6
Windows Remote vs. UltraVNC - plus OpenVPN oder SSH?
Hallo,
Ich habe eine Frage, was das remote-Steuern von PC's angeht. Ich weiß, es hat hier schon einige Threads, aber ich werde irgendwie nicht so richtig schlau draus und würde mich freuen, wenn ich ein paar Meinungen von euch bekommen würde.
Folgendes: Ich habe zwei Laptops mit Windows XP Pro SP2 (sollte nach Möglichkeit auch so bleiben -> "never disturb a running system"). Über einen der beiden wird ein Gerät betrieben. Ziel ist es nun, dieses über das Internet zu steuern. Dabei wird der eine Laptop direkt mit dem Gerät verbunden. Der andere Laptop soll dann zur Fernsteuerung des "SteuerPCs" verwendet werden.
Wo genau nachher dieses Gerät samt Steuer-Laptop steht, ist noch nicht ganz klar. Im besten Fall hinter einem Router mit statischer oder dynamischer IP. Kann aber auch passieren, dass der SteuerPC sich per UMTS-Stick ins Netz einwählen muss.
Momentan ist die Überlegung, ganz normal den Windows Remote Desktop zu verwenden. Allerdings meine ich, dass bei der "alten" Version bei SP2 die Sicherheit nicht so toll ist. Deshalb überlege ich, ob ich einen (Open)VPN-Tunnel drumrum leg (was ich bei der UMTS-Variante sowieso brauchen würde, soweit ich weiß. Da muss ich ja die Verbindung von der zu steuernden Seite aus aufbauen). Ist das denn als Sicherheitsmaßnahme sinnvoll? Oder ein SSH-Tunnel? Oder ist es besser gleich von dem Windows Remote wegzugehen und z.B. UltraVNC zu verwenden, bei welchem man ja per Plugin die Sicherheit hochschrauben kann? Generell ist es nachher so, dass die Daten, die dann irgendwann auch zwischen den Laptops getauscht werden sollen, nicht allzu sicherheitsrelevant sind. Trotzdem ist mir bei alleinigem RDP irgendwie nicht so wirklich wohl... Ich würde gerne ausschließen, dass jemand zum Beispiel per Brute-Force-Attacke Zugriff auf den Laptop bekommt. Man In The Middle-Attacken wären auch weniger schön.
Zu dem UltraVNC - bzw VNC allgemein: Stimmt es, dass es da einige Programme gibt, die von einem WebServer abhängig sind? Das wäre nämlich nicht gut, weil die Verbindung möglichst unabhängig und schnell sein sollte. Das ist ja, soweit ich das so gelesen habe, bei UltraVNC kein Problem?
Wie ist das denn mit der Sicherheit, wenn ich diesen Steuer-Laptop auch per Wake-On-LAN oder per Remote-Steckdosenleiste anschalten will? Kann ich das vor Fremdzugriff schützen?
(Ich hab da irgendwie immer das Arbeiten mit Zertifikaten im Hinterkopf - deshalb auch die Idee mit dem VPN. Nur bei sowas dann wohl eher nicht, wenn ich ja keinen laufenden PC auf der Gegenseite habe?!)
Entschuldigt bitte, wenn das jetzt ein wenig unübersichtlich ist. Ich tu mir etwas schwer, das hier so einfach zu erklären. Ich versuche auf spezifische Rückfragen so gut wie möglich zu antworten.
Sache ist jedenfalls, dass ich einfach nicht so recht weiß, welche Variante sinnvoller ist.
Danke für eure Hilfe schonmal!
Ich habe eine Frage, was das remote-Steuern von PC's angeht. Ich weiß, es hat hier schon einige Threads, aber ich werde irgendwie nicht so richtig schlau draus und würde mich freuen, wenn ich ein paar Meinungen von euch bekommen würde.
Folgendes: Ich habe zwei Laptops mit Windows XP Pro SP2 (sollte nach Möglichkeit auch so bleiben -> "never disturb a running system"). Über einen der beiden wird ein Gerät betrieben. Ziel ist es nun, dieses über das Internet zu steuern. Dabei wird der eine Laptop direkt mit dem Gerät verbunden. Der andere Laptop soll dann zur Fernsteuerung des "SteuerPCs" verwendet werden.
Wo genau nachher dieses Gerät samt Steuer-Laptop steht, ist noch nicht ganz klar. Im besten Fall hinter einem Router mit statischer oder dynamischer IP. Kann aber auch passieren, dass der SteuerPC sich per UMTS-Stick ins Netz einwählen muss.
