Ich hab ein riesiges Problem mit einem Typ der sich hinter IP Adressen versteckt =(
Ich hab schon seit fast einem Jahr einen Homeserver für FTP usw. am laufen (nicht immer)
Zum administrieren hab ich realVNC funktionierte sehr gut bis ich bemerkte das nicht nur ich auf dem PC war sondern ein 2. der immer wieder versucht hat cmd auszuführen. Dann war auch ein paar Monate Schluss bis ich einen neuen PC als Server konfigurierte und er wieder ein 14stelliges Passwort knackte
zufällig war ich dabei und hab ein Screen shot gemacht und das hat er bei Ausführen eingegeben:
-i 84.205.1xx.xx GET tray.exe
Weiß jemand was das ist bzw. was er da machen wollte?
oder ob ich über IP Adresse und Uhrzeit denjenigen ermitteln kann?
oder ob ich über IP Adresse und Uhrzeit denjenigen ermitteln
kann?
Nur die Staatsanwaltschaft, falls sie schnell genug ist und das Verfahren nicht einstellt.
Nützt dir aber nix, wenn er über einen Proxy oder ähnliches kam.
Ich hab ein riesiges Problem mit einem Typ der sich hinter IP
Adressen versteckt =(
Ich hab schon seit fast einem Jahr einen Homeserver für FTP
usw. am laufen (nicht immer)
Zum administrieren hab ich realVNC funktionierte sehr gut bis
ich bemerkte das nicht nur ich auf dem PC war sondern ein 2.
der immer wieder versucht hat cmd auszuführen. Dann war auch
ein paar Monate Schluss bis ich einen neuen PC als Server
konfigurierte und er wieder ein 14stelliges Passwort knackte
zufällig war ich dabei und hab ein Screen shot gemacht und das
hat er bei Ausführen eingegeben:
-i 84.205.1xx.xx GET tray.exe
Weiß jemand was das ist bzw. was er da machen wollte?
konfigurierte und er wieder ein 14stelliges Passwort knackte
ich würde viel eher darauf tippen, dass Du eine verwundbare Version des VNC verwendest. Oder hast Du derart interessante Daten auf Deinem Server, dass sich der Aufwand lohnen würde ein 14-stelliges Passwort zu „knacken“?
mal für die Zukunft: VNC einfach nicht direkt von außen erreichbar machen, sondern immer schön brav eine VPN-Verbindung aufbauen, und erst in der dann VNC starten. VNC wird ständig angegriffen, und wenn Du mal ins Log schaust, wie oft jemand es schon versucht haben dürfte, bis er damit Erfolg gehabt hat, dann wird Dir schlecht. Das ist so, als ob Du ständig damit beschäftigt wärst Einbrecher von der Haustür zu verscheuchen.
VNC einfach nicht direkt von außen
erreichbar machen, sondern immer schön brav eine
VPN-Verbindung aufbauen,
Oder - vieleicht ein bischen einfacher - VNC auf einen anderen Port umstellen. All die Typen, die gerne Rechner via VNC übernehmen wollen, halten sich ja nicht nicht mit umfassenden Portscans einzelner IP-Adressen auf, sondern scannen ja nur großflächig auf Antwort auf Port 4900.
Mein FTP-Server hängt mit einem hohen Port jetzt seit über einem halben Jahr im Netz - kein einziger Angriff bisher.
Mein FTP-Server hängt mit einem hohen Port jetzt seit über
einem halben Jahr im Netz - kein einziger Angriff bisher.
Tunneln via SSH kostet nichts. Wieso also eine halbausgegorene Notlösung wählen, und den Dienst lediglich an einem anderen Port betreiben, wenn man ihn (z.B. auch zusätzlich) über SSH absichern kann?
Tunneln via SSH kostet nichts. Wieso also eine halbausgegorene
Notlösung wählen, und den Dienst lediglich an einem anderen
Port betreiben, wenn man ihn (z.B. auch zusätzlich) über SSH
absichern kann?
Gibt’s da irgendwo ne übersichtliche seite zu?
Ich wüsste jetzt nicht, wie man das einrichtet oder bedient . . .
Ich wüsste jetzt nicht, wie man das einrichtet oder bedient .
Ist eigentlich ganz einfach. Einen SSH-Server installieren, falls nicht schon vorhanden. Den VNC-Server so einstellen, dass er nur Verbindungen von lokal akzeptiert.
Auf dem Client-Rechner benötigt man zusätzlich zum VNC-Client auch noch einen SSH-Client (für Windows z.B. Putty.
Mit dem SSH-Client eine Verbindung zum Server aufbauen, dabei die Portweiterleitung für den VNC-Port konfigurieren. In Putty geht das in den Einstellungen unter Connection - SSH - Tunnels. Source Port 5900, Destination 127.0.0.1:5900 eintragen.
