Verbindung: PC -> WLAN -> Accesspoint -> Router -> PC im Subnetz

Wenn ein Server(park) wegen einem User (Benutzer ohne besondere Rechte) abschmiert, dann liegt wohl mit der Sicherheit einiges im Argen.

Ob man nun eine VNC-Variante oder den Windows-Remote-Desktop nutzt, ist sicher Geschmackssache. Bei der geschilderten Umgebung halte ich beide Varianten für zweckmässig.
 
Lektro schrieb:
Wenn ein Server(park) wegen einem User (Benutzer ohne besondere Rechte) abschmiert, dann liegt wohl mit der Sicherheit einiges im Argen.
Zum Vergrößern anklicken....

da hättest du recht mit, wenn deine annahme richtig wäre. ist sie aber nicht. hintergrund war, dass ein anwender ein admin kennwort erschlichen hatte und damit endlich sein dreckszeug installieren konnte und das auch ganz schmerzfrei gemacht hat und bis heute wohl denkt, er habe alles richtig gemacht, weils jeder so macht...

daher halte ich auch nix von fix verwendeten passworten etc.
 
Lösungsvorschlag 1: Port-Forwarding am Router

Nochmals besten Dank für Eure zahlreichen Hilfestellungen. Ich werde mich jetzt schrittweise von Einfach nach Komplex durch die Tipps arbeiten und meine dabei gesammelten Erfahrungen fallweise schildern. So kann dieser wundervolle Thread vielleicht auch für andere mit vergleichbaren Problemen als Anleitung dienen. Es wäre natürlich schön und wertvoll für die Leser dieses Threads, wenn Ihr diesen Erfahrungsbericht aus eurem eigenen Blickwinkel kurz bewerten könntet (z.B. Sicherheitsaspekte-WICHTIG!, Alternativen bei abweichenden Routern/Konfigurationen,...).

1.) Port-Forwarding am Router
1.a) Vorbereitung: Feste IP's
Zur Vorbereitung der Umsetzung habe ich, wie verschiedentlich empfohlen, die IP-Adressen der betroffenen Rechner (Bürorechner, Zweitrechner) und Router fest vergeben. Der DHCP-Dienst der Router musste, da dieser ja nur ein unverbindliches Angebot an die dort anschließenden Rechner macht, nicht abgeschaltet werden und bleibt somit für weitere, neu hinzukommende Rechner verfügbar. Die Zuweisung einer festen IP-Adresse erfolgte über die Eigenschaften der Netzwerkverbindung (Start-Einstellungen-Netzwerkverbindungen-Karte-Eigenschaften) am jeweiligen Rechner. Zur Vermeidung eventueller späterer Konflikte wurden feste IP-Adressen außerhalb des DHCP-IP-Bereichs vergeben.

1.b) Die Konfiguration ist jetzt:
Code: 
Internet
  |
Accesspoint Speedport W701V -> WLAN (192.168.2.x) -> PC's im Wohnbereich (IP vom DHCP)
  |  (=Gateway 192.168.2.1)                          + Zweitrechner (fest: 192.168.2.50)
  |                                                    (Win2000-Prof.)        |
  | via Netzkabel (192.168.2.x)                                               |
  |                                                                           |
Netgear 5-fach Switch -> Netzkabel (192.168.2.x) -> Weitere PC's möglich      |
  |                                                                           |
  | via Netzkabel (192.168.2.x)                                               |
  |                                                                           |
  |                    IP=192.168.2.11 im WLAN-Netz 192.168.2.x               |
D-Link Router DIR-100, IP=192.168.3.1 für Konfigurationsinterface             |
  |                    IP=192.168.3.1 im Router-Subnetz 192.168.3.x           |
  |                                                                           |
  | via Netzkabel (192.168.3.x)                                               |
  |                                                                           |
Bürorechner (fest: 192.168.3.51) <-<-<---( Diese Rechner werden verbunden )----
(WinXP-Prof.)

1.c) Port-Forwarding für den Zweitrechner
Am D-Link Router wurden alle Ports (eingegeben: 1-65535) für alle Protokolle (TCP und UDP) zum Bürorechner umgeleitet. Die größtmögliche Nummer ergibt sich aus der 16bit langen Portnummer, die Werte von 0 bis 65535 annehmen kann. Mit dieser Einstellung wird die Sicherheitsfunktion des Routers komplett außer Kraft gesetzt und es ist so, als ob der Bürorechner nicht mehr in einem geschützten Subnetz stünde.

