Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Hallo zusammen,
zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine Internetverbindung hat, ohne dass ich Zugriff auf den dortigen Router bekommen kann/will, an dem er hängt, nutze ich VNC umgekehrt:
Auf diesem fernen Rechner läuft zwar der VNC-Server, aber dieser initiiert auf einen Trigger hin eine Verbindung zum VNC-Viewer, der auf meinem PC bei Bedarf im Lausch-/listen-Modus läuft. Dafür brauche ich an meinem Fernwartungsstandort natürlich ein Portforwarding, aber das ist mir so lieber, weil ich das dann selbst unter Kontrolle habe.
Der VNC-Viewer im "listenmode" läuft auf dem PC am Fernwartungsstandort immer nur dann, wenn ich die Fernsteuerung brauche und den Trigger auf dem entfernten Rechner auslöse. Das Portforwarding läuft auch nicht unter Port 5900, sondern auf einem Port >50.000.
Meine Frage ist nun: Sollte ich das Portforwarding lieber jedesmal manuell in der Fritzbox einschalten, wenn ich die Fernsteuerung brauche oder ist diese Konstellation eher als "sicher" zu betrachten? Klar, ein offener Port ist ein offener Port, aber dahinter läuft ja nie ein VNC-Server, sondern nur der Viewer und das nur zeitweise. Wie groß ist das Risiko, gibt es überhaupt ein ernsthaftes?
Ich will halt nicht immer erst vor- und hinterher an der Fritzbox rumschalten müssen, zumal ich das auch vergessen könnte, abzuschalten.
Oder hat jemand eine Idee, was hier alternativ sinnvoll wäre? Ein VNC-Proxy oder -Repeater wäre ja theoretisch auch noch möglich, aber dafür habe ich leider keine Möglichkeiten.
Vielen Dank.
zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine Internetverbindung hat, ohne dass ich Zugriff auf den dortigen Router bekommen kann/will, an dem er hängt, nutze ich VNC umgekehrt:
Auf diesem fernen Rechner läuft zwar der VNC-Server, aber dieser initiiert auf einen Trigger hin eine Verbindung zum VNC-Viewer, der auf meinem PC bei Bedarf im Lausch-/listen-Modus läuft. Dafür brauche ich an meinem Fernwartungsstandort natürlich ein Portforwarding, aber das ist mir so lieber, weil ich das dann selbst unter Kontrolle habe.
Der VNC-Viewer im "listenmode" läuft auf dem PC am Fernwartungsstandort immer nur dann, wenn ich die Fernsteuerung brauche und den Trigger auf dem entfernten Rechner auslöse. Das Portforwarding läuft auch nicht unter Port 5900, sondern auf einem Port >50.000.
Meine Frage ist nun: Sollte ich das Portforwarding lieber jedesmal manuell in der Fritzbox einschalten, wenn ich die Fernsteuerung brauche oder ist diese Konstellation eher als "sicher" zu betrachten? Klar, ein offener Port ist ein offener Port, aber dahinter läuft ja nie ein VNC-Server, sondern nur der Viewer und das nur zeitweise. Wie groß ist das Risiko, gibt es überhaupt ein ernsthaftes?
Ich will halt nicht immer erst vor- und hinterher an der Fritzbox rumschalten müssen, zumal ich das auch vergessen könnte, abzuschalten.
Oder hat jemand eine Idee, was hier alternativ sinnvoll wäre? Ein VNC-Proxy oder -Repeater wäre ja theoretisch auch noch möglich, aber dafür habe ich leider keine Möglichkeiten.
Vielen Dank.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 361904
Url: https://administrator.de/forum/ist-ein-portforwarding-auf-einen-pc-ohne-lauschendes-programm-ein-grosses-sicherheitsproblem-361904.html
Ausgedruckt am: 23.12.2024 um 23:12 Uhr
13 Kommentare
Neuester Kommentar
Hi
zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine Internetverbindung hat, ohne dass ich Zugriff auf den dortigen Router bekommen kann/will, an dem er hängt, nutze ich VNC umgekehrt:
Auf diesem fernen Rechner läuft zwar der VNC-Server, aber dieser initiiert auf einen Trigger hin eine Verbindung zum VNC-Viewer, der auf meinem PC bei Bedarf im Lausch-/listen-Modus läuft. Dafür brauche ich an meinem Fernwartungsstandort natürlich ein Portforwarding, aber das ist mir so lieber, weil ich das dann selbst unter Kontrolle habe.