Momentan ist die Überlegung, ganz normal den Windows Remote Desktop zu verwenden. Allerdings meine ich, dass bei der "alten" Version bei SP2 die Sicherheit nicht so toll ist. Deshalb überlege ich, ob ich einen (Open)VPN-Tunnel drumrum leg (was ich bei der UMTS-Variante sowieso brauchen würde, soweit ich weiß. Da muss ich ja die Verbindung von der zu steuernden Seite aus aufbauen). Ist das denn als Sicherheitsmaßnahme sinnvoll? Oder ein SSH-Tunnel? Oder ist es besser gleich von dem Windows Remote wegzugehen und z.B. UltraVNC zu verwenden, bei welchem man ja per Plugin die Sicherheit hochschrauben kann? Generell ist es nachher so, dass die Daten, die dann irgendwann auch zwischen den Laptops getauscht werden sollen, nicht allzu sicherheitsrelevant sind. Trotzdem ist mir bei alleinigem RDP irgendwie nicht so wirklich wohl... Ich würde gerne ausschließen, dass jemand zum Beispiel per Brute-Force-Attacke Zugriff auf den Laptop bekommt. Man In The Middle-Attacken wären auch weniger schön.
Zu dem UltraVNC - bzw VNC allgemein: Stimmt es, dass es da einige Programme gibt, die von einem WebServer abhängig sind? Das wäre nämlich nicht gut, weil die Verbindung möglichst unabhängig und schnell sein sollte. Das ist ja, soweit ich das so gelesen habe, bei UltraVNC kein Problem?
Wie ist das denn mit der Sicherheit, wenn ich diesen Steuer-Laptop auch per Wake-On-LAN oder per Remote-Steckdosenleiste anschalten will? Kann ich das vor Fremdzugriff schützen?
(Ich hab da irgendwie immer das Arbeiten mit Zertifikaten im Hinterkopf - deshalb auch die Idee mit dem VPN. Nur bei sowas dann wohl eher nicht, wenn ich ja keinen laufenden PC auf der Gegenseite habe?!)
Entschuldigt bitte, wenn das jetzt ein wenig unübersichtlich ist. Ich tu mir etwas schwer, das hier so einfach zu erklären. Ich versuche auf spezifische Rückfragen so gut wie möglich zu antworten.
Sache ist jedenfalls, dass ich einfach nicht so recht weiß, welche Variante sinnvoller ist.
Danke für eure Hilfe schonmal!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 133963
Url: https://administrator.de/contentid/133963
Printed on: April 16, 2024 at 04:04 o'clock
6 Comments
Latest comment
Bei 2 popeligen XP Rechnern und deinem Vorsatz never touch a running sytem warum nimmst du dann nicht das Banal VPN ala:
http://www.wintotal.de/artikel/artikel-2005/40.html
oder gibst einfach auf dem Router stinknormal Port TCP 3389 (RDP) frei auf die lokale Adresse des zu steuernden PCs. DynDNS Account einrichten auf dem Router...fertich !
Wenn du ganz schlau bist machst du noch Port Translation bei RDP um den Port wenigstens etwas vor Internet Script Kiddies zu verscheiern...
Einfacher gehts ja nun wirklich nicht..
Bei VNC bist du NICHT abhängig von Interims Servern. Deine Daten laufen also NICHT über Dritte.
Das passiert bei Programmen wie Teamviewer und Co.
WoL und remote Steckdosenleiste ist bei VPN Zugriff per se immer geschützt sofern du nicht im Suff mal dein VPN Passwort verrätst...
http://www.wintotal.de/artikel/artikel-2005/40.html
oder gibst einfach auf dem Router stinknormal Port TCP 3389 (RDP) frei auf die lokale Adresse des zu steuernden PCs. DynDNS Account einrichten auf dem Router...fertich !
Wenn du ganz schlau bist machst du noch Port Translation bei RDP um den Port wenigstens etwas vor Internet Script Kiddies zu verscheiern...
Einfacher gehts ja nun wirklich nicht..
Bei VNC bist du NICHT abhängig von Interims Servern. Deine Daten laufen also NICHT über Dritte.
Das passiert bei Programmen wie Teamviewer und Co.
WoL und remote Steckdosenleiste ist bei VPN Zugriff per se immer geschützt sofern du nicht im Suff mal dein VPN Passwort verrätst...
Bei dem Banal-VPN habe ich aber, soweit ich das gesehn habe, keinerlei Authentifizierung der Partner gegeneinander. Was ist dann mit Sachen wie Brute-Force?
Und zum Thema popelige XP-Rechner. Tut mir ja leid, dass das nur Laptops sind, aber an dem einen hängt nachher ein Gerät dran, das nicht ganz so popelig ist und das ich gern sicher wüsste...
