INVESTOX-Forum

Hallo Cornelius

Wenn Du mich schon ansprichst: zu diesem Thema kann ich folgendes sagen:

Du sprichst zwei unterschiedliche Themen an, die eigentlich nichts mit einander zu tun haben: sicherer Fernzugriff ist die eine Sache, das andere ist ein Backup der Daten für den Fall, dass man was hat von der Sorte [Festplatte kaputt, Blitz eingeschlagen, PC geklaut, Hochwasser im Keller wo die PCs stehen].

Zum Backup: Acronis ist ein einfach zu bedienendes Tool für umfassende Inhouse Backups, sehr empfehlenswert. Nicht erledigt wird der Job von Acronis, falls grossflächige Beschädigungen der eigenen Immobilien auftreten: da empfehle ich zusätzlich einen ausser-Haus Backup wie Swissvault für die Überlebenswichtigen Daten.


Aber zum Thema Fernzugriff: VNC, Remote Desktop & Co. sind schöne Tools, um aus der Ferne auf einen Rechner zuzugreifen. Leider sichern sie selbst die Verbindung überhaupt nicht (VNC) oder sehr ungenügend (Remote Desktop). Deshalb baut man zuerst einen sicheren Tunnel (VPN) auf, und tunnelt sowas wie VNC, Remote Desktop oder im Falle eines PDA: Mocha Remote Client darüber.

Diesen Tunnel (VPN) kann man schützen im einfachen Fall mit einem PSK (Pre Shared Key) oder mit Zertifikaten. Während für PSK ein (wenn auch eher theoretisher) Exploit bekannt ist, gelten Zertifikats-Basierte VPN bis heute als nicht geknackt.

Wie auch immer, ich halte diese Kombination für eine der sichersten und besten wartbaren in diesen Tagen:

* LAN seitiger Router: eines der Lancom Geräte, z.B. der Lancom 1611+
* auf der Road Warrior Seite den NCP Secure Client (Notebook) oder den NCP Win CE Client (PDA)
* VNC oder Remotedesktop oder Mocha Remote Client darüber tunneln
* die PCs im Netzwerk zusätzlich schützen durch strenge Passwörter und möglichst nicht erratbare User-IDs
* den Admin Account auf den LAN seitigen PCs renamen mit ebenfalls einem Namen, den es in keinem Wörterbuch geben kann (auch nicht Wortteile; unbedingt einen Passwort-Generator verwenden für Passwort UND die User-ID; Stichwort: Japanische User-ID wie "kokomeno36ena", leicht zu merken aber schwer anzugreifen)
* die Passwort-Regeln so anpassen, dass nach 50 Fehlzugriffen der Account für mindestens 10 Minuten gesperrt ist

Mit diesen Massnahmen sollte heute jeder Angriff scheitern, selbst wenn das VPN kompromitiert würde, wäre ein Bruto Force Angriff (auf einen der PCs im LAN) wirkungsvoll abgeblockt - ohne sich selbst mit "verbogener Nase" auszusperren (desswegen die 50 erlaubten Fehlzugriffe, komfortabel für einem selbst aber ausreichend gegen Brute Force).

Von Hamachi hatte ich vor längerer Zeit mal das Hamachi-Netzwerk installiert. Sehr nett, funktionierte prima. Was mich gestört hat, keine der Sicherheits-Mechanismen ist Open-Source, nichts kann geprüft werden. Sicherheit allein durch nicht-offenlegen der Protokolle? Das hat sich oft schon als Pferdefuss erwiesen, desshalb werde ich Hamachi auf längere Sicht nicht einsetzen (allerdings habe ich den neuesten Stand der Hamachi Entwicklung nicht neu geprüft). Nun, das ist ein rein persönliches Statement, ich setze im Sichersbereich nur auf offene Standards, die man wenn nötig selbst ins Detail nachvollziehen kann. Wenn alles offen ist und es niemand schafft, einen Exploit zu finden - dann halte ich es für sicher.


Edit: diverse Typos

Hallo Cornelius

Zitat von »Bernd«

... VNC, Remote Desktop & Co. sind schöne Tools, um aus der Ferne auf einen Rechner zuzugreifen. Leider sichern sie selbst die Verbindung überhaupt nicht (VNC) ...

... dazu fällt mir noch eine Erklärung ein, um besser zu zeigen, wo genau das Problem liegt:

Jeder, der auf dem Weg der Datenübermittlung liegt, kann aus einer normalen, nicht per VPN gesicherten, Verbindung Daten herausfiltern. Und zwar automatisch mit verfügabern Tools oder mit selbst leicht zu schreibenden sogenannten "Filter".

Nehmen wir an, man baut eine VNC Verbindung auf aus 100km Entfernung. Der Weg geht z.B. via WLAN zu einem Hotspot (1) in der VIP Lounge im Airport. Von da über einen Switch (2) zum Vermittlungsrechner (3) des Airports, dann zum Internet Provider (4), zu einem Backbone (5), zum Netzwerk des eigenen Providers (6), zum nächsten Knoten des Providers in der Nähe des Heimat-LANs (7) und dann schliesslich auf den eigenen Rechner.

In diesem vereinfachten Szenario gibt es 7 gefährliche Punkte, an denen Jemand mithören könnte. Die Übertragung Notebook - Hotspot noch nich mal mitgezählt (was die Zahl 7 zur Zahl N erhöhen würde) . Wenn die Daten unverschüsselt über die Punkte 1 bis 7 rübergehen, sind Passwörter und User-IDs sehr leicht aus dem TCP/IP Stream herauszufiltern. In der Tat schafft das heute jeder mässig ambitionierte Dumpfkopf ohne grosses Informatik-KnowHow. Stichwort Ethereal (Hans-Jürgen, hier in der Schweiz darf man solche Namen noch aussprechen; wenn es in Deutschland eines dieser Todesser-Tools ist, auf welche die Bundesrepublik mit Gefängniss droht: bitte diese Zeile löschen )

Desswegen ist ein richtig konfigurierter Fernzugriff so wichtig. Sonst kann man ja auch alle Zugangsdaten zu seinem LAN und zu seinem Broker usw. hier im Forum posten

Hallo Cornelius

Danke für die Blumen

Wie gesagt, diese relativ neue Hamachi Lösung "logmein" kenne ich noch nicht. Mein Kentniss-Stand ist "vor logmein". Ich werde es mir aber so ab nächster Woche genauer ansehen (voher passt nicht in meinen Zeitplan).

Wenn ich dazu eine Meinung habe, wie auch immer die ist, schreib' ich Dir hier gerne was dazu. Vielleicht ist es ja wirklich eine inovative und sichere Idee. Würde mir sogar gerne selbst in diesem Bereich die Arbeit abnehmen lassen. Weniger Zeit für Technik bedeutet mehr Zeit für die HS Entwicklung und den Handel der HSe! Nur, vor lauter Freude darf einfach die Sicherheit nicht zu kurz kommen

Hallo Snoopy

Das ist bestimmt eine gute Software, und ich kenne einige, die sie sehr gerne zur Fernwartung einsetzen. Dafür ist die Verbindung ok und mit Sicherheit genügend gegen Abhören geschützt / kryptografiert. Und der Rechner ist aus dem Internet nur erreichbar, solange jemand auf dem betreffenden PC TeamVierwer gestartet hat. Davor nicht und danach auch nicht (TeamViewer Client Modus).

Warum ich ein VPN auf Router-Basis empfohlen habe ist folgende Überlegung: in unserem (Investox) Bereich sitzt niemand im Netzwerk daheim, der den Viewer starten könnte. Statt dessen wird man im Sprachgebrauch von TeamVierwer auf den Host-Modus zurückgreifen:

* Der Dienst läuft solange der PC läuft
* Der PC ist nur mit einem Kennwort geschützt
* Man muss, damit der betreffende PC erreichbar ist, einen Port in der Firewall öffnen

Und mit dieser Kombination hätte ich ein Problem! Hier würde ein Angreifer ansetzen, nicht bei der toll kryptografierten Verbindung.