Das heißt, der Rechner am entfernten Standort versucht sich bei bedarf zu deinem Rechner hin zu verbinden. Wann macht er das und was ist das für ein Programm?
Portforwarding brauchst du eigentlich bei dir zu Hause oder wo auch immer dein Rechner steht. Denn der Server(technisch gesehen Client) versucht dich zu erreichen. Dabei braucht er einen Port der zu dir auf deinem Rechner weitergeleitet werden soll, außerdem wie willst du ein Portforwarding bei deinem entferntet Standort einrichten wenn du keinen Zugriff auf den Router hast?
Der VNC-Viewer im "listenmode" läuft auf dem PC am Fernwartungsstandort immer nur dann, wenn ich die Fernsteuerung brauche und den Trigger auf dem entfernten Rechner auslöse. Das Portforwarding läuft auch nicht unter Port 5900, sondern auf einem Port >50.000.
Wann ist das?
Der Port spielt keine Rolle, nmap oder vergleichbare Tools können alles scannen.
Meine Frage ist nun: Sollte ich das Portforwarding lieber jedesmal manuell in der Fritzbox einschalten, wenn ich die Fernsteuerung brauche oder ist diese Konstellation eher als "sicher" zu betrachten? Klar, ein offener Port ist ein offener Port, aber dahinter läuft ja nie ein VNC-Server, sondern nur der Viewer und das nur zeitweise. Wie groß ist das Risiko, gibt es überhaupt ein ernsthaftes?
Genau ein offener Port ist ein offener Port, damit hast du ein Sicherheitsrisiko. Wenn die VNC-Software eine Sicherheitslücke hat, kann man das natürlich ausnutzen. Abgesehen davon, wenn der vnc Traffic nicht verschlüsselt übertragen wird, dann könnte ihn theoretisch jeder mitlesen.
Ich will halt nicht immer erst vor- und hinterher an der Fritzbox rumschalten müssen, zumal ich das auch vergessen könnte, abzuschalten.
Oder hat jemand eine Idee, was hier alternativ sinnvoll wäre? Ein VNC-Proxy oder -Repeater wäre ja theoretisch auch noch möglich, aber dafür habe ich leider keine Möglichkeiten.
VPN nutzen. Oder eine Vm oder eine kleine Kiste aufsetzten die auf den Port lauscht.
Du könntest einen VPN-Client auf dem entfernten Rechner aufsetzen z.B. open VPN , der dann versucht zu dir nach Hause auf einen VPN-Server zu verbinden. Idealerweise nicht dein Rechner.
Vielen Dank.
LG
Hallo,
Du machst eine Fernwartung und vergisst das?
Gruß,
Peter
Du machst eine Fernwartung und vergisst das?
Oder hat jemand eine Idee, was hier alternativ sinnvoll wäre?
Der Client baut immer zu dir eine VPN Verbindung auf und gut ist.Gruß,
Peter
Was aber auch ggf. Zugriff auf den Router erfordert - und Änderungen der Firewall. Also ggf nicht möglich..
Und nein - ein Port-Forwarding an sich ist erst mal kein Risiko bei dir zuhause. Solange am Port nix hört kann da auch nix passieren. Ähnlich wie deine Haustür: Das du einen Weg von der Strasse zu deinem Haus hast ist erst mal kein Problem. Stellen wir uns vor der Maurer wäre besoffen gewesen als der das Haus gebaut hat - und hat Türen + Fenster vergessen (deine geschlossenen Ports). Dann wäre es kein Problem wenn nen Einbrecher kommt - er steht eben vor dem Betonklotz...
Nachteil ist aber natürlich das dein PC WENN du die Session grade offen hast eben da was hat - und du nicht weisst ob es da in der VNC-Software lücken gibt. Ein weiterer Nachteil wäre das man natürlich auch eine eigene SW bauen kann die an dem Port hört - allerdings wäre das schon ein recht speziell angepasster Angriff (normal würde ein Viren-Entwickler wohl vorher versuchen deinen Router per UPNP beizukommen ;) ).