1.d) Einschränkung des Forwardings für den Zweitrechner
Die Firewall-Einstellungen des D-Link Routers erlauben es festzulegen, welche Ports von welcher IP im äußeren Netz (WAN, Zweitrechner: 192.168.2.50) zu welchem Rechner im Subnetz (LAN, Bürorechner: 192.168.3.51) freigegeben werden. Bei der Einrichtung dieser Firewall-Freigabe/-Einschränkung fiel mir aber eine eine weitere, vom Router automatisch vergebene Freigabe auf, die alle Ports des Port-Forwardings (Abschnitt 1.c) für alle Rechner im äußeren Netz freischaltet. Diese automatische Freigabe konnte weder gelöscht noch angepasst werden. Damit wird nach meinem Dafürhalten die Sicherheitsfunktion des D-Link Routers für den Bürorechner komplett zerschossen und man könnte den Bürorechner auch gleich in's äußere Netz stellen.

1.e) Routing-Table erweitern
Duffguy (#16) empfahl, die Routing-Tabelle am Zweitrechner um das Routing zum Bürorechner zu erweitern. Ich gab dazu in der Eingabeaufforderung des Zweitrechners ein: 'route add 192.168.3.51 192.168.2.11'. Damit teile ich dem Zweitrechner mit, dass Anforderungen an den Bürorechner (192.168.3.51) über den D-Link Router (192.168.2.11) geleitet werden sollen. Mit 'route print' lässt sich das Ergebnis kontrollieren. Die Erweiterung der Routing-Tabelle erscheint mir hier jedoch entbehrlich, da ja bereits alle Anfragen an den Bürorechner unmittelbar über die IP des D-Link Routers (über das Port-Forwarding) geschaltet wurden.

1.f) Testen der Verbindung
Ping vom Zweitrechner:
- ping 192.168.2.1 (->Accesspoint: Verbindung OK)
- ping 192.168.2.11 (->D-Link Router: Verbindung OK)
- ping 192.168.3.51 (->Bürorechner: Keine Verbindung)
Ping von einem beliebigen PC im Wohnbereich:
- ping 192.168.2.1 (->Accesspoint: Verbindung OK)
- ping 192.168.2.11 (->D-Link Router: Verbindung OK)
- ping 192.168.3.51 (->Bürorechner: Keine Verbindung)
Von meinem Zweitrechner und von jedem beliebigen PC im Wohnbereich konnte ich eine Remotedesktopsitzung (MS-Netmeeting) mit meinem Bürorechner über die IP des Routers (192.168.2.11) aufbauen. Der Bürorechner kann also nur noch über die IP des Routers und nicht mehr über seine eigene IP angesprochen werden.

1.g) Mein persönliches Fazit
Der Zugriff auf den Bürorechner im Subnetz des D-Link Routers funktioniert jetzt über die Router-IP und ist sehr einfach zu verwirklichen. Die für meinen Bürorechner angestrebte Sicherheit durch Abschottung (im D-Link Subnetz) gegen die PC's meiner Kinder im Wohnbereich (WLAN-Netz) lässt sich jedoch mit dem D-Link Router DIR-100 mit diesem Lösungsvorschlag nicht verwirklichen, da sich mit ihm das Port-Forwarding nicht auf einzelne PC's im WAN-Bereich (äußeres Netz) des Routers beschränken lässt (vgl. Abschnitt 1.d). Das Forwarding aller Ports und Protokolle zerschießt nach meinem Dafürhalten das gesamte Sicherheitskonzept des Routers und entspricht dem Stellen meines Bürorechners in eine DMZ (Demilitarisierte Routerzone) oder dem kompletten Verzicht auf ein Router-Subnetz durch Stellen des Bürorechners ins WLAN-Netz des Accesspoints. Damit ist diese Lösung in dieser Konfiguration für mich leider nicht zu gebrauchen.

1.h) Offene Fragen meinerseits
Ist meine Sicherheitsbeurteilung zutreffend?
Gibt es Router, die Port-Forwarding nur für definierte Rechner-IP's zulassen?
Gibt es Lösungsvorschläge, wie das vorgenannte Konzept sicherer gemacht werden könnte?

1.i) Wie geht's weiter?
Mein nächster Erfahrungsbericht wird sich mit VNC (Virtual Network Computing - wahrscheinlich mit RealVNC) beschäftigen. Dazu brauche ich aber noch etwas Zeit, die Euch zum Zerpflücken dieses Erfahrungsberichts und zur Klärung der noch offenen Fragen bleibt. Es würde mich im Interesse der Leser dieses Threads und der Mitglieder dieses Forums sehr freuen, wenn wir mit Euren Antworten so etwas wie ein kleines Tutorial für Netzwerkdummies entstehen lassen könnten. Meinen besten Dank.

Nette Grüße, Hans Bauer


Nachtrag:
Wenn ich das Port-Forwarding (Abschnitt 1.c) weglasse, aber alle anderen Punkte (Router-Firewall, Routing) durchführe wie oben beschrieben, dann kann der Zweitrechner mit 'ping 192.168.3.51' nicht mehr auf den Bürorechner zugreifen. D.h. nach meiner Einschätzung werden unangeforderte Anfragen von Außen vom D-Link Router trotz durchlässiger Router-Firewall zurückgehalten. Ist das korrekt und bei allen Routern so?
 
