Was beachten bei Remoteverwaltung/-desktop über Internet
 

Hi,

ich über die Feiertage verreise würde ich trotzdem gerne meinen Rechner laufen lassen und ich hätte die Möglichkeit eine Remoteverwaltung über eine Weboberfläche zu installieren und zusätzlich einen Remotedesktop.

Da man danach defakto vollen Zugriff auf den Rechner hat ist es mir wichtig zu wissen, was ich da bezüglich Sicherheit alles beachten sollte? Wäre eine SSL Seite und ich würde nur den einen 4stelligen port dafür freischalten. Außerdem werde ich das das passwort des (Admin)Kontos ewtas verlängern :D

Wie gefährlich ist das ganze überhaupt? Oder ganz normal soetwas.

grüße
maxb

denk mal solltest ned wirklich probs haben

ich arbeite auf meinem server nur über remote nix anderes und bis haute keine probleme damit

HI,


und auf welchem, du hast ja 3 im Profil? :D

ich hab nur einen win2k server :lol:

:confused:

kann der das auch schon? was ist mit den anderen in deinem profil?


btw - wie wichtig ist, dass man sich ein anders SSL Zertifikat besorgt?

wenns ein server ist, einfach auf irgend eine seite verzichten und ssh installieren. über ssh zum server verbinden und rdp dadurch tunneln. du könntest lokal auch einen rdp web client installieren falls du nur nen browser hast.

den ausführungen nicht ganz folgen kann ("seite verzichten", ssh) :confused:

na ich poste mal den status: es gibt da zwei tools
- Weboberfläche zur Remoteverwaltung
- Remotedesktop

beide laufen als https Seiten. Anmelden tue ich mich mit meinem Admin Konto. Die erstere hab' ich auf einen 5 stelligen port verlegt den ich in der firewall freigeschaltet habe. Der Remotedesktop ist anscheinend fix einem port zugewiesen, aber läuft (anscheinend/hoffentlich) auch über eine https Seite. Hier ist eine erneute Anmeldung mit dem Admin Konto erforderlich.


Hab's gerade mit einem w2k client über eine GPRS Verbinung ausprobiert :verwirrt:
...und es funktioniert (zwar nicht ganz so schnell wie mit dem Gigabit LAN :D , aber es geht).


Meine Frage ist eher, wie sicher ist das? Gibt es da bekannte Sicherheitslücken oder DOS Attacken oder sonstwas.

Wenn man das Adminkennwort knackt, hat man ja volle Gewalt über den Rechner :eek:
(Hab' weniger Sorgen um die Daten die drauf sind, sonder eher um meinen 10Mbit Internetanschluß, der keine flatrate ist)

Grüße
maxb

wieso haben die leute alle 10 Mbit leitungen ohne flat? is ja schwachsinn also wenn ich das gelb hab für 10 Mbite dann hab ich es vür flat erst recht bez nehm mir nur 5 mBit und dafür flat hat ja null sinn

handelt sich wohl um blizznet oder?

ja :ja:

mach dir keine sorgen, ich zahl derzeit nur 42€ pro Monat und im Dezember hab' ich schon 130GB traffic ;)
("internen" halt)


... und die 10GB brauch' ich derzeit nedamal

ja, nicht mehr lange, dann brennst die vollen 69€ - und das für läppische 10 GB -
ja "internen" traffic hab ich das monat sicher auch scho 200 GB :P

was den remote access angeht - der is so gefährlich wie es exploits dafür gibt :P

na und, ich habs ja :D ;)


kannst das mit den exploits bitte konkretisieren. darunter kann ich mir nichts vorstellen?

auf jedenfall finde ich es superpraktisch...

http://members.blizznet.at/maxb/desktop.jpg

grüße
maxb

buffer overrun, windows RPC, MSBlaster - klingelts? :P

ich admin meinen server via SSH, um die exploit wahrscheinlichkeit zu reduzieren dürfen von den FW rules überhaupt nur ausgewählte IPs zugreifen...

ned ganz, der einzige unterschied zu vorher ist, dass ich einen webserver laufen hab und zwei ports freigeben musste, wobei der eine nur die administrations webpage ist. beim zweiten weiß ich aber nicht genau, was da drüberläuft.

das mit den ip adressen ist natürlich gut, das hab ich am ftp server so eingerichtet. will ich in der zukunft natürlich auch für die Administration machen, allerdings bekomm' ich bei dem sch*** ADSL halt immer eine andere. müsst einen riesigen range freigeben.


zum rpc hab ich das gefunden http://www.heise.de/newsticker/data/ju-26.07.03-000/

diese ports sind aber alle nicht offen bei mir






EDIT für den RDP listening port 3389 dürfte es zur zeit keinen exploit geben. vielleicht kann ich den port auch verstecken.

http://support.microsoft.com/default...306759&sd=tech

aja, muss ihn ja umbiegen, sonst komm ich nicht durch die firmenfirewall durch :rolleyes:

aus meinen AQ2 server admin zeiten weiß ich noch dass zumindest die AON dyn. IPs gar nicht so dynamisch sind, d.h. wenn wer z.B.

XXX.46.174.98 gehabt hat, war die range meist max.
XXX.46.172.* - XXX.46.176.*

aber musst selber ausprobiern


das war auch nur ein beispiel, generell kann über einen offenen port -sofern es einen exploit gibt- eben code mit den rechten ausgeführt werden, mit denen das program ausgeführt wurde, das an eben diesem port lauscht. Das ist bei Windows meistens r00t.

hab dafür auch eine lösung gefunden -> http://support.microsoft.com/default...b;en-us;555031

werd' ich auf port 22 umlegen. da fällt dann der traffic nicht auf :D

naja, sowas ähnliches hab ich schon mal probiert und ein paar ranges eingestellt ... und wieder eine ip aus einem anderen bereich bekommen :mad:

erst nach ein par mal neuverbinden gings dann