Eben deshalb hab ich ja auch gefragt. Wenn ich da jetzt nur 2 Rechner hätte, bei denen mir das egal wär, weil eh nichts wichtiges drauf ist, dann wär das ja auch ok. Ist aber halt nicht so.
Und der Vorsatz kommt leider nicht von mir, sondern ist eine Randbedingung, die ich halt habe. An der kann ich vermutlich nicht viel drehen. Sonst hätte ich nämlich längst SP3 und die neue RDP-Version drauf.
Dass ich für RDP Port 3389 freigeben muss, eine Portweiterleitung mache und bei dynamischer IP-Adresse des Routers einen DynDNS-Account brauche, das ist mir schon klar. Das war nicht die Frage. Ich wollte wie gesagt einfach Meinungen haben, was aus sicherheitstechnischen Gründen sinnvoll ist.
Danke mit dem VNC. Da war ich mir nicht sicher. Dachte, ich hätte vorhin hier irgendwo was anderes gelesen, finde es aber gerade nicht mehr.
Was die Geschwindigkeit angeht ist RDP überlegen, oder?
Und zum Thema popelige XP-Rechner. Tut mir ja leid, dass das nur Laptops sind, aber an dem einen hängt nachher ein Gerät dran, das nicht ganz so popelig ist und das ich gern sicher wüsste...
Eben deshalb hab ich ja auch gefragt. Wenn ich da jetzt nur 2 Rechner hätte, bei denen mir das egal wär, weil eh nichts wichtiges drauf ist, dann wär das ja auch ok. Ist aber halt nicht so.
Und der Vorsatz kommt leider nicht von mir, sondern ist eine Randbedingung, die ich halt habe. An der kann ich vermutlich nicht viel drehen. Sonst hätte ich nämlich längst SP3 und die neue RDP-Version drauf.
Dass ich für RDP Port 3389 freigeben muss, eine Portweiterleitung mache und bei dynamischer IP-Adresse des Routers einen DynDNS-Account brauche, das ist mir schon klar. Das war nicht die Frage. Ich wollte wie gesagt einfach Meinungen haben, was aus sicherheitstechnischen Gründen sinnvoll ist.
Danke mit dem VNC. Da war ich mir nicht sicher. Dachte, ich hätte vorhin hier irgendwo was anderes gelesen, finde es aber gerade nicht mehr.
Was die Geschwindigkeit angeht ist RDP überlegen, oder?
Was meinst du denn wofür im WinTotal Tutorial die User und Passwörter eingerichtet werden... ??? Wenn du nur ansatzweise das Tutorial einmal gelesen hättest und vielleicht noch einmal kurz Grundlagen zum PPTP Protokoll gelesen hättest:
http://de.wikipedia.org/wiki/Point-to-Point_Tunneling_Protocol
hättest du diese Frage nicht stellen müssen !! Brute Force ist überflüssig bei Wahl eines genügend langen (und intelligenten) Passworts !!
Deine Argumentation ist auch mehr oder weniger naiv, sorry. Wenn das geheimnisvolle angeschlossenen Gerät die Wichtigkeit hat, die du selber forderst ist es doch vollkommen obsolet sich noch über RDP, VNC und sowas zu unterhalten...
Da heisst der Weg für dich doch ohne wenn und aber VPN !!! Obs nun das obige mit PPTP ist oder IPsec oder OpenVPN spielt dabei keine Rolle !!
Kauf dir einen gescheiten VPN Router von Draytek oder ne Fritzbox, richte da mit 3 Mausklicks ein IPsec VPN ein, Client auf die remoten Rechner und gut ist...
http://de.wikipedia.org/wiki/Point-to-Point_Tunneling_Protocol
hättest du diese Frage nicht stellen müssen !! Brute Force ist überflüssig bei Wahl eines genügend langen (und intelligenten) Passworts !!
Deine Argumentation ist auch mehr oder weniger naiv, sorry. Wenn das geheimnisvolle angeschlossenen Gerät die Wichtigkeit hat, die du selber forderst ist es doch vollkommen obsolet sich noch über RDP, VNC und sowas zu unterhalten...
Da heisst der Weg für dich doch ohne wenn und aber VPN !!! Obs nun das obige mit PPTP ist oder IPsec oder OpenVPN spielt dabei keine Rolle !!
Kauf dir einen gescheiten VPN Router von Draytek oder ne Fritzbox, richte da mit 3 Mausklicks ein IPsec VPN ein, Client auf die remoten Rechner und gut ist...