Zuletzt bearbeitet:
Hallo Hans

Mit deinen Aussagen unter 1c bis 1e gehe ich mit dir vollkommen einig. Der Router ist als Sicherheitselement untauglich, sobald der eigentlich abgeschottete Bürorechner von aussen eben doch erreichbar sein soll.

Allenfalls könntest Du den Bürorechner genausogut an den Switch anschliessen und
die geforderte Sicherheit mit einer sehr restriktiv eingestellten Personal Firewall erreichen.

Gruss
:) duffguy
 
hi,

1.h) Offene Fragen meinerseits
Gibt es Router, die Port-Forwarding nur für definierte Rechner-IP's zulassen?
Gibt es Lösungsvorschläge, wie das vorgenannte Konzept sicherer gemacht werden könnte?
Zum Vergrößern anklicken....

ja: portforwarding für definierte ip/mac etc. gibt es in routersystemen, evtl nicht bei einem dlink.
alternativ dazu und ohne portforwarding ist ein vpn zugang in routersystemen möglich. vpn+zertifikat und entsprechende einstellungen auf zielrechner ohne das gesamte netzwerk in zugriff zu haben. Ein Fernzugrff ist ja keine Zauberei. Das geht allerdings nur schwer mit "50 Euro Routern".
ein routersystem ist ein bestandteil eines möglichen schutzkonzeptes.

ich rede ungern über sicherheit als über schutzbedarf. das hilft imho unabhängig von der technik über das individuelle thema nachzudenken:
fragen zum schutzbedarf wären bspw.

- gibt es geeignete systemrollen (Benutzerkonten, Zugriff auf Applikationen und Datenbestand etc - also in deinem fall auch: kann eines deiner kinder zugriff auf deinen privaten rechner -> beruflichen erlangen - gruss an die ibm werbung/Kind am Bürorechner alternativ Kind im LAN mit eigenem Rechner und haufenweise Chatprogs etc...dein privater rechner hat zugriff auf die netze...)

- werden vorhandene sicherheitsoptionen ausgenutzt? (grob: ntfs rechte, passworteinstellungen, Kennwortrichtlinien, Zugriffsoptionen Laufwerke und und und)

- werden flächendeckend Antivirus Lösungen oder vergleichbare lösungen eingesetzt und aktualisiert?

- hast du Anforderungen und "Risiken" aus Verträgen der Auftragsdatenverarbeitung, Kundendaten usf - sind sie bestimmbar und bewertbar?

-werden Sicherheitsmechanismen überprüft, protokolliert und ausgewertet? (sprich, würdest du eine Intrusion bemerken und so entsprechend reagieren können); gibt es eine vorgegebene Anleitung zu Verhaltensweisen bei "störungen" (sprich, wissen deine kinder/angestellten was in welcher Reihenfolge zu tun ist, wer zu informieren ist etc)

- was kostet dich 1 Stunde/Tag/xy Ausfall. Sind Daten überhaupt wiederherstellbar aus dem Sicherungskonzept? (Backup, Brandschutzzone etc)
(...)

das hört sich alles kompliziert an, aber so kannst du eine individuelle bewertung deines risikos vornehmen und viel einfacher geeignete massnahmen überhaupt beurteilen und auch investitionen in euro viel einfacher beurteilen.

Die Sache mit dem Router...also wenn du wirlich Lust hast, machen wir gern einen kleinen Workshop, wie man sich einen "bauen" könnte. Dabei könnte man auch gut mal exemplarisch das Thema Energiekosten, Mitteleinsatz etc behandeln - setzt aber eine Bewertung des Risikos und des Nutzens voraus imho.

ich bin ein Kauz, sry ;)
 
Hallo 74min,

Du hast wieder mal völlig recht, wenn Du die Sicherheitsanforderungen am persönlichen Schutzbedarf orientierst und nach den real verwirklichten Sicherheitsmaßnahmen fragst. Ich komme dieser Aufforderung gerne nach und beschreibe meine Konfiguration.

Zunächst zu meinen individuellen Voraussetzungen: Ich bin vereinfacht gesprochen mit einem Büro für statische Berechnungen selbständig/freiberuflich tätig und habe mein Büro im selben Haus wie die Wohnung mit meiner Familie (Ehefrau und zwei aufmüpfig werdende Kinder). Für meine berufliche Tätigkeit hatte ich zunächst nur einen PC im Büro mit Internetanschluss und nach und nach wuchsen die Bedürfnisse meiner Familienmitglieder. Inzwischen hat jedes Familienmitglied einen eigenen PC im Wohnbereich (ich meinen Zweitrechner) und geht via WLAN (verschlüsselt und mit MAC-Zugangskontrolle) zum Accesspoint und ins Internet. Alle Rechner sind mit aktuellem Virenschutz (Avira, Kaspersky) versehen. Der WLAN-Anschluss ist aufgrund der räumlichen Abstände für meine Kinder (trotz Repeater) zu langsam geworden und es wurde der Ruf nach einem kabelgebundenen Anschluss laut. Da mit wachsendem Netzwerktraffic auch die Gefahr eingefangener Viren/Schädlinge wächst, bestand ich auf einem abgesicherten Netz für meinen Bürorechner und auf einen gesicherten Zugang meines Zweitrechners in dieses Subnetz. So fingen die Probleme an, die zu diesem Thread führten und ich vermute, das solche oder ähnliche Probleme bei zahlreichen Familien auftreten.

Zu meinen Sicherheitsmaßnahmen: Mein Büro- und mein Zweitrechner kann nur mit Passwort genutzt werden. Mein Passwort ist dabei schwer knackbar (z.B. D8Av7msagSb - Die achtbaren Ausführungen von 74min sind aufgrund großer Sachkenntnis bemerkenswert) und nur mir bekannt, ich habe es auch nirgendwo aufgeschrieben. Gestehen muss ich allerdings, dass ich sowohl an meinem Bürorechner als auch am Zweitrechner mit Administratorrechten arbeite. Der Grund dafür liegt darin, dass einige meiner beruflich genutzten Programme Administratorrechte erfordern und es mir schlicht und einfach zu umständlich ist jedesmal per 'runas admin' diese Programme zu starten. Ich bin jedoch am überlegen, dieses 'runas' zu automatisieren und zukünftig nur noch mit Benutzerrechten zu arbeiten. Die momentane Situation erhöht natürlich mein Sicherheitsbedürfnis gegenüber anderen und fremdbeeinflussten Eingangstoren für Schädlinge.

Bezüglich meiner Datensicherheit habe ich diverse Maßnahmen ergriffen, die bereits mit der Organisation der Daten anfangen. In meinem Bürorechner befinden sich zwei gleich große Festplatten, jeweils mit 3 Partitionen (C,D,E und F,G,H). Die C-Partition enthält das Betriebssystem und die Programme, also alles, was mit CD/DVD auf einem neuen Rechner problemlos neu installiert werden kann. Die F-Partition enthält ein aktuelles Driveimage von C. Auf D befinden sich die beruflichen Daten (inkl. mbox-Dateien meines E-Mail Programms) in einem Büroverzeichnis. Darunter befinden sich die Unterverzeichnisse 'Ausf' und 'Vorj' für die aktuellen Projekte in der Ausführung und für die abgeschlossenen Projekte der Vorjahre. Jeden Arbeitstag werden um 9:00, 12:00 und 15:00Uhr automatisiert und ohne manuellen Eingriff die Dateien der aktuellen Bearbeitung 'Ausf' im Hintergrund mit den entsprechenden Verzeichnissen der korrespondierenden G-Partition abgeglichen. Dort gibt es Verzeichnisse für die Tage Mo. bis Fr. jeweils 15:00Uhr und tagesaktuelle Verzeichnisse für 9:00 und 12:00Uhr. Jeweils Samstags und bei Bedarf auch auf Mausklick wird das komplette Büroverzeichnis mit der H-Partition abgeglichen. Die E-Partition enthält private Dateien, die ausschließlich bei Bedarf (z.B neue Urlaubsbilder) auf eine externe Festplatte oder auf eine DVD gespielt werden. Eine Kopie der H-Sicherungspartition erfolgt jeden Samstag auf eine externe Festplatte in ein Unterverzeichnis, welches automatisch mit dem aktuellen Datum benannt wird. Auch das geht mit einem einfachen Mausklick. Für diese Sicherung stehen zwei externe Festplatten zur Verfügung, die jeden Samstag gewechselt werden. Die aktuelle Sicherung wird in einer freistehenden Garage (Brandschutz) zwischengelagert und mit der zuvorigen Sicherungsplatte ausgetauscht. Die Archivierung erfolgt für das vergangene Halbjahr wöchentlich, davor monatlich und noch weiter zurückliegend halbjährlich bzw. jährlich. Die externen Festplatten werden übrigens nur während der Datensicherung aktiviert, ansonsten ruhen sie stromlos und sind somit nicht für aktuell eingefangene Schädlinge angreifbar. Bei einem Festplattencrash habe ich also Zugriff auf Sicherungsdaten, die längstens 3 Stunden zurückliegen. Bei einem Bürobrand verliere ich maximal eine Woche. Die Datensicherung habe ich über den Scheduler des Programms 'PowerPro' mit dem Programm 'robocopy' von Microsoft automatisiert. 'PowerPro' stellt mir zudem ein übersichtliches Menüsystem zum Programmaufruf und mehrere Desktops unter WinXP (bei Vista macht PowerPro noch Probleme) zur Verfügung.

