shaugen Skrevet 13. november 2005 Skrevet 13. november 2005 Sitter på et nettverk hjemme med 3com office connect router. Jeg skal bruke Windows Desctop Connection over internett. Hvem porter må jeg åpne i min router? Den pcen jeg skal connecte til har modem linje. Så den har vel bare en ip, den fra internettleverandøren? Skal jeg bare skrive ipen til den andre pcen i displayet til Windows Desctop Connection, ikke domene eller noe annet? takk for svar!
Gjest Slettet-t8fn5F Skrevet 13. november 2005 Skrevet 13. november 2005 For å bruke Windows sin RDP, må du åpne port 3389 TCP til maskinen du skal nå via RDP..
RoosterX Skrevet 14. november 2005 Skrevet 14. november 2005 Du skriver ip adressen som modemet har fått tildelt ja, jeg vil jo anbefale deg bytte fra std port som er 3389(som jo sundan sier), til noe annet, dette gjør du via registry.
Elgvenn2 Skrevet 14. november 2005 Skrevet 14. november 2005 (endret) ssh-tunnel, så slipper du å forwarde mer enn en port Endret 14. november 2005 av Elgvenn2
RoosterX Skrevet 14. november 2005 Skrevet 14. november 2005 Elgevenn: man behøver da bare åpne for port TCP 3389
roac Skrevet 14. november 2005 Skrevet 14. november 2005 Elgevenn: man behøver da bare åpne for port TCP 3389 5153946[/snapback] Du må gjerne opne opp for port 3389 du, men jeg gjør det ikke sånn helt uten videre. Det får da være måte på til å invitere ubudne gjester på besøk
RoosterX Skrevet 14. november 2005 Skrevet 14. november 2005 roac: siterer meg selv jeg 'Du skriver ip adressen som modemet har fått tildelt ja, jeg vil jo anbefale deg bytte fra std port som er 3389(som jo sundan sier), til noe annet, dette gjør du via registry. '
Gjest Slettet-t8fn5F Skrevet 14. november 2005 Skrevet 14. november 2005 (endret) Du må gjerne opne opp for port 3389 du, men jeg gjør det ikke sånn helt uten videre. Det får da være måte på til å invitere ubudne gjester på besøk Ikke noe problem. Bare ha et skikkelig passord på maskinen. Brute Force tar svært lag tid på RDP.... Skikkelig passord = Mer enn 15 tegn. (skulle holde noen dager imot brute force) ssh-tunnel, så slipper du å forwarde mer enn en port RDP bruker også bare en port. Endret 14. november 2005 av Slettet-t8fn5F
Elgvenn2 Skrevet 14. november 2005 Skrevet 14. november 2005 Elgevenn: man behøver da bare åpne for port TCP 3389 Ja, og når man har 10 PCer på et lan man skulle fjernstyrt, slipper man fortsatt bare med en port, som var mitt poeng....
roac Skrevet 14. november 2005 Skrevet 14. november 2005 roac: siterer meg selv jeg 'Du skriver ip adressen som modemet har fått tildelt ja, jeg vil jo anbefale deg bytte fra std port som er 3389(som jo sundan sier), til noe annet, dette gjør du via registry. ' 5154710[/snapback] Du stoler mao på security by obscurity, eller noe i den retningen. Det gjør det litt vanskeligere å finne boksen din, men det er like lett å bryte seg inn. Ergo: Ingen god løsning.
roac Skrevet 14. november 2005 Skrevet 14. november 2005 Du må gjerne opne opp for port 3389 du, men jeg gjør det ikke sånn helt uten videre. Det får da være måte på til å invitere ubudne gjester på besøk Ikke noe problem. Bare ha et skikkelig passord på maskinen. Brute Force tar svært lag tid på RDP.... Skikkelig passord = Mer enn 15 tegn. (skulle holde noen dager imot brute force) Hvem sier at jeg skal foreta bruteforce? Antagelser er det største trusselen med tanke på IT-sikkerhet. Du antar at du noen vil forsøke seg på et bruteforceangrep. Spør deg selv, hvilken kryptering brukes på RDP? Og ikke minst: Kan du stole på den krypteringen Og forøvrig, passordet mitt er på godt over 15 tegn
Elgvenn2 Skrevet 14. november 2005 Skrevet 14. november 2005 Spør deg selv, hvilken kryptering brukes på RDP? Og ikke minst: Kan du stole på den krypteringen Noe som også er en fordel med SSH......
petterg Skrevet 14. november 2005 Skrevet 14. november 2005 En eller annen tunell bør brukes til slikt! Jeg bruker vpn. Har da satt det opp slik at vpn-brukeren ikke får lov å gjøre annet enn å koble opp vpn. For å komme videre må man bruke et annet brukernavn og passord for å logge på en server med remote desktop. Derfra kan man starte VNC for å komme inn på andre servere / klientmaskiner på nettet. Det er altså VNC over remote desktop igjennom vpn tunell. Forskjellige brukernavn og passord hele veien.
roac Skrevet 14. november 2005 Skrevet 14. november 2005 Spør deg selv, hvilken kryptering brukes på RDP? Og ikke minst: Kan du stole på den krypteringen Noe som også er en fordel med SSH...... 5155804[/snapback] Eller VPN, f eks L2TP/IPSec.