Zitat von @aqui:
Da heisst der Weg für dich doch ohne wenn und aber VPN !!! Obs nun das obige mit PPTP ist oder IPsec oder OpenVPN spielt
dabei keine Rolle !!
Da heisst der Weg für dich doch ohne wenn und aber VPN !!! Obs nun das obige mit PPTP ist oder IPsec oder OpenVPN spielt
dabei keine Rolle !!
Also diese Ansicht finde ich ja schon sehr interessant. Vorallem da mittlerweile jeder auch nur ansatzweise Sicherheitsbewusste Administrator seine Einwahlzugänge auf IPsec umgestellt haben dürfte. Ich antworte hierrauf auch wirklich nur weil ich es lustig finde wie versessen du hier in diesem Forum PPTP bewirbst. Egal wo man sonst liest geht die Richtung eher in "zur Not oder Finger weg". Meiner Meinung nach gint es einfach einige Punkte im PPTP Protokoll welche auch durch ein langes Passwort nicht aus der Welt sind. Um nicht haltlose Behauptungen aufzustellen möchte ich nur auf die fehlende Datenintegrität verweisen, sowie dass selbst Microsoft Entwickler mittlerweile zu IPsec raten. Deswegen finde ich es etwas gefährlich hier unbeholfeneren Usern den Eindruck zu vermitteln mit PPTP auf dem aktuellen Stand und sicher zu sein.
Bitte nicht böse auffassen, es fiel mir nur bereits mehrmals auf weshalb ich es mal Ansprechen wollte. Evtl. hab ich es auch nur falsch aufgefasst.
Zu deiner Frage, ich habe selbst ähnliche Konstellationen am laufen. Wenn du wirklich zuverlässigen und sicheren Zugang willst würde ich dir einen Lancom Router und einen VPN Client empfehlen.
Also Router sollte dir ein kleiner 1611+ reichen. Als VPN Client würde ich dir Shrew VPN Client empfehlen. Ist umsonst im Gegensatz zum Lancom Client welcher die selbe Funktion erfüllt. Damit solltest du einen IPsec VPN Zugang einrichten. Dieser ist dann wirklich sehr sicher.
moin
wenn du keine lust hast ports freizuschalten versuchs mal mit
1. logmein - https://secure.logmein.com/DE/home.aspx
oder
2. ms teamviewer - https://wa103.teamviewer.com/login.aspx?state=2
mit ultravnc - http://www.uvnc.com/
mit nem bisschen einlesen beide sehr einfach zu bedienen. mein favorit logmein.
by the way, an deiner stelle würde ich dein lappies mal mit sp3 versorgen
gruß dirk
wenn du keine lust hast ports freizuschalten versuchs mal mit
1. logmein - https://secure.logmein.com/DE/home.aspx
oder
2. ms teamviewer - https://wa103.teamviewer.com/login.aspx?state=2
mit ultravnc - http://www.uvnc.com/
mit nem bisschen einlesen beide sehr einfach zu bedienen. mein favorit logmein.
by the way, an deiner stelle würde ich dein lappies mal mit sp3 versorgen
gruß dirk
@k4p00d
Das interpretierst du dann aber falsch denn ich sehe IPsec dort auch eher vorne. Das vermeintlich trügerische Bild ruht eher daher das die meisten VPN Laien hier im Forum mit PPTP zu einem schnelleren Erfolgserlebnis kommen als mit IPsec....
Du hast aber keine vernünftige und logische Erklärung gebracht WARUM PPTP mit entsprechend langen Passwörtern unsicherer sein soll als IPsec. Auch Krypto Analysten sagen öffentlich das PPTP bei vernünftig gewählten Passwörtern (zufällige Buchstaben/Zahlenkombinationen) mit einer Mindestlänge von mindestens 16 Zeichen als sicher gelten.
Wohlgemerkt in der aktuellsten Protokollversion...das ist klar.
Das interpretierst du dann aber falsch denn ich sehe IPsec dort auch eher vorne. Das vermeintlich trügerische Bild ruht eher daher das die meisten VPN Laien hier im Forum mit PPTP zu einem schnelleren Erfolgserlebnis kommen als mit IPsec....
Du hast aber keine vernünftige und logische Erklärung gebracht WARUM PPTP mit entsprechend langen Passwörtern unsicherer sein soll als IPsec. Auch Krypto Analysten sagen öffentlich das PPTP bei vernünftig gewählten Passwörtern (zufällige Buchstaben/Zahlenkombinationen) mit einer Mindestlänge von mindestens 16 Zeichen als sicher gelten.
Wohlgemerkt in der aktuellsten Protokollversion...das ist klar.