Für Verbesserungsvorschläge bin ich natürlich stets dankbar.

Zu: "...wenn du wirklich Lust hast, machen wir gern einen kleinen Workshop..." sage ich zunächst mal "Vielen Dank für das großzügige Angebot" und bitte ich Dich um etwas Geduld. Ich kämpfe gerade noch mit 'VNC' und möchte mich anschließend noch mit Deiner Empfehlung 'OpenVPN' befassen. Alles Neuland für mein betagtes Hirn.

Beste Grüße, Hans Bauer
 
Zuletzt bearbeitet:
Lösungsvorschlag 2: VNC-Software (Virtual Network Computing)

2.) Virtual Network Computing mit RealVNC
2.a) Vorbereitung: Feste IP's (wie in Abschnitt 1.a in #23)
Zur Vorbereitung der Umsetzung habe ich, wie verschiedentlich empfohlen, die IP-Adressen der betroffenen Rechner (Bürorechner, Zweitrechner) und Router fest vergeben. Der DHCP-Dienst der Router musste, da dieser ja nur ein unverbindliches Angebot an die dort anschließenden Rechner macht, nicht abgeschaltet werden und bleibt somit für weitere, neu hinzukommende Rechner verfügbar. Die Zuweisung einer festen IP-Adresse erfolgte über die Eigenschaften der Netzwerkverbindung (Start-Einstellungen-Netzwerkverbindungen-Karte-Eigenschaften) am jeweiligen Rechner. Zur Vermeidung eventueller späterer Konflikte wurden feste IP-Adressen außerhalb des DHCP-IP-Bereichs vergeben.

2.b) Die Konfiguration ist (wie in Abschnitt 1.b in #23):
Code: 
Internet
  |
Accesspoint Speedport W701V -> WLAN (192.168.2.x) -> PC's im Wohnbereich (IP vom DHCP)
  |  (=Gateway 192.168.2.1)                          + Zweitrechner (fest: 192.168.2.50)
  |                                                    (Win2000-Prof.)        |
  | via Netzkabel (192.168.2.x)                                               |
  |                                                                           |
Netgear 5-fach Switch -> Netzkabel (192.168.2.x) -> Weitere PC's möglich      |
  |                                                                           |
  | via Netzkabel (192.168.2.x)                                               |
  |                                                                           |
  |                    IP=192.168.2.11 im WLAN-Netz 192.168.2.x               |
D-Link Router DIR-100, IP=192.168.3.1 für Konfigurationsinterface             |
  |                    IP=192.168.3.1 im Router-Subnetz 192.168.3.x           |
  |                                                                           |
  | via Netzkabel (192.168.3.x)                                               |
  |                                                                           |
Bürorechner (fest: 192.168.3.51) <-<-<-------( Verbindung mit RealVNC )--------
(WinXP-Prof.)

2.c) Port Forwarding am D-Link Router zum Bürorechner
Am D-Link Router wurden für die Installation von RealVNC die standardmäßig vorgegebenen Ports 5800 und 5900 (vorsichtshalber für alle wählbaren Protokolle TCP und UDP) zum Bürorechner (192.168.3.51) weitergeleitet. Nach der Installation von RealVNC konnte ich die TCP/UDP-Umleitungen zum Port 5800 wieder entfernen, da dieser für den Fernzugriff via Java-Viewer reserviert wurde, ich jedoch ausschließlich mit dem VNC-Viewer über den Port 5900 zugreife. Ebenso war es möglich, die Weiterleitung über den UDP Port 5900 ohne merkliche Einschränkungen wieder abzuschalten. So verbleibt nur noch die Weiterleitung des TCP-Ports 5900 vom D-Link Router zum Bürorechner.

2.d) Installation von RealVNC (Version 4.1.2)
Nach dem Herunterladen der ausführbaren Installationsdatei der 'VNC Free Edition für Windows' (diese enthält den Server und den Viewer) habe ich zunächst den VNC-Server (Auswahl während der Installation) auf dem Bürorechner (=Remote Rechner) installiert. Das geht, ohne dass bei der Installation knifflige Eingaben abgefragt werden - einfach den üblichen Anweisungen folgen. Bei der Installation wurde der VNC-Server automatisch so eingerichtet, dass er bei jedem Windows-Start mitgestartet wird. Beim ersten Aufruf des VNC-Servers wird das Zugangspasswort erfragt, welches später zum Einloggen von der Client-/Viewerseite aus benötigt wird. Anschließend habe ich den VNC-Viewer auf meinem Zweitrechner installiert und den 'Listening VNC Viewer' gestartet. Dann konnte ich auf dem Bürorechner den VNC-Server im Service-Mode starten und mit einem rechten Mausklick auf das VNC-Server Symbol in der Taskleiste einen neuen Client (den Zweitrechner auf 192.168.2.50) hinzufügen. Zum Start einer Remotedesktopsitzung genügt es anschließend auf dem Zweitrechner den VNC-Viewer zu starten und die Zieladresse der Verbindung (der D-Link Router 192.168.2.11 wegen des Port Forwarding zum Bürorechner) einzugeben. Nach der Eingabe des zuvor am Server festgelegten Passworts (dieses wird verschüsselt übertragen) ist die Verbindung hergestellt und die Fernsteuerung läuft - das war überraschend einfach.