RoosterX Skrevet 14. november 2005 Skrevet 14. november 2005 roac: oppskrytt fenomen med hjemme pcer som blir hacket av andre, såfremst windows er konfigurert med noenlunde omtanke. har intil nå nylig kjørt uten brandvegg(men da klart antivirus og noen form av anti-spyware) på fast internet siden -95, med mine ip adresser rimelig så public på bl.a. irc. Og det uten at noen har rotet på mine maskiner
BKB Skrevet 14. november 2005 Skrevet 14. november 2005 Du må gjerne opne opp for port 3389 du, men jeg gjør det ikke sånn helt uten videre. Det får da være måte på til å invitere ubudne gjester på besøk Ikke noe problem. Bare ha et skikkelig passord på maskinen. Brute Force tar svært lag tid på RDP.... Skikkelig passord = Mer enn 15 tegn. (skulle holde noen dager imot brute force) Hvem sier at jeg skal foreta bruteforce? Antagelser er det største trusselen med tanke på IT-sikkerhet. Du antar at du noen vil forsøke seg på et bruteforceangrep. Spør deg selv, hvilken kryptering brukes på RDP? Og ikke minst: Kan du stole på den krypteringen Og forøvrig, passordet mitt er på godt over 15 tegn 5155784[/snapback] Passord godt over 15 tegn? har du tall, spesialtegn og STORE/små bokstaver i tillegg? Det må da være umulig å huske i lengden.
roac Skrevet 14. november 2005 Skrevet 14. november 2005 (endret) Passord godt over 15 tegn? har du tall, spesialtegn og STORE/små bokstaver i tillegg? Det må da være umulig å huske i lengden. 5155825[/snapback] Jepp. Alle fire kategorier, og flere av hver Typisk passord jeg har er på noenogtyve tegn, tre-fem spesialtegn, et par siffer og et par store bokstaver, det går greit å huske det. Det er flere måter å bygge opp slike passord på så det er greit å huske dem, og de fremdeles er rimelig sikre Edit: Ville du hatt problemer med å huske følgende? "Truls' 1. kone het Målfrid!" Endret 14. november 2005 av roac
Gjest Slettet-t8fn5F Skrevet 15. november 2005 Skrevet 15. november 2005 Tror det er noen misstolker RDP protokollen her. Selve sesjonen til RDP inneholder kun mus/taste trykk den ene veien, og skjermbilde den andre veien. Hvis du skal bryte deg inn i et system, må du samle alle de pakkene som sendes gjennom nettet til den sesjonen og sette de sammen igjen. Dette er bare teoretisk gjennomførbart da internett er et pakkeswitchet nettverk og alle pakkene trenger ikke reise samme rute eller i rekkefølge for å komme fram. Hvis noen der ute har klart å fange de pakkene, så kan man ha valgt å kryptere pakkene med f.eks. L2TP/IPSec. Klarer man å bryte denne krypteringen, så er det bare nevnte mus/taste trykk og skjermbilde man ville fått fram til slutt. En annen angreps måte er på pinge port 3389 på en offentlig IP. (svarer brannmuren eller routeren på ping? Nei den gjør ikke det (minste form for sikkerhet)). Da kan man åpne en RDP sesjon for å se om man får opp innloggings vinduet, så kan man brute force så mye man vil Roac. Det var det jeg mente med brute force angrep og ikke anntok det som eneste måten. Vet om mange måter, men kan ikke nevne de her. Se denne som et lite innspill på når RDP IKKE skal brukes. Vel de ferreste her inne har noen servere som kommer inn under slike forutsetninger. Denne kan vel også gi en pekepin på sikkerheten. Tror nok de fleste er enige i at sikkerheten er ikke sterkere en det svakeste ledd. Det svakeste leddet er som oftest passordet og håntering av det.
Elgvenn2 Skrevet 15. november 2005 Skrevet 15. november 2005 Passord godt over 15 tegn? har du tall, spesialtegn og STORE/små bokstaver i tillegg? Det må da være umulig å huske i lengden. 5155825[/snapback] Jepp. Alle fire kategorier, og flere av hver Typisk passord jeg har er på noenogtyve tegn, tre-fem spesialtegn, et par siffer og et par store bokstaver, det går greit å huske det. Det er flere måter å bygge opp slike passord på så det er greit å huske dem, og de fremdeles er rimelig sikre Edit: Ville du hatt problemer med å huske følgende? "Truls' 1. kone het Målfrid!" 5155840[/snapback] Passphrase heter det på godt engelsk!
Lurifaksen Skrevet 15. november 2005 Skrevet 15. november 2005 (endret) Er mye paranoide folk her. Med mindre det er snakk om en PC i en bedrift, eller en privat PC som av en eller annen grunn skulle være spesiell grunn til at ukjente vil skaffe seg tilgang til, er det ingen grunn til å overdrive dette sikkerhetspratet. Hvis vi er realtistiske er det større sannsynlighet for at PC'en blir fysisk stjålet, enn at noen tar for seg en tilfeldig IP og bruker tid og krefter på å bryte seg inn på. Konklusjon: For hjemme-pc er det trygt å åpne port 3389. Som en ekstra sikkerhet kan du vurdere å bytte port, slik at det er helt urealistisk at noen i det hele tatt forsøker å logge seg på remote desktop. Du bør også vurdere å ha et godt passord. For ordens skyld: Remote desktop fungerer ikke hvis brukeren har blankt passord. Dersom PC-en innholder sensitiv informasjon som er kritisk at ingen får tak i er selvsagt situasjonen en helt annen. Endret 15. november 2005 av Lurifaksen
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå