【注意喚起】xrdp 0.6.x の継続使用について (RC4暗号の使用中止)
meta
Windows XP以前のRDPでは、暗号化アルゴリズムにRC4を使用しています。
これはxrdpでいうと0.6.x系が該当します。
RC4には弱点が続々と発見[1]されており、既にマイクロソフトからRDPでRC4を
使用できなくするSA[2]が出ていたり、WebブラウザのHTTPSでもRC4を無効化する
動き[3]が広がっています。
このためxrdp 0.6.x系では crypt_level=high と設定していても、もはや
インターネット越しに使うには安全ではないといえます。信頼のおけるLAN内に
限った利用や、VPNによって暗号化するなどの手段を取っていない場合は
xrdp 0.6.x系を今後も継続して使用するのはやめたほうが良いでしょう。
今後VPNなどを経由せずインターネット越しに直接xrdpを使用する場合は、
0.8系(0.7.0はリリースされずにスキップとなりました)か、未リリースの
開発版0.9.0betaを使用することをオススメします。
0.8系以降では、RC4を使用したRDP独自の暗号化ではなく、より汎用的な
サーバ証明書を使ったTLSによる暗号化を使用することができます。
TLSのセットアップ方法はユーザ会のページ[4]に掲載しています。
短時間でcookie解読、RC4暗号通信を破る新手法
[1] http://www.itmedia.co.jp/enterprise/articles/1507/17/news058.html
Microsoft security advisory: Update for disabling RC4
[2] https://support.microsoft.com/en-us/kb/2868725
Webブラウザ各社、暗号アルゴリズム「RC4」の対応終了へ
[3] http://www.itmedia.co.jp/enterprise/articles/1509/02/news110.html
ノート/TLS接続 - 日本 xrdp ユーザ会
[4] https://xrdp.vmeta.jp/%E3%83%8E%E3%83%BC%E3%83%88/TLS%E6%8E%A5%E7%B6%9A