Ein VPN Router ist da ganz anders:

* es ist kein PC über einen freigegebenen Port ins Internet exponiert
* der Router antwortet erstmal gar nicht auf Anfragen auf den Internet, auf keinem Port
* es sei denn, der Handshake wird in der richtigen Weise mit den richtigen Parameter von aussen eingeleitet
* danach muss auch das zu diesen Parametern passende Zertifikat (der der PSK) präsentierte werden
* als Lohn der ganzen Mühe ist der PC in der Ferne schliesslich Teil des lokalen LANs zuhause! So als ob man daheim eingestöpselt wäre:
* nun kommt erst noch die Hürde mit dem Kenwwort am jeweiligen Ziel-PC, um Remote Zugriff zu bekommen für die Fernbedienung oder den Zugriff auf die lokalen Netzwerk-Shares
* "nebenbei" ist natürlich die Verbindung RoadWarrior -> VPNRouter auch kryptografiert

Also, für Fernwartung ist das Tool sicher toll. Die aufgebaute Verbindnung ist auch nicht in Echtzeit zu knacken. Mir persönlich würde es aber nicht reichen in Punkto Authentisierung sowie Schutz meines LANs.

Dazu kann ein VPN Router noch ein paar Kunststückchen, z.B. nach einer konfigurierten Anzahl von abgewehrten Angriffen per SMS und/oder eMail Warnen. Alle sicherheitsrelevanten Daten nicht nur in ein Protokoll schreiben, sondern ständig an einen speziell gesicherten Server im Netz senden - so dass Forensische Methoden auch greifen, wenn der Angreifer Zugang erhalten und Daten versucht hätte zu verschleiern. Natürlich kann ein VNP Router auch ein komplettes LAN Segment im Notfall abschotten etc. pp.

Zusätzlich zu einem VPN noch TeamViewer, das dagegen kann ich mir vorstellen. Andere auch, siehe z.B. hier .

Hallo Snoopy

In diesem Fall tippe ich auf ein Feature namens UPNP (Universal Plug&PLay). Das haben die Hardware Hersteller und Microsoft die letzten Jahre völlig unbemerkt eingeführt. Damit kann eine Software im LAN Netzwerk-Geräte on-the-fly reconfigurieren. Tolle Sache - nur auf dem Router schalte ich sowas aus "gewissen" Gründen ab ... das macht aber fast niemand. Und ja, ist auch sehr bequem. Für alle möglichen Zwecke ...

Eine zweite Möglichkeit wäre es, wenn die Verbindung von innen, aus dem LAN heraus nach aussen aufgebaut wird. Das merken die meisten Firewalls nicht. Dann tunnelt die Verbindung einfach über z.B. den normalen http Port 80 raus.

Hallo Cornelius

Ich hatte Dir versprochen, LogMeIn anzusehen.

Zitat von »cnolte«

Prima, interessiert mich sehr, was Du davon hältst!

Habe mich gerde auf der LogMeIn Seite umgesehen. Die haben ja verschiedene Varianten des Services; ohne eine Empfehlung abgeben zu können und ohne Gewähr scheint mir "LogMeIn Hamachi" auf den ersten Blick brauchbar. Der Grund ist, dass bei dieser Version im Gegensatz zu den anderen auch der Punkt Authentisierung gelöst ist.

Was mich stört ist, man muss ein Loch in der Hardware Firewall aktzeptieren (und LogMeIn Hamachi bohrt es noch selber (via UPnp (PS*) denke ich)). Und das VPN Tunnel-Ende ist erst auf einem der PCs im LAN, da wäre ein Angreifer schon einen Schritte weiter als im Posting 2 geschildert bei der Konfiguration mit dem VPN auf dem Router.

