pluwim
Goto Top

Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?

Hallo zusammen,

zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine Internetverbindung hat, ohne dass ich Zugriff auf den dortigen Router bekommen kann/will, an dem er hängt, nutze ich VNC umgekehrt:

Auf diesem fernen Rechner läuft zwar der VNC-Server, aber dieser initiiert auf einen Trigger hin eine Verbindung zum VNC-Viewer, der auf meinem PC bei Bedarf im Lausch-/listen-Modus läuft. Dafür brauche ich an meinem Fernwartungsstandort natürlich ein Portforwarding, aber das ist mir so lieber, weil ich das dann selbst unter Kontrolle habe.

Der VNC-Viewer im "listenmode" läuft auf dem PC am Fernwartungsstandort immer nur dann, wenn ich die Fernsteuerung brauche und den Trigger auf dem entfernten Rechner auslöse. Das Portforwarding läuft auch nicht unter Port 5900, sondern auf einem Port >50.000.

Meine Frage ist nun: Sollte ich das Portforwarding lieber jedesmal manuell in der Fritzbox einschalten, wenn ich die Fernsteuerung brauche oder ist diese Konstellation eher als "sicher" zu betrachten? Klar, ein offener Port ist ein offener Port, aber dahinter läuft ja nie ein VNC-Server, sondern nur der Viewer und das nur zeitweise. Wie groß ist das Risiko, gibt es überhaupt ein ernsthaftes?

Ich will halt nicht immer erst vor- und hinterher an der Fritzbox rumschalten müssen, zumal ich das auch vergessen könnte, abzuschalten.

Oder hat jemand eine Idee, was hier alternativ sinnvoll wäre? Ein VNC-Proxy oder -Repeater wäre ja theoretisch auch noch möglich, aber dafür habe ich leider keine Möglichkeiten.

Vielen Dank.

Content-ID: 361904

Url: https://administrator.de/forum/ist-ein-portforwarding-auf-einen-pc-ohne-lauschendes-programm-ein-grosses-sicherheitsproblem-361904.html

Ausgedruckt am: 23.12.2024 um 23:12 Uhr

canlot
canlot 22.01.2018 aktualisiert um 00:28:10 Uhr
Goto Top
Zitat von @Pluwim:

Hallo zusammen,

Hi

zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine Internetverbindung hat, ohne dass ich Zugriff auf den dortigen Router bekommen kann/will, an dem er hängt, nutze ich VNC umgekehrt:

Okay

Auf diesem fernen Rechner läuft zwar der VNC-Server, aber dieser initiiert auf einen Trigger hin eine Verbindung zum VNC-Viewer, der auf meinem PC bei Bedarf im Lausch-/listen-Modus läuft. Dafür brauche ich an meinem Fernwartungsstandort natürlich ein Portforwarding, aber das ist mir so lieber, weil ich das dann selbst unter Kontrolle habe.

Das heißt, der Rechner am entfernten Standort versucht sich bei bedarf zu deinem Rechner hin zu verbinden. Wann macht er das und was ist das für ein Programm?
Portforwarding brauchst du eigentlich bei dir zu Hause oder wo auch immer dein Rechner steht. Denn der Server(technisch gesehen Client) versucht dich zu erreichen. Dabei braucht er einen Port der zu dir auf deinem Rechner weitergeleitet werden soll, außerdem wie willst du ein Portforwarding bei deinem entferntet Standort einrichten wenn du keinen Zugriff auf den Router hast?

Der VNC-Viewer im "listenmode" läuft auf dem PC am Fernwartungsstandort immer nur dann, wenn ich die Fernsteuerung brauche und den Trigger auf dem entfernten Rechner auslöse. Das Portforwarding läuft auch nicht unter Port 5900, sondern auf einem Port >50.000.

Wann ist das?
Der Port spielt keine Rolle, nmap oder vergleichbare Tools können alles scannen.

Meine Frage ist nun: Sollte ich das Portforwarding lieber jedesmal manuell in der Fritzbox einschalten, wenn ich die Fernsteuerung brauche oder ist diese Konstellation eher als "sicher" zu betrachten? Klar, ein offener Port ist ein offener Port, aber dahinter läuft ja nie ein VNC-Server, sondern nur der Viewer und das nur zeitweise. Wie groß ist das Risiko, gibt es überhaupt ein ernsthaftes?

Genau ein offener Port ist ein offener Port, damit hast du ein Sicherheitsrisiko. Wenn die VNC-Software eine Sicherheitslücke hat, kann man das natürlich ausnutzen. Abgesehen davon, wenn der vnc Traffic nicht verschlüsselt übertragen wird, dann könnte ihn theoretisch jeder mitlesen.

