Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie kann ich das Sicherheitsrisiko bei Fernwartung verringern?

Frage Netzwerke Netzwerkmanagement

Mitglied: VSdux

VSdux (Level 1) - Jetzt verbinden

08.09.2006, aktualisiert 22:47 Uhr, 8055 Aufrufe, 7 Kommentare

VNC, Windows Remote Desktop, usw.

Hallo erstmal,

ich hoffe ihr fangt jetzt nicht an zu schimpfen, aber über die Suche habe ich nichts richtiges gefunden.


Ich habe folgendes Problem bzw. Frage.

Wir suchen eine sichere Möglichkeit zur Fernwartung unserer Kunden.
Es gibt ja unmengen solchen Programmen, dass ist klar.
Seien es x verschiedene VNC Varianten, PC Anywhere, PCvisit oder der Remote Desktop ab Windows XP.

Nun ist die Frage ob es Open Source Programme gibt, die eine "Sichere Verbindung" für den Zugriff möglich machen.

Sei es über ein Zertifikat, das bei Verbindungsaufbau vom Server abgefragt wird oder ähnliches.

Die Lösung über eine einfache Passwortabfrage finde ich nicht wirklich sicher um eine Firma vor unbefugtem Zugriff zu schützen.
Mich beunruhigt auch der offene Port auf dem Router.

Und hierfür suche ich eine Lösung, sei es eine Verbindung VPN ähnlich oder sowas....

Über Hilfestellung oder Tipps wäre ich dankbar.


Gruss

VirtuSol
Mitglied: 11078
08.09.2006 um 18:04 Uhr
Hallo,

UltraVNC kann die Übertragung zwischen dem zu wartendem Rechner und Deinem Rechner verschlüsseln (Data Stream Encryption):

http:// ultravnc.sourceforge.net/features/encryption.html

Und es kennt unterschiedliche Authentifizierungsverfahren, u.a. kann man erzwingen, dass man sich - wenn die VNC-Verbindung hergestellt ist - an dem zu wartenden Rechner mit einem existierenden lokalen Windows-Account anmelden muss:

http://ultravnc.sourceforge.net/features/authentication.html#mslogon1





Gruß,
Tim
Bitte warten ..
Mitglied: VSdux
08.09.2006 um 18:10 Uhr
Hallo Tim,

danke für die schnelle Antwort, die Möglichkeit mit der MS Logon Funktion kenne ich.

Vielleicht habe ich mich falsch ausgedrückt.

Mit der MS Logon Funktion wäre ja immernoch der entsprechende Port für jedermann offen...
Ich möchte erzielen, dass ich mich nur mit einer bestimmten Verbindung und dieser MS Logon Funktion anmelden kann.

Deshalb habe ich auch VPN eingeworfen...

Gruss
Bitte warten ..
Mitglied: 11078
08.09.2006 um 18:30 Uhr
Hallo,

na ja, einen Port wirst Du immer öffnen müssen, auch für VPN-Verbindungen. Ich bin leider kein Netzwerkspezialist, aber Ports, die auf Verbindungen warten, sind nicht exklusiv - da könnte also immer auch jemand anderes als Du ran. Ob VPN-Verbindung oder nicht ist egal.

Aber wie groß sind die Risiken? Sagen wir mal, der VNC-Server lauscht auf einem Port auf Verbindungen. Wenn dann eine Verbindung auf dem Port zustande kommt, bietet der Server auf diesem Port seine Dienste an. Bei UltraVNC ist der Zugang zu den VNC-Diensten aber per Passwort geschützt. Das ist natürlich keine Versicherung gegen alles und im VNC-Server könnten ja Sicherheitslücken sein, die sich ausnutzen lassen.

Wie gesagt, ich bin kein Netzwerkspezi und vielleicht fehlt mir deshalb das Gefahrenbewusstsein auf dem Gebiet, aber: Bei UltraVNC kannst Du selbst angeben, welcher Port genutzt werden soll. Wenn Du schon mal nicht den Standardport verwendest, machst Du es jemandem, der danach sucht, schon mal nicht so einfach.

Um in das Ganze mit VPN mehr Sicherheit hineinzubringen, die über die reine Verschlüsselung der Datenübertragung hinausgeht, müsstest Du eine Möglichkeit finden, den "Fernwartungsdienst" (VPN oder was auch immer) nur Rechnern mit IPs zugänglich zu machen, die im selben IP-Adressbereich "stehen" wie der zu wartende Rechner. Das geht zumindest nicht mit vnc.



