vsdux
Goto Top

Wie kann ich das Sicherheitsrisiko bei Fernwartung verringern?

VNC, Windows Remote Desktop, usw.

Hallo erstmal,

ich hoffe ihr fangt jetzt nicht an zu schimpfen, aber über die Suche habe ich nichts richtiges gefunden.


Ich habe folgendes Problem bzw. Frage.

Wir suchen eine sichere Möglichkeit zur Fernwartung unserer Kunden.
Es gibt ja unmengen solchen Programmen, dass ist klar.
Seien es x verschiedene VNC Varianten, PC Anywhere, PCvisit oder der Remote Desktop ab Windows XP.

Nun ist die Frage ob es Open Source Programme gibt, die eine "Sichere Verbindung" für den Zugriff möglich machen.

Sei es über ein Zertifikat, das bei Verbindungsaufbau vom Server abgefragt wird oder ähnliches.

Die Lösung über eine einfache Passwortabfrage finde ich nicht wirklich sicher um eine Firma vor unbefugtem Zugriff zu schützen.
Mich beunruhigt auch der offene Port auf dem Router.

Und hierfür suche ich eine Lösung, sei es eine Verbindung VPN ähnlich oder sowas....

Über Hilfestellung oder Tipps wäre ich dankbar.


Gruss

VirtuSol

Content-ID: 39708

Url: https://administrator.de/forum/wie-kann-ich-das-sicherheitsrisiko-bei-fernwartung-verringern-39708.html

Ausgedruckt am: 28.12.2024 um 02:12 Uhr

11078
11078 08.09.2006 um 18:04:18 Uhr
Goto Top
Hallo,

UltraVNC kann die Übertragung zwischen dem zu wartendem Rechner und Deinem Rechner verschlüsseln (Data Stream Encryption):

http:// ultravnc.sourceforge.net/features/encryption.html

Und es kennt unterschiedliche Authentifizierungsverfahren, u.a. kann man erzwingen, dass man sich - wenn die VNC-Verbindung hergestellt ist - an dem zu wartenden Rechner mit einem existierenden lokalen Windows-Account anmelden muss:

http://ultravnc.sourceforge.net/features/authentication.html#mslogon1


Gruß,
Tim
VSdux
VSdux 08.09.2006 um 18:10:07 Uhr
Goto Top
Hallo Tim,

danke für die schnelle Antwort, die Möglichkeit mit der MS Logon Funktion kenne ich.

Vielleicht habe ich mich falsch ausgedrückt.

Mit der MS Logon Funktion wäre ja immernoch der entsprechende Port für jedermann offen...
Ich möchte erzielen, dass ich mich nur mit einer bestimmten Verbindung und dieser MS Logon Funktion anmelden kann.

Deshalb habe ich auch VPN eingeworfen...

Gruss
11078
11078 08.09.2006 um 18:30:14 Uhr
Goto Top
Hallo,

na ja, einen Port wirst Du immer öffnen müssen, auch für VPN-Verbindungen. Ich bin leider kein Netzwerkspezialist, aber Ports, die auf Verbindungen warten, sind nicht exklusiv - da könnte also immer auch jemand anderes als Du ran. Ob VPN-Verbindung oder nicht ist egal.

Aber wie groß sind die Risiken? Sagen wir mal, der VNC-Server lauscht auf einem Port auf Verbindungen. Wenn dann eine Verbindung auf dem Port zustande kommt, bietet der Server auf diesem Port seine Dienste an. Bei UltraVNC ist der Zugang zu den VNC-Diensten aber per Passwort geschützt. Das ist natürlich keine Versicherung gegen alles und im VNC-Server könnten ja Sicherheitslücken sein, die sich ausnutzen lassen.

Wie gesagt, ich bin kein Netzwerkspezi und vielleicht fehlt mir deshalb das Gefahrenbewusstsein auf dem Gebiet, aber: Bei UltraVNC kannst Du selbst angeben, welcher Port genutzt werden soll. Wenn Du schon mal nicht den Standardport verwendest, machst Du es jemandem, der danach sucht, schon mal nicht so einfach.

