|
|
 | Er remote desktop over internettet sikker?
Fra : Martin |
Dato : 29-08-05 19:04 |
|
Hvis jeg har en server hvor brugerne kan logge ind via remote desktop,
over internettet, er der så noget jeg skal være opmærksom på?
Er sikkerheden i remote desktop god nok?
Kan bygge noget ovenpå?
Erfaringer?
/M
| |
 Ukendt (29-08-2005)
| Kommentar
Fra : Ukendt |
Dato : 29-08-05 19:05 |
|
Martin wrote:
> Hvis jeg har en server hvor brugerne kan logge ind via remote desktop,
> over internettet, er der så noget jeg skal være opmærksom på?
>
> Er sikkerheden i remote desktop god nok?
> Kan bygge noget ovenpå?
>
> Erfaringer?
>
> /M
du kan bygge en VPN 'ovenpå' og så skulel du være rimeligt godt sikret.
| |
Martin (29-08-2005)
| Kommentar
Fra : Martin |
Dato : 29-08-05 19:09 |
|
Claus Albæk (Kbh.) wrote:
> Martin wrote:
>
>> Hvis jeg har en server hvor brugerne kan logge ind via remote desktop,
>> over internettet, er der så noget jeg skal være opmærksom på?
>>
>> Er sikkerheden i remote desktop god nok?
>> Kan bygge noget ovenpå?
>>
>> Erfaringer?
>>
>> /M
>
>
> du kan bygge en VPN 'ovenpå' og så skulel du være rimeligt godt sikret.
Eksempler?
Ekstra software eller en usb nøgle?
| |
 Ukendt (31-08-2005)
| Kommentar
Fra : Ukendt |
Dato : 31-08-05 08:19 |
|
Martin wrote:
>> du kan bygge en VPN 'ovenpå' og så skulel du være rimeligt godt sikret.
>
> Eksempler?
>
> Ekstra software eller en usb nøgle?
Du kan bruge windows' indbyggede vpn.
opret ny forbindelse i netværks appletten og du er igang, en decideret
guide må du google dig til.
| |
Martin (01-09-2005)
| Kommentar
Fra : Martin |
Dato : 01-09-05 17:57 |
|
Claus Albæk (Kbh.) wrote:
> Martin wrote:
>
>>> du kan bygge en VPN 'ovenpå' og så skulel du være rimeligt godt sikret.
>>
>>
>> Eksempler?
>>
>> Ekstra software eller en usb nøgle?
>
>
> Du kan bruge windows' indbyggede vpn.
>
> opret ny forbindelse i netværks appletten og du er igang, en decideret
> guide må du google dig til.
.... Som opretter forbindelse til hardware firewallen, eller til serveren
som fjernskrivebordet også skal forbindes til?
| |
Ukendt (04-09-2005)
| Kommentar
Fra : Ukendt |
Dato : 04-09-05 14:34 |
|
Martin wrote:
> Claus Albæk (Kbh.) wrote:
>
>> Martin wrote:
>>
>>>> du kan bygge en VPN 'ovenpå' og så skulel du være rimeligt godt sikret.
>>>
>>>
>>>
>>> Eksempler?
>>>
>>> Ekstra software eller en usb nøgle?
>>
>>
>>
>> Du kan bruge windows' indbyggede vpn.
>>
>> opret ny forbindelse i netværks appletten og du er igang, en decideret
>> guide må du google dig til.
>
> ... Som opretter forbindelse til hardware firewallen, eller til serveren
> som fjernskrivebordet også skal forbindes til?
til serveren som står bag hw firewall'en som du har prikket hul i og
NAT'et de nødvendige porte frem til (port 1723 og 3389 får du brug for,
samt GRE)
| |
Kent Friis (29-08-2005)
| Kommentar
Fra : Kent Friis |
Dato : 29-08-05 21:22 |
|
Den Mon, 29 Aug 2005 20:05:22 +0200 skrev Claus Albæk (Kbh.):
> Martin wrote:
>> Hvis jeg har en server hvor brugerne kan logge ind via remote desktop,
>> over internettet, er der så noget jeg skal være opmærksom på?
>>
>> Er sikkerheden i remote desktop god nok?
>> Kan bygge noget ovenpå?
>>
>> Erfaringer?
>>
>> /M
>
> du kan bygge en VPN 'ovenpå' og så skulel du være rimeligt godt sikret.
Teknisk set må det være "nedenunder" 
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Ukendt (31-08-2005)
| Kommentar
Fra : Ukendt |
Dato : 31-08-05 08:18 |
|
Kent Friis wrote:
>>
>>du kan bygge en VPN 'ovenpå' og så skulel du være rimeligt godt sikret.
>
>
> Teknisk set må det være "nedenunder"
derfor '' udenom :)
| |
Michael Rasmussen (29-08-2005)
| Kommentar
Fra : Michael Rasmussen |
Dato : 29-08-05 19:46 |
|
Martin <kjkjk@hjghgfl.dk> wrote:
>Hvis jeg har en server hvor brugerne kan logge ind via remote desktop,
>over internettet, er der så noget jeg skal være opmærksom på?
>Er sikkerheden i remote desktop god nok?
Tja, Remote desktop er ikke lige den funktion der er mest udsat for
angreb - endnu .....
Jeg kunne godt overtales til at åbne for remote desktop her hjemme. Men
uden risiko er det bestemt ikke..
>Kan bygge noget ovenpå?
Du kan starte med at vælge en alternativ port i stedet for den
standardiserede 3389. Det vil reducerede risikoen ganske væsentligt,
uden at gøre livet alt for besværligt for dine brugere.
Og derefter kan du alvorligt overveje at supplere med SSH
<mlr>
--
Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..
| |
Kent Friis (29-08-2005)
| Kommentar
Fra : Kent Friis |
Dato : 29-08-05 21:25 |
|
Den Mon, 29 Aug 2005 20:45:46 +0200 skrev Michael Rasmussen:
> Martin <kjkjk@hjghgfl.dk> wrote:
>
>>Hvis jeg har en server hvor brugerne kan logge ind via remote desktop,
>>over internettet, er der så noget jeg skal være opmærksom på?
>
>>Er sikkerheden i remote desktop god nok?
>
> Tja, Remote desktop er ikke lige den funktion der er mest udsat for
> angreb - endnu .....
Måske ikke det bedste argument.
> Jeg kunne godt overtales til at åbne for remote desktop her hjemme. Men
> uden risiko er det bestemt ikke..
>
>>Kan bygge noget ovenpå?
>
> Du kan starte med at vælge en alternativ port i stedet for den
> standardiserede 3389. Det vil reducerede risikoen ganske væsentligt,
> uden at gøre livet alt for besværligt for dine brugere.
Security by obscurity.
> Og derefter kan du alvorligt overveje at supplere med SSH
Da vi nok taler om Windows, er en rigtig VPN nok mere oplagt - putty
er ganske vist fin som client, men serveren er ikke helt så nemt
klaret.
Supporterer Windows ikke IPSEC?
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Jesper Krogh (29-08-2005)
| Kommentar
Fra : Jesper Krogh |
Dato : 29-08-05 21:26 |
|
I dk.edb.sikkerhed, skrev Kent Friis:
> Da vi nok taler om Windows, er en rigtig VPN nok mere oplagt - putty
> er ganske vist fin som client, men serveren er ikke helt så nemt
> klaret.
Så svært er det altså heller ikke at få sshd til at køre i Cygwin.
Jesper
--
../Jesper Krogh, jesper@krogh.cc, Jabber ID: jesper@jabbernet.dk
| |
Kent Friis (29-08-2005)
| Kommentar
Fra : Kent Friis |
Dato : 29-08-05 21:28 |
|
Den Mon, 29 Aug 2005 20:26:15 +0000 (UTC) skrev Jesper Krogh:
> I dk.edb.sikkerhed, skrev Kent Friis:
>> Da vi nok taler om Windows, er en rigtig VPN nok mere oplagt - putty
>> er ganske vist fin som client, men serveren er ikke helt så nemt
>> klaret.
>
> Så svært er det altså heller ikke at få sshd til at køre i Cygwin.
Men Cygwin i sig selv er totalt overkill. Hvis valget endelig falder
på SSH, er nogen af de kommercielle løsninger måske mere velvalgte.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Sune Vuorela (29-08-2005)
| Kommentar
Fra : Sune Vuorela |
Dato : 29-08-05 22:23 |
|
On 2005-08-29, Kent Friis <nospam@nospam.invalid> wrote:
> Men Cygwin i sig selv er totalt overkill. Hvis valget endelig falder
> på SSH, er nogen af de kommercielle løsninger måske mere velvalgte.
Hvordan kan man leve uden cygwin på windowsmaskiner ?
;)
--
Sune
| |
Povl H. Pedersen (29-08-2005)
| Kommentar
Fra : Povl H. Pedersen |
Dato : 29-08-05 19:51 |
|
In article <43134e31$0$18645$14726298@news.sunsite.dk>, Martin wrote:
> Hvis jeg har en server hvor brugerne kan logge ind via remote desktop,
> over internettet, er der så noget jeg skal være opmærksom på?