2.e) Erster Vergleich RealVNC mit MS-Netmeeting
Vorbemerkung: Mein Bürorecher verfügt über zwei Flachbildschirme mit einer Auflösung von jeweils 1600x1200, also effektiv 3200x1200. Am Zweitrechner befindet sich ein Röhrenbildschirm mit 1600x1200 Pixeln.

Die Übertragung von Eingaben am Zweitrechner zum Bürorechner erfolgte bei RealVNC fehlerfrei. Bei MS-Netmeeting traten manchmal Probleme auf, z.B. wenn ich am Zweitrechner zu schnell tippte. Dann konnte es passieren, dass Netmeeting zickte und längere Zeit regungslos vor sich hin piepste. Gestestet habe ich die Eingaben mit einer USB-Tastatur, einer Maus, einem Trackball und einem Wacom Intuos Grafiktablett.

Die Bildschirmanzeige wird bei RealVNC in Originalgröße vom Bürorechner auf den Zweitrechner übertragen. Am Bildschirm des Zweitrechners 1600x1200 gibt es deshalb Scrollbalken, die ein Bewegen über die übertragene Pixelfläche von 3200x1200 erlauben. Das erscheint zunächst ungewohnt, da damit am Zweitrechner durchschnittlich nur die Hälfte der am Bürorechner geöffneten Programmfenster sichtbar ist. Durch Zusammenschieben der Fenster lässt sich jedoch schnell die erforderliche Übersicht herstellen. Dann kann der Remotedesktop auf Vollbild umgestellt werden und die Scrollbalken verschwinden. Bei MS-Netmeeting werden die geöffneten Programmfenster des Bürorechners auf die geringere Pixelzahl des Bildschirms am Zweitrechner ohne eigenes Zutun und ohne Scrollbalken zusammengeschoben. Nachfolgend öffnende Fenster (z.B. Toolbar für die Kopf- und Fußzeilen in MS-Word oder komplette Programme bei deren Aufruf) können im ungünstigen Fall auch außerhalb des greifbaren Bildschirmbereichs des Zweitrechners aufgebaut werden und entziehen sich dort dem üblichen Zugriff. Abhilfe schafft dann häufig nur der Gang zum Bürorechner und ein Hereinziehen der Fenster in den am Zweitrechner sichtbaren Bildschirmbereich.

Der Bildschirmaufbau bei MS-Netmeeting erfolgt bei mir via WLAN einigermaßen zügig, ist aber aufgrund der verwendeten Kompression etwas unscharf. Bei RealVNC erfolgt der Aufbau des Bildschirminhalts zunächst etwas langsamer, ist aber bereits in der Default-Einstellung sehr scharf. Bei nachfolgenden Aktualisierungen des Bildschirms scheinen mir beide Lösungen etwa gleich schnell zu sein. RealVNC bietet für die Übertragung des Bildschirminhalts diverse Optionen (Hintergrund ausblenden,...) an.

2.f) Mein persönliches Fazit
RealVNC macht mir gegenüber MS-Netmeeting den ausgereifteren Eindruck bezüglich Robustheit und Anzeigequalität. Nachteilig bei RealVNC ist - wie 74min bereits in #20 festgestellt hat - die fehlende Integration in die Benutzerverwaltung des Bürorechners. Das Zugangspasswort zum VNC-Server ist deshalb genauso vertraulich zu behandeln wie das Passwort zum Einloggen am Bürorechner vor Ort.

2.g) Offene Fragen meinerseits
Der einzige offene Weg durch den D-Link Router zum Bürorechner geht entsprechend Abschnitt 2.c über den weitergeleiteten TCP Port 5900. Der TCP-Port 5900 am Bürorechner wird vom VNC-Server geöffnet und belauscht. Daraus ergeben sich für mich drei Fragen zu dem von außen erreichbaren TCP-Port 5900 des Bürorechners:
1.: Kann sich bei offenem TCP-Port 5900 ein Schädling am laufenden VNC-Server vorbeischleichen?
2.: Wenn der VNC-Server nicht läuft, ist dann der TCP-Port 5900 geschlossen und sicher?
3.: Kann man erforderlichenfalls den TCP-Port 5900 manuell schließen?
Die maßgebliche erste Frage lässt sich vielleicht auch folgendermaßen formulieren: Kann neben dem VNC-Server gleichzeitig noch ein weiteres Programm den TCP-Port 5900 des Bürorechners abhören bzw. können sich zwei Anwendungen einen Port teilen? Ich gehe mal davon aus, dass der VNC-Server kein Backdoor für Schädlinge enthält, sonst wäre ohnehin das gane Programm in Zweifel zu ziehen. Ich wäre Euch sehr dankbar, wenn Ihr diese nach meinem laienhaften Dafürhalten sehr wichtigen Fragen beantworten könntet. Meinen allerbesten Dank!