Sobald die SSH-Verbindung aufgebaut ist, den VNC-Client starten und als Zielrechner 127.0.0.1 eingeben.
Tunneln via SSH kostet nichts. Wieso also eine halbausgegorene
Notlösung wählen, und den Dienst lediglich an einem anderen
Port betreiben, wenn man ihn (z.B. auch zusätzlich) über SSH
absichern kann?
Und warum dann nicht gleich VPN einsetzen? Der Konfigurationsaufwand dürfte bei passenden Komponenten auch nicht höher sein. Dafür ist die Sache dann clientseitig bei Windows mit Bordmitteln machbar, und sauber direkt in die Netzwerk-Umgebung eingebunden und damit universell nutzbar.
Kann man auch machen, IMO ist SSH einfacher aufzusetzen, aber das ist wohl Geschmackssache, da meine Clients auch nicht unter Windows laufen und SSH ohnehin schon auf Server und Clients installiert ist.
Aber egal ob VPN oder SSH-Tunellel: In jedem Fall ist der Aufwand minimal und die Sicherheit um ein vielfaches höher, als wenn man einfach nur den Port wechselt und hofft, dass keiner drauf kommt.
Nach all dem denke ich doch das eine VPN Verbindung besser
ist.
Also wenn die beteiligten Systeme mitspielen auf jeden Fall. Und dazu gibt es auch genug howto im Internet. Auf dem Server die Einwahl über die Einrichtung einer erweiterten Verbindung aktivieren, TCP 1723 und UDP 500 im Router auf den Server weiterleiten und die Weiterleitung für VNC löschen. Dann nur noch auf dem Client eine VPN-Verbindung einrichten, und gut ist.
Zum Betrieb einfach nach Herstellen der Internetverbindung auf dem Client die VPN-Verbindung starten und dann VNC auf die lokale Adresse des Server-PC. Gleichzeitig kannst Du aber mit dem Server-PC jetzt vollkommen so arbeiten, als ob beide im lokalen Netz nebeneinander stehen würden, und das alles mit Boardmitteln und sauber in die Oberfläche eingebunden. Nett z.B. wenn ich von unterwegs mal dringende Post erledigen muss, und meiner Frau dann einfach sagen kann, dass sie die Briefe nur noch aus dem Drucker nehmen und eintüten muss. Ich komme an sämtliche notwendige Software, alle Dateien, und kann ganz normal auf die Hardware zugreifen.
Und warum dann nicht gleich VPN einsetzen? Der
Konfigurationsaufwand dürfte bei passenden Komponenten auch
nicht höher sein.
Es scheitert wohl in den meisten Fällen an diesen Komponenten. Cygwin und ssh habe ich gleich konfiguriert, für die diversen VPN-Varianten, welche Windows native bietet finde ich in meinem Umfeld kaum einen Ansprechpartner. VPN ist für die Netz zu Netz-Anbindung das Mittel der Wahl (wenn auch nicht die Windows-nativen Varianten), für die P2P-Anbindung würde ich ssh immer vorziehen.
Unter http://sshwindows.sourceforge.net/ findet man ohnehin einen Installer, der OpenSSH inkl der benötigten Cygwin-Bibliotheken beinhaltet. Einfach installieren, fertig. Konfigurationsaufwand: Nahe bei null.
Auf dem Server
die Einwahl über die Einrichtung einer erweiterten Verbindung
aktivieren, TCP 1723 und UDP 500 im Router auf den Server
weiterleiten und die Weiterleitung für VNC löschen. Dann nur
noch auf dem Client eine VPN-Verbindung einrichten, und gut
ist.
Hm, TCP-Port 1723 erinnert ich an PPTP. Wenn der Client hinter einem NAT-Router steckt, könnte es dann event. Probleme mit GRE geben. Dazu muss nämlich der NAT-Router eine gewisse „Intelligenz“ aufweisen, welche mitbekommt, dass Client A eine PPTP-Verbindung zu Server B machen will und daher alle von Server B ankommenden GRE-Pakete an Client A weiterleitet (nennt sich meistens „VPN Pass Through“).
Wenn nicht sichergestellt werden kann, dass immer passende Hardware zum Einsatz kommt, wäre u.U. OpenVPN eine interessante Alternative. Letzteres kann bei Bedarf sogar über einen HTTPS-Proxy (falls keine „direkte“ Verbindung zum Internet möglich) eine Verbindung zum VPN-Server aufbauen.
Einen SSH-Server installieren, falls nicht schon vorhanden.
Da geht’s schon los.
Was ist das?
Wie stell ich fest, ob schon einer vorhanden?
Wo nehm ich einen her, wenn nicht?
Wie installiere ich das Ding?
Was kann/muss/sollte ich wo einstellen?
Auf dem Client-Rechner benötigt man zusätzlich zum VNC-Client
auch noch einen SSH-Client (für Windows z.B. Putty.