Ich würde allerdings andere Lösungen überlegen - z.B. TeamViewer (kommerziell, mit Host). Denn was machst du wenn du den Rechner übernehmen willst aber auf der anderen Seite grad keiner da ist der die Verbindung aufbauen kann? Anmachen könnte man den kurz vor Feierabend ja noch, aber dann geht man nach Hause und du sitzt da mit deinem Port-Forwarding...
Und nein - ein Port-Forwarding an sich ist erst mal kein Risiko bei dir zuhause. Solange am Port nix hört kann da auch nix passieren. Ähnlich wie deine Haustür: Das du einen Weg von der Strasse zu deinem Haus hast ist erst mal kein Problem. Stellen wir uns vor der Maurer wäre besoffen gewesen als der das Haus gebaut hat - und hat Türen + Fenster vergessen (deine geschlossenen Ports). Dann wäre es kein Problem wenn nen Einbrecher kommt - er steht eben vor dem Betonklotz...
Nachteil ist aber natürlich das dein PC WENN du die Session grade offen hast eben da was hat - und du nicht weisst ob es da in der VNC-Software lücken gibt. Ein weiterer Nachteil wäre das man natürlich auch eine eigene SW bauen kann die an dem Port hört - allerdings wäre das schon ein recht speziell angepasster Angriff (normal würde ein Viren-Entwickler wohl vorher versuchen deinen Router per UPNP beizukommen ;) ).
Ich würde allerdings andere Lösungen überlegen - z.B. TeamViewer (kommerziell, mit Host). Denn was machst du wenn du den Rechner übernehmen willst aber auf der anderen Seite grad keiner da ist der die Verbindung aufbauen kann? Anmachen könnte man den kurz vor Feierabend ja noch, aber dann geht man nach Hause und du sitzt da mit deinem Port-Forwarding...
Ji,
Ich sehe es wie @maretz .Wenn nichts da ist, was die Verbindung annimmt, dann kann da auch nichts passieren.
Allerdings muss man schauen, ob ein Windows PC, an welchem in der lokalen Firewall dieser Eingangs-Port offen ist und kein Programm dafür einen Listener angemeldet hat, dann tatsächlich die Klappe hält und alle Pakete verwirft.
E.
Ich sehe es wie @maretz .Wenn nichts da ist, was die Verbindung annimmt, dann kann da auch nichts passieren.
Allerdings muss man schauen, ob ein Windows PC, an welchem in der lokalen Firewall dieser Eingangs-Port offen ist und kein Programm dafür einen Listener angemeldet hat, dann tatsächlich die Klappe hält und alle Pakete verwirft.
E.
Wen der TO schon eine FB besutzt stellt sich doch die generelle Frage warum er nicht so intelligent ist und ein VPN benutzt ?
Damit würde sich die gesamte o.a. Fragestellung auf einen Schlag erübrigen denn der TO könnte damit auf das sicherheitsproblematische PFW komplett verzichten !
Zudem wären die Daten auch noch verschlüsselt.
Damit würde sich die gesamte o.a. Fragestellung auf einen Schlag erübrigen denn der TO könnte damit auf das sicherheitsproblematische PFW komplett verzichten !
Zudem wären die Daten auch noch verschlüsselt.
Zitat von @brammer:
nach meiner Meinung ist hier VPN Pflicht...
Da lauscht ein offener Port und nimmt Pakete an... wenn das ein infiziertes Paket ist dann ist der Rechner kompromittiert.
Aus Prinzip allein bringt VPN da erstmal gar nichts. Wer das glaubt, wischt Augen. Auch ein VPN bedeutet, dass da ein Listener läuft. Jacke wie Hose.nach meiner Meinung ist hier VPN Pflicht...
Da lauscht ein offener Port und nimmt Pakete an... wenn das ein infiziertes Paket ist dann ist der Rechner kompromittiert.
Ein Vorteil, den das haben kann, wäre vielleicht, dass da noch andere und/oder ggf. bessere Autentifizierungsmechanismen zur Verfügung stehen.
Verschlüsseln können VNC-Lösungen mitlerweile auch selbst.