUDP接続を確立できます。
通常のZebedeeの使用は、次の2つのステップに分かれています。
ステップ1：Zeebedeeのリスニングポートの設定
次のコマンドを使用します。
C：\\ zebedee -s -o server.log
ステップ2：クライアントでリスナーポート3389を設定し、サーバーのZeebedeeのリスニングポートにリダイレクトします。
次のコマンドを使用します。
C：\\> zededee 3389 serverhost：3389
このようにして、Zebedeeが起動し始め、ターミナルサービスとの併用が図1に示されています。図1からわかるように、ターミナルサービスクライアントプロセス（ターゲットTCPポート：3389）がオンになると、ローカルのZebedeeクライアントが同時にデータパケットの傍受を開始し、Zebedeeは​​データを暗号化してZebedeeサーバに送信します（ここ）。 Zebedeeサービスのデフォルトポート11965）; Zeebedeeサーバーは、サーバーに配信されたサービスを受信して​​解凍し、復号化します（サービスポート：TCP：3389）。ここでは、サーバー上のターミナルサービスはローカルのターミナルサービスクライアントへの接続のように見えますが、実際には通過したすべてのパケットが暗号化されたトンネルを通過しています。さらに、Zebedeeは​​アイデンティティ認証、暗号化、IPアドレスフィルタリング、そして設定ファイルを通したログインも実装することができます。適切に構成されたZebedeeとWindows 2000のターミナルサービスを組み合わせることで、非常に安全なリモート管理システムを構築できます。一般的なターミナルサービスの

ビューは、ファイル転送機能を提供していない、他のアプローチを検討する必要があります。私たちはFTPサーバーを使うことができます。しかし、FTPサーバーは一般に安全ではないと考えられており、ターミナルサービスで直接データを送信することでZebedeeの暗号化トンネルを介してセキュリティを強化することもできます。これは面倒なやり方ですが、Zebedeeのヘルプファイルは詳細に説明されています。ここでは2つのサードパーティソリューションが推奨されています。1つはAnalogxのTSDropCopy（http://www.analogx.com/con-tents/download/system/tsdc.htm）、もう1つはWTS-FTP（http; //）です。 Www.ibexsoftware.com/about.asp）
一般に、Windows 2000ターミナルサービスは最も便利で迅速な方法の1つですが、独自のセキュリティがあります。 Zebedeeとターミナルサービスを組み合わせることで、便利で早く安全なソリューションを実現できます。
方法2. SSH上のVNC
VNCはターミナルサービスに似たリモート管理ソフトウェアです以下の点がターミナルと異なります：
* VNCは現在ログインしているユーザーと共有されます。セッション、あなたは現在ログインしているユーザーと同時に操作することができます;
* WindowsCEとJavaを含む異なるプラットフォーム用のVNCクライアント;
* VNCはIPアクセスを制限することができます;クライアントとサーバー上で
暗号化されていません。
VNCにおけるこれらの違いについては、VNCを使用することの利点は認識されていますが、単独で使用した場合はまだセキュリティ上のリスクがあります。最大の問題は、VNCのデータ転送が暗号化されていないことです。 SSHの暗号化を使ってこの欠点を補うことができます。通常OpenSSH（http://www.networksimplicity.com/openssh）を使用しますOpenSSHは理論的にはZebedeeに似たソフトウェアです。しかし、それはSMTP.HTTP.FTP.POP3とTelnetトランスポートパケット暗号化にもっと広く使われています。 Zebedeeと同様に、これはポート通信を介したトンネルですが、違いはSSHがユーザーに広く認識され広く使用されている暗号化プロトコルになったことです。