ターミナルサービスvsリモートアクセスルータ

機能や目的がまったく異なるものを比較するのは、 少し無理があるのですが、 リモートアクセスVPNの方が、 設定によっては安全にリモートアクセス可能ですし、 リモートデスクトップ以外のアプリケーションが利用可能です。 しかし、別のリスクもあるので知っておくことも大切です。 リモートアクセスVPNを構築する場合、 求められるセキュリティレベルに応じて、 さまざまなカスタマイズが行えますが、 ターミナルサービスの場合、ほとんど カスタマイズの余地はありません。 たとえば、二要素認証により本人確認を 厳重に行いたいとした場合、リモートアクセスルータの 機種・機能と設定次第では、実現可能です。 (二要素認証とは、パスワードの他に、物理的な鍵 [例えばICカードなど]も要求することで、 パスワードの盗難だけでは侵入を許さない方法です) そのほかにも、接続前にクライアントPCを検疫 (ウィルスなどの「病気」を持っていないなどの確認) して安全性が確認されてから接続を許可するなどの 応用例もあります。 それから、リモートアクセスVPNの場合、 使用する暗号化方式も選べることがあります。 より強い暗号化方式に変更することも場合によっては可能です。 しかし、リモートデスクトップの場合、以上のようなカスタマイズを管理者が選択することは困難です。 カスタマイズの幅が違うのは、そもそも暗号化により 保護しているレベルが異なるからです。 ターミナルサービスで使われているRDPというプロトコルの暗号化では、 サーバとクライアント間の、リモートデスクトップという単一のアプリケーションに対して、 暗号化を提供しています。 リモートアクセスVPNの場合、 アプリケーションのレベルではなく、 ネットワークのレベルで暗号化をかけます。 守りたいネットワークに対し、リモートのVPNクライアントを 安全に参加させる方法を提供します。 だから、安全にネットワークに参加した状態になってしまえば、 リモートデスクトップだけでなく、ファイルコピーをしたり、 プリントをしたり、メールの読み書きをしたり、 リモートにいながらにして、ローカルに接続しているのと同じことができます。 しかし、リモートのクライアントの安全を確保できていない場合、 安全でないコンピュータを守るべきネットワークに参加させてしまうことにもなりかねません。 リモートアクセスを使うと、ウィルスやワームの侵入経路がひとつ増えるという見方ができるわけです。 ですから、VPNを構築する場合はクライアントセキュリティと一体となった対策を考える必要があります。 ・アクセスしたいサーバが1台だけで、 ・しかも使いたいアプリケーションがリモートデスクトップ接続(ターミナルサービス)だけ であれば、リモートアクセスVPNを使うメリットは大きくありません。 暗号化の程度も、最新のパッチを当てていれば、 それほど弱いものではありません。 しかし、 ・より高度な暗号化方式を使いたい ・複数台のターミナルサーバに容易に接続したい ・リモートにいながらにして、ローカルに接続しているのと同じことがしたい のであれば、リモートアクセスVPNを使うほうがよいでしょう。 市販の個人向けリモートアクセスVPN対応ルータを導入される場合、 業務用のものとは異なり、カスタマイズの幅はせまいので、 二要素認証や検疫機能はないのが普通です。 ですから、リモートのクライアントのセキュリティについては十分注意されながら運用されてください。

こんにちは。 ここのところ、似たような悩みを抱えていらっしゃる方が増えているようですね。 Windowsのターミナルサービスは、設計思想がLAN（イントラネット）での利用を意識したものですので、当然LAN/WANの境界線セキュリティーに関しては厳しいものがあります。（あくまで一般論としての話ですが。） いずれにしても、まずは下記の過去ログに目を通されることで、ご質問の大部分にはお答えできると感じます。 ■当サイト、過去ログ■ ↓ http://okweb.jp/kotaeru.php3?q=1289064 上記の過去ログ内のリンクをはじめ、ネット上には豊富な情報がありますヨ。 >>しかし先日リモートアクセスルータなるものを発見したのですが、これはいかがなものなのでしょうか？ ↓ 正直、これだけでは全く具体的な話ができませんネ… Windows2000Serverの標準機能についての話でしょうか？ Yesであれば、過去ログにある(R)RASの話をイメージしますし（もちろん、その他のプロトコルによるVPNの話も絡んできます。）、Noであれば、ルーター（アプライアンス）の「VPNサーバー機能」あたりの話でしょうか？ いずれにしても、過去ログ内のリンクから、「Windowsサーバー標準/後付を含めた様々なリモートアクセス手法とそれぞれのメリット・デメリット」をよく検討したうえで、導入技術を決め、正しく運用されるようにオススメさせてください。 これは大変失礼な言い方に聞こえるかもしれませんが、情報セキュリティーも「我流＋場当たり式」で突き進んでしまうと、明るい未来がやってこないという法則が活きた世界だと思っています。 最後にポートの件ですが、リモートアクセス（サービス）を運用する限り、IPレベルでポート（ソケット）を開放（ネットワーク的なアクセスを許す）しなければなりませんよね。（でなければ、基本的にサービス提供は不可能ですから。） 仕組み（設定）としてセキュリティーをいくらガチガチに固めても、提供サービス（アプリケーション）に脆弱性が残っていれば元も子もありませんので（正規の通信路や手順を突いた攻撃には無力なケースが多いものです。）、基本中の基本である「パッチ管理」とともに、総合的なメリット/デメリットの判断と階層的なセキュリティー環境構築が求められるようになってきているというのが現状だと思います。 いずれにしても、安全なリモートアクセスの仕組みが構築できるよう、お祈りしております。 一先ず、ご参考まで。 それでは。