사용자가 원격 데스크톱을 통해 서버에 연결할 수 있도록하는 것이 큰 보안 결함입니까? 지금 당장은 RDP 포트를 통해 연결할 수있는 몇 가지 IP 주소 만 허용하는 설정이 있지만이 문제를 해결하고 모든 IP의 연결을 허용하므로 내 iPhone과 RDP를 연결할 수 있습니다. 집에 없다.공개 웹 서버에 RDP 허용 하시겠습니까?
보안 암호가있는 한 여러분은 이것이 나쁜 생각이라고 생각합니까? 좀 더 안전하게하기 위해 할 수있는 일이 있습니까? "어디에서든지"연결할 수 있습니까? 예를 들어, "모든 사용자가 2 시간 동안 로그인하도록 허용"해야하는 페이지를 설정할 수 있습니까? 애매한 것들로 인한 어떤 종류의 보안?
내가 얻을 수있는 도움에 감사드립니다.
어쩌면이 질문을 serverfault에 게시해야합니다. 하지만 어쨌든.
사용자/암호 만 액세스 방법으로 사용하는 경우. 그런 다음 공격자가 사용자를 잠그는 것은 매우 쉽습니다 (또는 모든 사용자는 터미널 액세스 권한이 없어도 됨). 그렇습니다. 엄청난 보안 결함이 될 것입니다. 이 대우에서 보호하고 rdp를 어디서나 사용할 수있게 만드는 방법은 많이 있습니다. 그러나 나는 그들 중 누구에게도 익숙하지 않다.
기업 서버에 대한 원격 액세스를 위해 2 단계 인증을 구현하는 것이 일반적입니다. 많은 회사에서 두 번째 요소로 사용되는 RSA 토큰을 볼 수 있습니다. 비록 SMS를 선호하지만 --- 두 가지 요소가 존재하는 한 중요하지 않습니다. 당신이 알고있는 것, 가지고있는 것이 있습니다. 아르.
회사에서 두 번째 요소를 구현하지 않으려는 경우 공개적으로 노출 된 RDP 인터페이스는 권장하지 않습니다. 그것은 무차별 대입 공격, OS 악용 또는 단순한 오래된 Denial of Service에 공개됩니다 (트래픽이 공개 인터페이스를 강타하면 회사 내 합법적 인 시스템 사용 속도가 느려집니다). 최소한 클라이언트 측 인증서 인증을 사용하여 SSH를 통한 터널링을 조사하거나, 서버 노크를 포트 노킹 (first knocking)을 구현하여 처음부터 구현할 것입니다.
보안 허점이지만 그렇게 큰 것은 아닙니다. 트래픽은 암호화되어 있으며, 사용자 또는 암호를 읽는 것은 ftp와 같은 텍스트 기반 프로토콜처럼 즉각적인 것이 아닙니다. 그것은 ssh보다 조금 덜 안전합니다.
분명히 다른 원격 액세스 (무차별 공격 또는 DOS 공격 일 수 있음)와 동일한 결함이 있습니다. 또한 공격자의 작업을 단순화하지 않으려면 기본 계정 이름이 아닌 이름을 사용해야합니다.
페이지를 방문한 후에 만 액세스를 여는 것이 나쁘지 않습니다. 고전적인 port knocking 메커니즘의 변형 인 것 같습니다 (그러나 더 큰 구멍을 열지 않도록주의하십시오).