Ich will halt nicht immer erst vor- und hinterher an der Fritzbox rumschalten müssen, zumal ich das auch vergessen könnte, abzuschalten.

Oder hat jemand eine Idee, was hier alternativ sinnvoll wäre? Ein VNC-Proxy oder -Repeater wäre ja theoretisch auch noch möglich, aber dafür habe ich leider keine Möglichkeiten.

VPN nutzen. Oder eine Vm oder eine kleine Kiste aufsetzten die auf den Port lauscht.
Du könntest einen VPN-Client auf dem entfernten Rechner aufsetzen z.B. open VPN , der dann versucht zu dir nach Hause auf einen VPN-Server zu verbinden. Idealerweise nicht dein Rechner.

Vielen Dank.

LG
Pjordorf
Pjordorf 22.01.2018 aktualisiert um 07:22:04 Uhr
Goto Top
Hallo,

Zitat von @Pluwim:
zumal ich das auch vergessen könnte, abzuschalten.
Du machst eine Fernwartung und vergisst das?

Oder hat jemand eine Idee, was hier alternativ sinnvoll wäre?
Der Client baut immer zu dir eine VPN Verbindung auf und gut ist.

Gruß,
Peter
maretz
maretz 22.01.2018 um 06:04:29 Uhr
Goto Top
Was aber auch ggf. Zugriff auf den Router erfordert - und Änderungen der Firewall. Also ggf nicht möglich..

Und nein - ein Port-Forwarding an sich ist erst mal kein Risiko bei dir zuhause. Solange am Port nix hört kann da auch nix passieren. Ähnlich wie deine Haustür: Das du einen Weg von der Strasse zu deinem Haus hast ist erst mal kein Problem. Stellen wir uns vor der Maurer wäre besoffen gewesen als der das Haus gebaut hat - und hat Türen + Fenster vergessen (deine geschlossenen Ports). Dann wäre es kein Problem wenn nen Einbrecher kommt - er steht eben vor dem Betonklotz...

Nachteil ist aber natürlich das dein PC WENN du die Session grade offen hast eben da was hat - und du nicht weisst ob es da in der VNC-Software lücken gibt. Ein weiterer Nachteil wäre das man natürlich auch eine eigene SW bauen kann die an dem Port hört - allerdings wäre das schon ein recht speziell angepasster Angriff (normal würde ein Viren-Entwickler wohl vorher versuchen deinen Router per UPNP beizukommen ;) ).

Ich würde allerdings andere Lösungen überlegen - z.B. TeamViewer (kommerziell, mit Host). Denn was machst du wenn du den Rechner übernehmen willst aber auf der anderen Seite grad keiner da ist der die Verbindung aufbauen kann? Anmachen könnte man den kurz vor Feierabend ja noch, aber dann geht man nach Hause und du sitzt da mit deinem Port-Forwarding...
Lochkartenstanzer
Lochkartenstanzer 22.01.2018 um 06:17:38 Uhr
Goto Top
Moin,

Ein offener Port, egal welcher, ist immer ein Problem! Wie immer muß man eine Gewinn/Verlust-Reschnung mit Risikoabschätzing machen, um festzustellen, ob sich das "rentiert".

Sofern die Möglichkeit besteht, solltest Du prüfen, ob Du ein VPN nutzen kannst.

lks
emeriks
emeriks 22.01.2018 um 08:18:29 Uhr
Goto Top
Ji,
Ich sehe es wie @maretz .Wenn nichts da ist, was die Verbindung annimmt, dann kann da auch nichts passieren.
Allerdings muss man schauen, ob ein Windows PC, an welchem in der lokalen Firewall dieser Eingangs-Port offen ist und kein Programm dafür einen Listener angemeldet hat, dann tatsächlich die Klappe hält und alle Pakete verwirft.

E.
brammer
brammer 22.01.2018 um 09:40:06 Uhr
Goto Top
Hallo,

nach meiner Meinung ist hier VPN Pflicht...
Da lauscht ein offener Port und nimmt Pakete an... wenn das ein infiziertes Paket ist dann ist der Rechner kompromittiert.

Alles andere ist fahrlässig.

brammer
Lochkartenstanzer
Lochkartenstanzer 22.01.2018 aktualisiert um 10:00:01 Uhr
Goto Top
Zitat von @emeriks:

Ji,
Ich sehe es wie @maretz .Wenn nichts da ist, was die Verbindung annimmt, dann kann da auch nichts passieren.