Andererseits hört man dieser Tage nicht, dass Hacker einen Angriff geschafft hätten via einer LogMeIn Konfiguration oder einer dier anderen in diesem Thread erwähnten. Je nach persönlichem Sicherheits-Empfinden - und Bedürfniss kann man wohl schon solch eine "weiche" Lösung in Betracht ziehen.

Ich persönlich würde es aus vielen Gründen nicht tun. Z.B. Ich muss für den Service monatlich zahlen (was ist wen der Anbieter pleite geht; meine Kauf-Lösung funktioniert unabhängig), Studien über die Sicherheit einer solchen Miet-Lösung sind bestenfalls schlecht zu finden im Internet (die Kauf-Lösung setzt auf offene gut dokumentierte Standards), kein Wirtschaftszweig (Banken, Industrie, Versicherungen) setzt solche Miet-Lösungen ein (die beschriebene Kauf-Lösung via VPN Router ist State-Of-The-Art und alle namhaften Unternehmen mit Kohle an die Füsse gehen so vor). Und so weiter, mir würde sicher noch einiges einfallen...


PS*: irgendwo in diesem Thread wurde auf mein Posting zu Upnp geantwortet, das eine Software stattdessen UDP verwende. Bitte diesen Punkt ergoogeln: UPnp ist sicherheitskritsich und konfiguriert das eigene LAN um. UDP ist one-way Protokoll zum Datenaustausch (im Gegensatz zu TCP, was auch Daten austauscht, aber two way mit Fehlerkorrektur). UDP und UPnP adressieren völlig verschiedene Problemkreise. Wikipedia weiss auch viel dazu!

Interessanter Weise wird Upnp in Handbüchern von Netzwerkgeräten und Software praktisch nie erwähnt heutzutage. Wenn immer in einem Benutzer-Handbuch steht "bla bla ... Sie müssen nichts konfigurieren ... bla bla, die Software kommuniziert durch den Router (oder die Firewall) hindurch" - dann gibt es 99% Wahrscheinlichkeit, dass Upnp im Spiel ist. Wer irgend genügend KnowHow hat oder aufbauen kann: unbedingt abschalten. Upnp pervertiert die Firewall Idee natürlich komplett ... praktisch für den modernen Trojaner, die Upnp Features an Bord hat!

Hallo Cornelius

Prima, dass ich helfen konnte

Zwei Internet-Provider machen so oder so Sinn, wenn mein die Ausfallsicherheit erhöhen will. SAT an sich ist dazu nicht geeignet: a) SAT ist nur für Download, für den Upload Kanal braucht man eh einen konvetionellen Weg b) die Laufzeiten via SAT eignen sich nicht wirklich für Internet, allenfalls für Tickdaten Streaming only (=Oney-Way); hier kann es durchaus Sinn machen.


PS: Eine VPN Router-Lösung eröffnet noch eine weitere phantastische Möglichkeit: man kann im LAN einen KVM over IP Switch verwenden: damit kann man die PCs im Netz nicht nur via Remote Desktop erreichen - sondern echt so als ob man davor sitzt. Auf Bios Ebene !!! PCs hart aus/einschalten aus der Ferne und sogar das BIOS Upgraden wird damit möglich, sonstige Fernbedienung natürlich soweiso. Leider sind die KVM (Keyboard Mouse Video) Switche over IP noch seeeehr teuer. Aber auch das wird noch im Preis runterkommen ...

Welchen bevorzugst Du dabei? Avocent / Aten/ ...

Separater KVM Switch + KVM Over IP oder alles in einer Kiste ?

Ich kenne zwar einige, aber keinen der auch Power On Off kann.

Dafür kenne ich nur separate Produkte wie Aten PN9108 oder PN0108.

Eben noch keinen. Waren mir bisher zu teuer. Aber lieber wären mir Komplettgeräte mit integrierten "over IP".

Für den POR (Power on Reset) habe ich ein Auge auf iBoot geworfen, werde ich vielleicht vor der KVM over IP Lösung anschaffen.