2.h) Wie geht's weiter?
Ich werde mich in den nächsten Tagen intensiv mit VNC beschäftigen und an den Einstellungen herumspielen um herauszufinden, ob 'VNC' für die obige Konfiguration geeignet ist. Dann befasse ich mich auf jeden Fall noch mit OpenVPN. Wie weit ich dabei komme steht noch in den Sternen und möglicherweise muss ich dazu auch noch das großzügige Hilfsangebot von 74min in Anspruch nehmen. Ihr könnt mir ja inzwischen mitteilen, ob Ihr an einem weiteren Erfahrungsbericht zu OpenVPN interessiert seid oder ob ich mir die Mühe sparen kann/soll. Auf Eure Antworten bezüglich der noch offenen Fragen aus Abschnitt 2.g warte ich mit großer Spannung.

Bis dahin habt Ihr meinen herzlichen Dank für Eure tolle Unterstützung und Supernature danke ich für die vorbildliche Betreuung in diesem Forum.

Euer Hans Bauer
 
Hans Bauer schrieb:
2.g) Offene Fragen meinerseits
Der einzige offene Weg durch den D-Link Router zum Bürorechner geht entsprechend Abschnitt 2.c über den weitergeleiteten TCP Port 5900. Der TCP-Port 5900 am Bürorechner wird vom VNC-Server geöffnet und belauscht. Daraus ergeben sich für mich drei Fragen zu dem von außen erreichbaren TCP-Port 5900 des Bürorechners:
1.: Kann sich bei offenem TCP-Port 5900 ein Schädling am laufenden VNC-Server vorbeischleichen?
2.: Wenn der VNC-Server nicht läuft, ist dann der TCP-Port 5900 geschlossen und sicher?
3.: Kann man erforderlichenfalls den TCP-Port 5900 manuell schließen?
Die maßgebliche erste Frage lässt sich vielleicht auch folgendermaßen formulieren: Kann neben dem VNC-Server gleichzeitig noch ein weiteres Programm den TCP-Port 5900 des Bürorechners abhören bzw. können sich zwei Anwendungen einen Port teilen? Ich gehe mal davon aus, dass der VNC-Server kein Backdoor für Schädlinge enthält, sonst wäre ohnehin das gane Programm in Zweifel zu ziehen. Ich wäre Euch sehr dankbar, wenn Ihr diese nach meinem laienhaften Dafürhalten sehr wichtigen Fragen beantworten könntet. Meinen allerbesten Dank!
Zum Vergrößern anklicken....


zu 1.: Nein. Ein Port (je Protokoll) kann nur von einem Programm benutzt werden.

zu 2.: Auf dem PC ist dieser Port solange geschlossen, bis dort ein Programm lauscht. Muss ja nicht unbedingt VNC auf 5900 sein. Der Port könnte auch von anderen Programmen belegt werden.
Auf dem Router bleibt der Port weitergeleitet. Wenn der Router Porttriggering unterstützt, dann würde der Port dort zugehen.

zu 3.: Siehe Pkt. 1

Ich empfehle trotzdem auf einen Nicht-Standardport beim VNC zu wechseln, da Standardports als erste gescannt und auch mißbraucht werden.
 
Hallo Lektro,

vielen Dank für Deine klare Antwort, die mir sehr weiterhilft. Darf ich Dir für meine Risikobewertung als Laie trotzdem noch zwei weiterführende Verständnisfragen stellen, die sich auf Deine Empfehlung beziehen, am Router keine Standard-Ports weiterzuleiten?

Szenario 1: Der VNC-Server lauscht auf seinem TCP-Port
Der TCP-Port ist laut Deiner Aussage exklusiv für den VNC-Server geöffnet. Ein Eindringen von Schädlingen über diesen Port ist also nur möglich, wenn der Eindringling den VNC-Server missbraucht und dieser sich auch missbrauchen lässt (laienhaft: z.B. Buffer-Overflow,...). Damit hängt die Sicherheit unmittelbar von der Qualität des VNC-Servers ab. Da RealVNC OpenSource ist würde ich unterstellen, dass hierfür eine große Sicherheit vorausgesetzt werden kann. Oder besteht Deiner Meinung nach die Möglichkeit, dass sich bei laufendem Remotedesktopbetrieb eine dritte Partei in die Sitzung einklinkt? So weit ich gelesen habe, wird bei RealVNC lediglich das Zugangspasswort verschlüsselt, die weitere Kommunikation erfolgt unverschlüsselt.