Um in das Ganze mit VPN mehr Sicherheit hineinzubringen, die über die reine Verschlüsselung der Datenübertragung hinausgeht, müsstest Du eine Möglichkeit finden, den "Fernwartungsdienst" (VPN oder was auch immer) nur Rechnern mit IPs zugänglich zu machen, die im selben IP-Adressbereich "stehen" wie der zu wartende Rechner. Das geht zumindest nicht mit vnc.


Keine Ahnung, sorry!

Hier ist übrigens eine Anleitung zu VPN, die auch Sicherheitsrisiken anspricht:
http://www.wintotal.de/Artikel/vpnxp/vpnxp.php
VSdux
VSdux 08.09.2006 um 18:41:02 Uhr
Goto Top
hehe, das ist mir schon alles klar... ;o)
Aber man kann das Risiko zumindest versuchen einzudämmen.

Nicht den Standardport benutzen ist logisch, denn wer sowas macht ist sehr nachlässig.

Generell dachte ich mir das so, dass man eine VPN Verbindung erstellt und dort eine Art Zertifikat abgefragt wird, damit nur Authorisierte PCs oder Benutzer die Verbindung aufbauen können. Wenn dann die Verbindung erstellt wurde, kann das entsprechende Fernwartungsprogramm, (wo dann ja keine Portfreigabe nötig ist, da man ja Benutzer des Netzwerks ist) ausführen kann.

Wenn ich es über eine solche Verbindung mache, ist es auf jedenfall um ein vielfaches Sicherer, als einen offenen Port zu haben, wo VNC ohne Probleme auf jede Anfrage antwortet, egal auf welchen Port.

Leider bin ich auf dem Gebiet auch noch nicht (mehr) ganz so fit, deshalb suche ich nach einer Lösung.

Danke für Deine Hilfe.
enforcer
enforcer 08.09.2006 um 19:05:25 Uhr
Goto Top
Das Problem ist nicht VNC, sondern der offene Port. Ihn zu tauschen bringt auch nichts, da ein PortScan einen offenen Port anzeigt. egal ob jetzt 5900 oder 14567.
Ein Zugriff über VNC sollte nur möglich sein, wenn der Angreifer das Passwort kennt oder dieses Hacken kann. Sollte er es hacken können, dann erlangt er aber auch Zugriff über den offenen Port.
Das nächste Problem sind emails, die Trojaner enthalten und geöffnet werden. Eine Möglichkeit wäre den Server über eine Firewall abzusichern. Damit ist das Risiko minimiert, dass jemand über den offenen Port reinkommt und nicht VNC nutzt. Alles andere kann gehackt werden.

Hier gehts um Möglichkeiten inkl. Verschlüsselung:
http://www.rrzn.uni-hannover.de/win_remadm.html

UltraVNC unterstützt 128Bit Verschlüsselung

Hier gibts OpenSource SSH:
http://www.openssh.com/

Aber all das schützt nur die Daten auf dem Weg vom Server zum Client. Der Port ist immer offen.
filippg
filippg 08.09.2006 um 22:15:40 Uhr
Goto Top
Hallo,

da hast du doch eigentlich schon eine ganz gute Lösungsskizze.
Du baust ein VPN zum Rechner des Kunden auf, danach kannst du dann an Fernwartungstools so ungefähr nutzen was du willst (vorausgesetzt das Netz des Kunden und das deinige sind als "freundlich" anzusehen). VPN-Software gibt's reichlich, und im Internet auch viele Anleitungen zu welcher mit Zertifikaten.
Ansonsten beschreibst du dein Szenario leider ziemlich ungenau. Wenn du ca 20 Server warten willst, die irgendwo beim Kunden stehen, dann ist das Vorgehen wie oben beschrieben empfehlenswert. Wenn du 250 Clientrechner an 100 verschiedenen Standorten warten willst, bei denen die Nutzer auch nicht wissen, wie sie ein VPN zu dir aufbauen sollen, dann sollte man sich etwas anderes überlegen.

Filipp
2P
2P 08.09.2006 um 22:47:44 Uhr
Goto Top
Hallo

Stichwort - "Portknocking".

Google mal ein wenig - bin schon zu müde um detailierter zu schreiben.
Findet sich aber eine Menge im Web.

bis dann ...