• 15.07.2025, 19:03
  • Register
  • Login

  • You are not logged in.

 

DynDns - Router - VNC - Sicherheit?

Dooze

Senior Member

DynDns - Router - VNC - Sicherheit?

Thursday, January 22nd 2009, 11:07pm

Hi!

Ich habe mehr so aus Jux und Dollerei einen DynDns Account erstellt und mit meinem Router verbunden. Das war quasi der zündende Funke :D
Ich habe jetz die VNC Ports auf meinen 2. Pc (Server 2003) weitergeleitet und kann nun über meine DynDns URL per VNC auf den PC zugreifen.
Ansich eine coole Spielerei, aber ich frage mich: Wie sicher ist das wirklich ? Ich habe ein Passwort vorm Router, eins für den VNC Zugang und halt die Windows Anmeldung.
(alles 8stellig, Groß-und Kleinschreibung, Sonderzeichen).

Soll wahrscheinlich eh nicht dauerhaft eingerichtet sein, aber es interessiert mich schon :D

MFG

Dooze

futureintray

God

Thursday, January 22nd 2009, 11:11pm

mal abgesehen vom offenem port der mich stören würde,

läuft die freie version von vnc unverschlüsselt,
daher würde ich vnc maximal im netzwerk nutzen,

und im internet nur in verbindung mit einem vpn.

mfg

Anonymous

God

Friday, January 23rd 2009, 12:00am

Sicherer wäre es, wenn du das ganze über ssh (mit Schlüssel!) tunnelst.. :D

badkarmaboy

Full Member

Friday, January 23rd 2009, 8:56am

Wie futureinthetray empfohlen hat:

VPN Verbindung zum Router, dann VNC übers VPN. Am Besten mit UltraVNC , das kann auch verschlüsselte Sessions und SSO.

Alle Portforwardings würde ich schnellstmöglichst abstellen.

This post has been edited 1 times, last edit by "badkarmaboy" (Jan 23rd 2009, 8:57am)

The minute you think you made it, disaster is just around the corner.

KillerX

Senior Member

Friday, January 23rd 2009, 3:17pm

Oder hald ein SSH-Server auf dem Zielrechner und dann alles da durch tunneln...



Ist zwar dann der SSH-Port geforwarded aber da lässt sich natürlich sicherheitstechnisch noch nachbessern

Wenn der Zielrechner ein Linux-System währe -> scribt basteln das entsprechende IPs die mehrmals versuchen sich erfolglos einzuloggen auf die hosts.deny setzt o.ä.

This post has been edited 1 times, last edit by "KillerX" (Jan 23rd 2009, 3:20pm)

Da steht nix :-P

badkarmaboy

Full Member

Friday, January 23rd 2009, 4:06pm

Quoted from "KillerX"

Wenn der Zielrechner ein Linux-System währe -> scribt basteln das entsprechende IPs die mehrmals versuchen sich erfolglos einzuloggen auf die hosts.deny setzt o.ä.


The minute you think you made it, disaster is just around the corner.

KillerX

Senior Member

Saturday, January 24th 2009, 3:20pm

Quoted from "badkarmaboy"




Quoted from "KillerX"

Wenn der Zielrechner ein Linux-System währe -> scribt basteln das entsprechende IPs die mehrmals versuchen sich erfolglos einzuloggen auf die hosts.deny setzt o.ä.


Dann hald Port umlegen, nach einmaligen falschem login rausschmeißen und zusätzlich überwachen, wie oft versucht wird sich einzuloggen. Wenn mehrmals in der Minute -> ssh-Server abschalten. (da sollte man sich nur nicht vertippen ;) )
Nach ner Stunde hald dann wieder einschalten

Aber ich kann mir nur schlecht vorstellen, dass jemand auf mein System kommt, wenn das PW entsprechend gut ist...
Zitat: "Allerdings verwendet jeder Angriffsrechner ein eigenes Passwort aus einem Wörterbuch oder probiert eine vorberechnete Kombination aus."

Irgendeine Schwachstelle gibt es so gut wie immer.

This post has been edited 2 times, last edit by "KillerX" (Jan 24th 2009, 3:21pm)

Da steht nix :-P

x-stars

God

Saturday, January 24th 2009, 8:12pm

Quoted from "badkarmaboy"

Quoted from "KillerX"

Wenn der Zielrechner ein Linux-System währe -> scribt basteln das entsprechende IPs die mehrmals versuchen sich erfolglos einzuloggen auf die hosts.deny setzt o.ä.



Ist das nicht eher eine Lücke von der Block-Software? Warum funktionieren die nicht einfach nach einer Liste, in die die IP pro Login-versuhc eingetragen wird, egal, ob zwischen zwei Versuchen das ganze NSA-Botnetz versucht reinzukommen?
.
Edit versteht das Problem so, das jeder Rechner des Botnetzes nur einzweidrei Versuche macht und daher nicht gebannt wird/es egal ist, ob er gebannt wird, weil ja noch 300.000 andere Rechner da sind. Right? :P

This post has been edited 1 times, last edit by "x-stars" (Jan 24th 2009, 8:16pm)

"Live free or die: Death is not the worst of evils."

badkarmaboy

Full Member

Monday, January 26th 2009, 12:36pm

Genau so ist es, x-stars.
The minute you think you made it, disaster is just around the corner.

leto2

Full Member

Tuesday, January 27th 2009, 10:20pm

Was man lantürich auch noch machen kann: Portknocking

Damit kann man sich recht gut vor Port-Scans schützen.
Verkaufe Intel PRO/1000 PT Server Adapter, 2x 1000Base-T, PCIe x4 D33025 für 50€ + Versand

Karte hat zwei 1GB-Ports, Anschluss: 2x RJ45 • Chipsatz: Intel 82571GB • Besonderheiten: Wake on LAN, VLan, BootRom, PCIe x4, diese Karte ist unbenutzt, nur in einer OEM Verpackung. Low-Profile, Adapterblech für normale Bauhöhe liegt bei.

Die gleiche Karte läuft in meinem Server unter Linux einwandfrei.

Similar threads