Win 2000リモートコントロール用の3つのセキュリティソリューション

I.はじめに

リモートコントロールソリューションを想定しています。そのようなIIS Webサーバーを設置したい企業で、そこには300マイルの距離があります。サーバーは、ブロードバンドネットワーク、エアコン、および電源制御装置を組み合わせたサーバーセンターです。このネットワークサービスセンターは安定していて手ごろな価格ですが、顧客はサーバーを完全にリモートコントロールする必要がありますこのコントロールはいつでも利用でき、サーバーを操作するためにコンソールに行く必要はありません。通常、リモートコントロールにはいくつかの問題があります。最も明白なのは、クライアントマシンとホスト間の通信がインターネット経由で送信されることです。このデータ交換はハッカーによって盗聴される可能性があり、リモートコントロール自体（その開いているポートなど）もネットワーク攻撃につながる可能性があるという問題もあります。リモートコントロールソリューションを選択する最終的な目標は、ゲートウェイとしてのあなた（あなただけ）が他のネットワーク攻撃を引き起こすことなくサーバーを制御できるようにすることです。

リモートコントロールスキームのセキュリティ原則は次のとおりです。

リモートコントロールのアクセス許可のセキュリティを確保する

リモートコントロールは不正アクセスを防止できなければなりません。つまり、リモート管理ソフトウェアは、狭い範囲のIPアドレスへの接続のみを受け入れ、ユーザー名とパスワードの制御を必要とします。スマートカードフェーズの顧客検証を導入することで、リモートコントロールのセキュリティがさらに強化されています。また、標準的でないポートを使用してサービスを提供したり、サービスフラグを表示しないセキュリティ設定を使用するなど、簡単で既製の技術を使用して拡張することもできます。

リモートで交換されるデータの整合性の確保

リモートコントロールでのデータの損失を防ぐために、リモートコントロールサーバーとクライアントのデータ転送（つまり、送信）の整合性と即時性を確保する必要があります。データは信頼性があり、再送信されません。

機密データ転送の機密性の確保

リモートコントロールの最も重要な点は、インターネット上での機密データ転送の機密性を確保することです。これは、送信されたデータメッセージがハッカーに盗聴されるのを防ぐためです。これには、堅牢で実行可能な暗号化アルゴリズムを使用したセッション暗号化が必要です。この暗号化の利点は、攻撃者でもデータを盗聴することです。匂いを嗅ぐ人にも役に立ちません。

インシデントを安全に監査できるようにする

適切なセキュリティ監査を行うと、リモートコントロールの全体的なセキュリティが大幅に向上し、セキュリティリスクと技術犯罪が軽減されます。監査ログの主な目的は、誰がシステムにアクセスしているのか、どのサービスが使用されているのかなどを管理者に知らせることです。これはサーバーが技術的な犯罪を介して侵入しようとしている黒かび型遠隔操作追跡の十分に適切で安全なログ記録を持つことを必要とします。

第2に、Windows 2000リモートコントロール用の3つのセキュリティソリューション

Windows 2000をリモートコントロールする方法はたくさんありますが。すべてのソフトウェアが上記のリモートコントロールソリューションのセキュリティ原則に準拠しているわけではなく、さまざまなソフトウェアを組み合わせて必要なリモートコントロールソリューションを完成させることができます。

次の例は、Windows 2000ネイティブサービスまたはサードパーティソフトウェアを組み合わせて安全なリモートコントロールを実現するために使用されています。

方法1. Zebedeeソフトウェアと組み合わせたWindows 2000ターミナルサービスの使用

ターミナルサービスは、Windows 2000で提供されているテクノロジで、ユーザーはリモートのWindows 9000サーバー上でWindowsベースのアプリケーションを実行できます。ターミナルサービスは、Windows 2000サーバーのリモート管理に最も広く使用されている方法である必要があります。これは、Windows 2000サーバー自体の認証システムなど、Windowsの組み込みサービスによってもたらされる利便性とその他の利点に関連します。しかし、ターミナルサービス自体には、クライアントの接続IPを制限できない、デフォルトのリスニングポートを変更する方法を明示的に提案しない、ログ監査機能、つまりロギングツールがないなどの欠点があります。この記事の冒頭で説明したリモートコントロールスキームのセキュリティ原則に基づいて、ターミナルサービスを単独で使用することはそれほど安全ではありません。しかし、Zebedeeソフトウェアと組み合わせることで、上記のリモート管理セキュリティニーズを達成できます。 'Zebedeeは​​ローカルで指定されたアプリケーションを監視し、送信するTCPまたはUDPデータを暗号化および圧縮します; Zeebedeeは​​クライアントとサーバー間の通信トンネルを確立します;圧縮され暗号化されたデータはこの中にあります。チャネルで転送すると、同じTCP接続で複数のTCPまたはUDP接続を確立できます。
通常、Zeebedeeは​​次の2つのステップに分けられます。

ステップ1：Zeebedeeのリスニングポートを設定します。

次のコマンドを使用してください。

C：zebedee -s - o server.log

ステップ2：クライアント上のリスナーポート3389を設定し、それをサーバー上のZebedeeのリスニングポートにリダイレクトします。

次のコマンドを使用してください。 ：

C：> zededee 3389 serverhost：3389

このようにして、Zebedeeは​​起動し始め、ターミナルサービスとの併用は図1のようになります。図1からわかるように、ターミナルサービスクライアントプロセス（ターゲットTCPポート：3389）がオンになると、ローカルのZebedeeクライアントが同時にデータパケットの傍受を開始し、Zebedeeは​​データを暗号化してZebedeeサーバに送信します（ここ）。 Zebedeeサービスのデフォルトポート11965）; Zeebedeeサーバーは、サーバーに配信されたサービスを受信して​​解凍し、復号化します（サービスポート：TCP：3389）。ここでは、サーバー上のターミナルサービスはローカルのターミナルサービスクライアントへの接続のように見えますが、実際には通過したすべてのパケットが暗号化されたトンネルを通過しています。さらに、Zebedeeは​​アイデンティティ認証、暗号化、IPアドレスフィルタリング、そして設定ファイルを通したログインも実装することができます。適切に構成されたZebedeeとWindows 2000のターミナルサービスを組み合わせることで、非常に安全なリモート管理システムを構築できます。