Wo bekomm ich den her?
Was kann/muss ich wo einstellen?
Eigentlich ist die Sache damit ja schon wieder völlig witzlos, oder?
Einer der Punkte an VNC ist ja, das ich von beliebigen Rechnern der Welt auf meinen Server zuhause komme. Ich kann ja nun schwerlich auf der Mühle im Internetcafee mal eben Putty installieren.
Mit dem SSH-Client eine Verbindung zum Server aufbauen, dabei
die Portweiterleitung für den VNC-Port konfigurieren. In Putty
geht das in den Einstellungen unter Connection - SSH -
Tunnels. Source Port 5900, Destination 127.0.0.1:5900
eintragen.
Sobald die SSH-Verbindung aufgebaut ist, den VNC-Client
starten und als Zielrechner 127.0.0.1 eingeben.
Ganz so einfach kann es ja eigentlich nicht sein, oder?
Denn wenn das alles ist, dann könnte das ja jeder und dann frag ich mich ernsthaft, wo der Sicherheitsgewinn gegenüber der direkten Verbindung ist.
Geht’s vieleicht ein bischen ausführlicher, oder alternativ:
kannst du mir eine Webseite zur umfassenden Information empfehlen?
Unter http://sshwindows.sourceforge.net/ findet man ohnehin
einen Installer, der OpenSSH inkl der benötigten
Cygwin-Bibliotheken beinhaltet. Einfach installieren, fertig.
Konfigurationsaufwand: Nahe bei null.
Und, was ich noch vergessen hatte, zu erwähnen: Cygwin und ssh müssen ausschliesslich auf dem Server installiert werden, auf dem Client ist keinerlei Installation erforderlich. Was es, dank Authentifizierung per Zertifikat, möglich macht, selbst von Trojaner- und Keylogger-verseuchten Internetcafes aus eine Verbindung nach Hause auf sicherem Wege aufzubauen [*1]. Voraussetzung ist nur entweder ein Betriebssystem auf dem PC oder bei Windows-Rechnern ein USB-Stick mit Putty, VNC-Client und ggf. den benötigten Zertifikaten.
Zwar gibt es auch VPN-Verbindungen, die über den Browser aufgebaut werden, so dass auch dort keine Softwareinstallation erforderlich ist. Nur wird hier häufig ein als Trojan.Downloader bekannter Browser namens ‚Internet Explorer‘ vorausgesetzt; ferner müssen benötigte Zertifikate in den Zertifikatsspeicher des Rechners geladen werden, was den nächsten Benutzer des Rechners im Internetcafe zu interessanten Spielchen verleiten könnte, schliesslich ist meist auch noch ein ActiveX-Control zu installieren, was dem Paradigma der Installationsfreiheit dezent widerspricht.
[1] Der Verbindungsaufbau ist sicher, die während der Verbindung eingetippten Daten sind es dank Keylogger selbstverständlich nicht.
Hm, TCP-Port 1723 erinnert ich an PPTP. Wenn der Client hinter
einem NAT-Router steckt, könnte es dann event. Probleme mit
GRE geben. Dazu muss nämlich der NAT-Router eine gewisse
„Intelligenz“ aufweisen, welche mitbekommt, dass Client A eine
PPTP-Verbindung zu Server B machen will und daher alle von
Server B ankommenden GRE-Pakete an Client A weiterleitet
(nennt sich meistens „VPN Pass Through“).
Deshalb schrieb ich ja
Also wenn die beteiligten Systeme mitspielen …
OpenVPN, … sind natürlich denkbare Alternativen wenn es aufgrund von Einschränkungen bei den beteiligten Systemen mit den Windows Bordmitteln nicht klappen will.
Gruß vom Wiz, auf dessen Speedport W 700 V es jedenfalls funktioniert
Und, was ich noch vergessen hatte, zu erwähnen: Cygwin und ssh
müssen ausschliesslich auf dem Server installiert werden, auf
dem Client ist keinerlei Installation erforderlich.
Das ist natürlich tatsächlich ein Vorteil für Leute die von fremden Rechnern aus arbeiten wollen/müssen. Das Problem habe ich in der Form nicht. Ich habe zwei eigene Notebooks und eine UMTS-Karte im Einsatz, und da war die zusätzliche Netzwerkverbindung mit drei Klicks eingerichtet (d.h. da wurde auch nichts zusätzlich installiert, sondern nur konfiguriert). Außerdem habe ich auch noch bei meinem Provider OWA im Einsatz. D.h. an die wichtigsten Dinge bin ich bislang noch immer rangekommen.
In der Firma für die ich gelegentlich Projekte mache haben wir ohnehin eine Citrix-Installation und was ich für die mache, mache ich immer auf meinem virtuellen Rechner. Zudem gibt es auch da OWA.