Aber sobald sein "Client" läuft, ist er kompromittierbar.

lks
maretz
maretz 22.01.2018 um 10:05:03 Uhr
Goto Top
Das ist korrekt - das habe ich auch nie anders behauptet. Die Frage war ob ein Port-Forwarding riskant ist wenn da kein Dienst auf dem Port hört - und da ist es eben kein Problem. Es muss dann derjenige der das Forwarding einrichtet dafür sorgen das da eben wirklich nix drauf läuft.
aqui
aqui 22.01.2018 um 12:24:33 Uhr
Goto Top
Wen der TO schon eine FB besutzt stellt sich doch die generelle Frage warum er nicht so intelligent ist und ein VPN benutzt ?
Damit würde sich die gesamte o.a. Fragestellung auf einen Schlag erübrigen denn der TO könnte damit auf das sicherheitsproblematische PFW komplett verzichten !
Zudem wären die Daten auch noch verschlüsselt.
emeriks
emeriks 22.01.2018 um 13:46:33 Uhr
Goto Top
Zitat von @brammer:
nach meiner Meinung ist hier VPN Pflicht...
Da lauscht ein offener Port und nimmt Pakete an... wenn das ein infiziertes Paket ist dann ist der Rechner kompromittiert.
Aus Prinzip allein bringt VPN da erstmal gar nichts. Wer das glaubt, wischt Augen. Auch ein VPN bedeutet, dass da ein Listener läuft. Jacke wie Hose.
Ein Vorteil, den das haben kann, wäre vielleicht, dass da noch andere und/oder ggf. bessere Autentifizierungsmechanismen zur Verfügung stehen.
Verschlüsseln können VNC-Lösungen mitlerweile auch selbst.
Pluwim
Pluwim 22.01.2018 um 15:23:45 Uhr
Goto Top
Vielen Dank allerseits.

Zu den Fragen:
  • Der remote Rechner kann über eine Drittsoftware zum VNC-Start angetriggert werden (außerdem sucht er über die Aufgabenplanung regelmäßig auf einem Webserver nach einer Datei, um ggfls. VNC manuell zu starten), mit der er von innen heraus immer verbunden ist.
  • VNC ist verschlüsselt.
  • Wenn ich mal ne Stunde auf der remote Kiste war oder zwischendurch abgelenkt werde, kann es schon sein, dass ich vergesse, danach den Port zu schließen. Daher ja meine eigentliche Frage nach dem Gefahrenpotenzial. Außerdem ist diese ständige Handarbeit einfach lästig.

Also, ich fasse zusammen:
  • Ein offener Port ohne irgendeinen Listener auf dem PC ist unproblematisch.
  • Ob Windows nicht doch "listened", weiß man aber nicht.
  • Wenn der VNC-Viewer im listenmode läuft, könnte er bei einem Bug theoretisch angreifbar sein.
  • VPN würde zwar die Verbindung verschlüsseln, aber auch da muss jemand in der Fritzbox lauschen.

Man liest viel über offene VNC-Server, aber das hier ist ja der VNC-Client, der Viewer, den man ggfls. per Portscan finden kann, wenn ich ihn gerade laufen habe. Aber natürlich kann der auch angreifbar sein.

Wenn ich das richtig sehe, müsste ich auf der remote Windows-Kiste einen VPN-Client installieren, der zu meiner Fritzbox einen Tunnel aufbaut (da ich ja keinen Zugriff auf evtl. Fritzboxen am remote-Standort habe) und dort den Traffic von VNC zu mir tunnelt. Das klingt kompliziert... von Handy zu Fritzbox nutz ich das, aber von Windows aus zu Fritzbox noch nie gemacht.

Vielleicht greif ich doch auf AnyDesk zurück, obwohl ich halt am liebsten unabhängig von Drittanbietern sein wollte. Andererseits, es ist kein kommerzielles Projekt, da wäre das schön einfach und legal kostenlos nutzbar. Eigentlich wollte ich das nur für den Notfall einrichten. Und man weiß ja nie, ob man diesen Systemen 100% vertrauen sollte, da man hier in diesem Fall nicht mitbekäme, was da so zwischendurch auf der remote Kiste passiert.
Pluwim
Pluwim 22.01.2018 um 15:36:10 Uhr
Goto Top
Ich habe noch etwas vergessen zu erwähnen: Mit VNC kann ich einstellen, dass auf dem remote Rechner während der Fernwartung ein schwarzer Bildschirm angezeigt wird, obwohl ich den Bildschirminhalt per VNC aus der Ferne normal sehen kann. Mit Teamviewer und AnyDesk geht das wohl nicht.
Lochkartenstanzer
Lochkartenstanzer 22.01.2018 um 15:41:31 Uhr
Goto Top
Zitat von @Pluwim:

Aber natürlich kann der auch angreifbar sein.

Die meisten sind angreifbar!

lks