>
> Er sikkerheden i remote desktop god nok?
Nej. Der har været remote DoS / Exploits til denne. Så du bør begrænse
adgangen til veldefinerede adresser. Alternativt sætte din firewall
foran til at kræve validering ved adgang til denne port. Gerne med
en token (RSA SecurID eller en af de billigere konkurrenter).
Evt en VPN tunnel du terminerer i din firewall foran boksen.
> Kan bygge noget ovenpå?
Du kan altid køre gennem en VPN.
> Erfaringer?
På arbejde sker adgang først efter en PIX har valideret en token op
imod en radius server. Indtil da er der ikke hul til maskinerne. Det
anser jeg i dag som minimum for at få fornuftig sikkerhed.
Token kan erstattes med one-time-pads eller lign hvis det skal være
billigere.
| |
Martin (29-08-2005)
| Kommentar
Fra : Martin |
Dato : 29-08-05 20:28 |
|
Povl H. Pedersen wrote:
> In article <43134e31$0$18645$14726298@news.sunsite.dk>, Martin wrote:
>
>>Hvis jeg har en server hvor brugerne kan logge ind via remote desktop,
>>over internettet, er der så noget jeg skal være opmærksom på?
>>
>>Er sikkerheden i remote desktop god nok?
>
>
> Nej. Der har været remote DoS / Exploits til denne. Så du bør begrænse
> adgangen til veldefinerede adresser. Alternativt sætte din firewall
> foran til at kræve validering ved adgang til denne port. Gerne med
> en token (RSA SecurID eller en af de billigere konkurrenter).
>
> Evt en VPN tunnel du terminerer i din firewall foran boksen.
>
>
>>Kan bygge noget ovenpå?
>
>
> Du kan altid køre gennem en VPN.
>
>
>>Erfaringer?
>
>
> På arbejde sker adgang først efter en PIX har valideret en token op
> imod en radius server. Indtil da er der ikke hul til maskinerne. Det
> anser jeg i dag som minimum for at få fornuftig sikkerhed.
>
> Token kan erstattes med one-time-pads eller lign hvis det skal være
> billigere.
Tak for svar til jer alle
Men har i nogle links evt guider til implementering?
Både SSH og/eller token...
Evt links til firmaer som sælger disse løsninger (gerne hvor man kan
læse om dem)
Mvh
Martin
| |
Michael Rasmussen (29-08-2005)
| Kommentar
Fra : Michael Rasmussen |
Dato : 29-08-05 21:00 |
|
Martin <kjkjk@hjghgfl.dk> wrote:
>Men har i nogle links evt guider til implementering?
>Både SSH og/eller token...
SSH er opensource og gratis. Den følger med de fleste linux
distributioner. I Windows sammenhæng kan cygwin (kører linux programmer
under windows - inkluderer ssh) anbefales: www.cygwin.org
Dokumentationen til SSH findes her: www.openssh.org
<mlr>
--
Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..
| |
Martin (29-08-2005)
| Kommentar
Fra : Martin |
Dato : 29-08-05 21:06 |
|
Michael Rasmussen wrote:
> Martin <kjkjk@hjghgfl.dk> wrote:
>
>
>>Men har i nogle links evt guider til implementering?
>>Både SSH og/eller token...
>
>
> SSH er opensource og gratis. Den følger med de fleste linux
> distributioner. I Windows sammenhæng kan cygwin (kører linux programmer
> under windows - inkluderer ssh) anbefales: www.cygwin.org
>
> Dokumentationen til SSH findes her: www.openssh.org
>
>
>
>
> <mlr>
>
Ja, men hvordan implementeres SSH til at fungere sammen med remote desktop?
| |
Michael Rasmussen (29-08-2005)
| Kommentar
Fra : Michael Rasmussen |
Dato : 29-08-05 21:25 |
|
Martin <kjkjk@hjghgfl.dk> wrote:
>Ja, men hvordan implementeres SSH til at fungere sammen med remote desktop?
Princippet er ganske simpelt:
Du kører en SSH-server.
Brugerne kører en SSH-klient som kalder op til din server, f.eks med
kommandoen: SSH -L 3389:3389 <din ip-adresse> - Hermed forwardes port
3389 på brugerens maskine til port 3389 på din maskine.
Brugeren kalder fjernskriveborder med adressen localhost:3389 - og
voila. Brugeren har kontakt til din maskines fjernskrivebord
<mlr>
--
Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..
| |
Christian E. Lysel (29-08-2005)
| Kommentar
Fra : Christian E. Lysel |
Dato : 29-08-05 20:53 |
| | |
|
|