Keine Ahnung, sorry!

Hier ist übrigens eine Anleitung zu VPN, die auch Sicherheitsrisiken anspricht:
http://www.wintotal.de/Artikel/vpnxp/vpnxp.php
Bitte warten ..
Mitglied: VSdux
08.09.2006 um 18:41 Uhr
hehe, das ist mir schon alles klar... ;o)
Aber man kann das Risiko zumindest versuchen einzudämmen.

Nicht den Standardport benutzen ist logisch, denn wer sowas macht ist sehr nachlässig.

Generell dachte ich mir das so, dass man eine VPN Verbindung erstellt und dort eine Art Zertifikat abgefragt wird, damit nur Authorisierte PCs oder Benutzer die Verbindung aufbauen können. Wenn dann die Verbindung erstellt wurde, kann das entsprechende Fernwartungsprogramm, (wo dann ja keine Portfreigabe nötig ist, da man ja Benutzer des Netzwerks ist) ausführen kann.

Wenn ich es über eine solche Verbindung mache, ist es auf jedenfall um ein vielfaches Sicherer, als einen offenen Port zu haben, wo VNC ohne Probleme auf jede Anfrage antwortet, egal auf welchen Port.

Leider bin ich auf dem Gebiet auch noch nicht (mehr) ganz so fit, deshalb suche ich nach einer Lösung.

Danke für Deine Hilfe.
Bitte warten ..
Mitglied: enforcer
08.09.2006 um 19:05 Uhr
Das Problem ist nicht VNC, sondern der offene Port. Ihn zu tauschen bringt auch nichts, da ein PortScan einen offenen Port anzeigt. egal ob jetzt 5900 oder 14567.
Ein Zugriff über VNC sollte nur möglich sein, wenn der Angreifer das Passwort kennt oder dieses Hacken kann. Sollte er es hacken können, dann erlangt er aber auch Zugriff über den offenen Port.
Das nächste Problem sind emails, die Trojaner enthalten und geöffnet werden. Eine Möglichkeit wäre den Server über eine Firewall abzusichern. Damit ist das Risiko minimiert, dass jemand über den offenen Port reinkommt und nicht VNC nutzt. Alles andere kann gehackt werden.

Hier gehts um Möglichkeiten inkl. Verschlüsselung:
http://www.rrzn.uni-hannover.de/win_remadm.html

UltraVNC unterstützt 128Bit Verschlüsselung

Hier gibts OpenSource SSH:
http://www.openssh.com/

Aber all das schützt nur die Daten auf dem Weg vom Server zum Client. Der Port ist immer offen.
Bitte warten ..
Mitglied: filippg
08.09.2006 um 22:15 Uhr
Hallo,

da hast du doch eigentlich schon eine ganz gute Lösungsskizze.
Du baust ein VPN zum Rechner des Kunden auf, danach kannst du dann an Fernwartungstools so ungefähr nutzen was du willst (vorausgesetzt das Netz des Kunden und das deinige sind als "freundlich" anzusehen). VPN-Software gibt's reichlich, und im Internet auch viele Anleitungen zu welcher mit Zertifikaten.
Ansonsten beschreibst du dein Szenario leider ziemlich ungenau. Wenn du ca 20 Server warten willst, die irgendwo beim Kunden stehen, dann ist das Vorgehen wie oben beschrieben empfehlenswert. Wenn du 250 Clientrechner an 100 verschiedenen Standorten warten willst, bei denen die Nutzer auch nicht wissen, wie sie ein VPN zu dir aufbauen sollen, dann sollte man sich etwas anderes überlegen.

Filipp
Bitte warten ..
Mitglied: 2P
08.09.2006 um 22:47 Uhr
Hallo

Stichwort - "Portknocking".

Google mal ein wenig - bin schon zu müde um detailierter zu schreiben.
Findet sich aber eine Menge im Web.

bis dann ...
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Netzwerke
gelöst Verbindungsabbrüche per Fernwartung aber nicht intern (6)

Frage von Diskilla zum Thema Netzwerke ...

Tipps & Tricks
gelöst Sicherheitsrisiko Teamviewer (10)

Frage von Philipp711 zum Thema Tipps & Tricks ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...