Szenario 2: Der VNC-Server ist deaktiviert
Dann ist laut Deiner Aussage auch der TCP-Port geschlossen, zumindest solange kein anderes Programm dort lauscht. D.h. ein Eindringen von Außen über diesen Port ist nur möglich, wenn der Port von einem Schädling belauscht wird, der sich bereits auf meinem Bürorechner befindet und der auf Nachrichten von außen wartet. Wenn ich Dich richtig verstehe, dann wären davon zunächst mal die Standard-Ports betroffen und Du empfiehlst deshalb, keine Standard-Ports über den D-Link Router weiterzuleiten.

Ich hoffe, diese Fragen sind Dir nicht zu blöd um darauf zu antworten.

Nochmals vielen Dank und beste Grüße
Hans Bauer
 
Hallo Hans,

zu 1.: Korrekt. Solange der VNC-Server aktiv ist, kann auch nur der auf diesem (TCP-)Port angesprochen werden. Das kann aber auch nur aus dem eigenen Netz kommen, solange der I-Net-Router (Speedport) nicht den Port 5900 an den zweiten Router (D-Link) weiterleitet.
Abhörsicher ist die unverschlüsselte Verbindung nicht. Aber dazu müßte der Lauscher erstmal über den Router, der die I-Net-Verbindung herstellt, kommen. Oder jemand in deinem eigenen Netz versucht abzuhören.
Wenn du mehr Sicherheit willst, dann kannst du auch UltraVNC benutzen. Ebenfalls OpenSource, mit Windows-Logon-Authentisierung und per Plugin auch mit verschlüsselter Verbindung.

zu 2.: Solche Schädlinge/Trojaner müssen nicht unbedingt "lauschen". Die Verbindung kann ja problemlos vom Schädling nach "aussen" aufgebaut werden. Ein Verbindungsaufbau aus deinem/n Netz/en zum I-Net funktioniert ja ohne Portfreigabe und spezielle Einstellungen am Router. Zum Beispiel eine Webseite von einem Webserver abrufen. Siehe auch
NAT. Da muß man mit Antivirensoftware etc. und eigenes vorsichtiges handeln zusehen, daß so etwas gar nicht erst auf den Rechner oder ins LAN kommt.

Von den Standardports rate ich ab, weil die eben gerne für Angriffsversuche als erste angefragt/gescannt werden. Es gibt 65535 Ports. Davon sind einige (1-1024) "reserviert" für bestimmte Anwendungen. Port 80 für HTTP, Port 21 FTP, Port 23 Telnet usw.. Unter anderem auch der Port 5900 für VNC.
Da es einiger Zeitaufwand ist, alle Ports zu scannen, ob dort jemand lauscht und antwortet, werden in der Regel die Standardports abgeklappert. Gibt es z.B. auf Port 5900 eine Reaktion, wird dort per Bruteforce vielleicht versucht das Passwort herauszufinden. Oder wie du schon schreibst, eine Sicherheitslücke in der Software auszunutzen. (Die gab es übrigens in der V4.11 vom RealVNC. Wurde aber sehr schnell mit der aktuellen V4.12 behoben.) Läßt du deinen VNC-Server aber auf einem Port > 50000 arbeiten, dann ist die Wahrscheinlichkeit gefunden zu werden schon um einiges kleiner. Und gefunden ist auch noch lange nicht "geknackt" (Sicheres Kennwort).

P.S.: Es gibt keine blöden Fragen, nur blöde Antworten.
 
Zuletzt bearbeitet:
Hallo Lektro,

herzlichen Dank für Deine Antworten, die meine Fragen und noch viel mehr beantworten. Langsam lichtet sich für mich als Netzwerklaien das Gestrüpp und manchmal sehe ich auch schon einen Sonnenstrahl durchblinzeln. Besonders interessant finde ich auch Deine Verweise zu UltraVNC (muss ich noch testen) und zur geschlossenen Sicherheitslücke bei RealVNC.

Aus dem Artikel des Heise-Verlags zur geschlossenen Sicherheitslücke bei RealVNC lese ich nämlich im Umkehrschluss heraus, dass die Sicherheit von VNC im lokalen Netz mit Rechner-Firewall und Passwortverschlüsselung als ausreichend bewertet wird. Trotzdem kann (so die dortige Aussage) die Sicherheit durch ein zusätzliches VPN-Netz (OpenVPN ruft...) noch gesteigert werden und ist dann auch für die Nutzung über's Internet geeignet.

Ich werde mich jetzt also noch mit UltraVNC (Danke für den Tip) befassen und mich dann auf OpenVPN stürzen.

Du hast mir sehr geholfen. Besten Dank

Dein Hans Bauer
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben