Remote Tool - RDP

[derocco]

Was wäre ein gut geeignetes Remote Tool für folgendes Szenario:

PC zuhause, ich bin auf Reisen am andren Ende der Welt und muss via Notebook auf den PC um von da Arbeiten zu erledigen.

Teamviewer scheint nicht stabil zu laufen, da die in so einem Fall dann gewerblich vermuten etc.
Ich habe Anydesk mal getestet und Google Desktop.

Wichtig ist es muss absolut stabil laufen und auch ein remote Login ermöglichen. Das heisst wenn der PC zuhause wegen Update oder irgendwas unerwartet neu starten sollte, muss ich auch dann direkt drauf kommen.

 

[Nilson]

VPN + RDP
Je nach Router kann der VPN-Server sein, oder du stellst dir ein Raspberry-Pi o.ä. zuhause hin.
Für das Einschalten WOL einrichten.

 

[d2boxSteve]

Richte zu deinem Router eine VPN Verbindung ein (geht mit jeder Fritzbox) und nutze darüber Microsofts Remote Desktop.

 

[kamanu]

Das was @Nilson und @d2boxSteve sagen.
Und wenn du irgendwo liest, dass du dir das VPN ja sparen kannst und direkt den Port von RDP weiterleiten kannst: Tu es bitte nicht. Einen PC so direkt ans Internet zu hängen geht in den seltensten Fällen gut.
Portforwarding fürs VPN (wenns auf nem Raspberry läuft) wäre in Ordnung.

 

[till69]

Einen PC so direkt ans Internet zu hängen geht in den seltensten Fällen gut

Wenn man das IPv6 only macht, kannst Du aus selten meist machen

Habe seit 2 Jahren einen SSH Zugang (Standard Port 22) nur per IPv6 in Netz. Fremde Login Versuche: NULL

 

[Nilson]

Zum einen ist SSH was anderes als RDP und das per IPv6 zu "verschleiern" ist auch nur "Security by obscurity". Da kannst du den SSH Port auch auf Port 45327 legen, da kommen auch weniger Bots vorbei.

 

[honky-tonk]

Fremde Login Versuche: NULL

...die du mitbekommen hast...vll ist der Angreifer schon drin und hat die Spuren verwischt

ansonsten interessant, hätte nie gedacht, dass es so unattraktiv ist,

 

[madmax2010]

Habe seit 2 Jahren einen SSH Zugang (Standard Port 23) nur per IPv6 in Netz. Fremde Login Versuche: NULL

hehe sollte man trotzdem nicht unbedingt machen. den v4 space zu enumerieren dauert ja wenn man will kaum 10 Minuten. V6 sollte man schon ein wenig prunen, dann kann man zummindest die Provider Spaces in einzelnen bereichen theoretisch scannen. Aber man will auf jeden fall schauen welche netze ueberhaupt existieren. Der Dynamit Ansatz ist hier jedenfalls nicht mehr realistisch. Eher schleppnetze

 

[till69]

ansonsten interessant

Nun ja, die Wahrscheinlichkeit den Lotto-Jackpot zu knacken und anschließend vom Blitz getroffen zu werden dürfte höher liegen als einen hohen offenen Port einer IPv6 zu "finden".

Kann ja vielleicht mal jemand ausrechnen

 

[kamanu]

Nun ja, die Wahrscheinlichkeit den Lotto-Jackpot zu knacken und anschließend vom Blitz getroffen zu werden dürfte höher liegen als einen hohen offenen Port einer IPv6 zu "finden".

Weiß nicht, ob du da hinkommst. Die Anzahl theoretischer IPv6 Adressen ist zwar so riesig, dass sie echt kaum vorstellbar ist.
Aber @madmax2010 schlägt schon mal eine Variante vor. Was mir noch spontan einfallen würde:
DNS. Klar kann man sich die IP merken - aber DNS ist schon praktisch. Wenn also jemand Wind von der entsprechenden Domain bekommt die du dafür nutzt ist es auch entsprechend einfach den AAAA-Eintrag dazu zu finden. Wie könnte man an den Namen der Domain kommen? cert.sh. Wenn du z.B. nen Let's Encrypt Zertifikat für deine Domain beantragt hast um damit eine Website zu sicher, wird das öffentlich gelogged.
Edit: Ganz so einfach isses wohl nicht. Aber ändert nix am nächsten Part.
Klar ist das jetzt gleichzeitig auch alles weit hergeholt. Aber kombinier mal ein paar Sachen und schon steigt die Wahrscheinlichkeit massiv an. Deswegen ist Security by Obscurity halt einfach kacke 😅.

 

[Pete11]

Ich habe gerade HopToDesk getestet - funktioniert gut.

 

[madmax2010]

https://gitlab.com/hoptodesk/hoptodesk/-/commits/main
Oha. It's new and shiny and Foss.
Ich teste das demnächst mal gegen vnc

 

[NOTAUS]

Kann ja vielleicht mal jemand ausrechnen

>Klick>

Ergänzung (14. Februar 2023)

Ich habe gerade HopToDesk getestet - funktioniert gut.

Da bin ich ein bisschen skeptisch... "HopToDesk ist ein amerikanisches Unternehmen mit Sitz in den USA."
Da ist von Hause aus schon die (gesetzlich vorgeschriebene) Hintertür mit eingebaut.

 

[madmax2010]

"HopToDesk ist ein amerikanisches Unternehmen mit Sitz in den USA."

erster gedanke.
ich bin eben mal etwas durch den Code gegangen. schaut nach Rust Ccrypto Libs und standard Libcrypt aus. An den stellen konnte ich nicht sehen dass sie da an den Libs oder deren implementierung was getan haben was man so sonst nicht macht
aber hey, das sind ein paar zehntausend Zeilen Code. Und auch Open Source Projekte haben schon NSLs bekommen
Ehrlichgesagt wuede ich dem Tool intuitiv mehr trauen als MS Remote Desktop Tools und Teamviewer.

 

[NOTAUS]

Anydesk

Hat auch mittlerweile zeitliche Einschränkungen. Kann man auch von der Liste der Empfehlungen streichen! Leider! :/
VNC und Ultra VNC fällt mir noch ein... bin da aber nicht Up to Date...

 

[xexex]

Nun ja, die Wahrscheinlichkeit den Lotto-Jackpot zu knacken und anschließend vom Blitz getroffen zu werden dürfte höher liegen als einen hohen offenen Port einer IPv6 zu "finden".

Den braucht man aber nicht selbst zu suchen.
https://www.shodan.io/search/examples

IPv6 ist keine "Sicherheit" und mit der zunehmenden Anzahl IPv6 Only Zugängen im asiatischen Raum dürfte man früher oder später sogar einfacher anzugreifen sein als mit einer IPv4 Adresse.

 

[Art Vandelay]

... VNC und Ultra VNC fällt mir noch ein... bin da aber nicht Up to Date...

Aber auch nur in Verbindung mit einem VPN, einen VNC Server sollte man auch nicht direkt vom Internet aus erreichbar machen.

 

[Gliese]

UltraVNC läuft auch auf einen Rechner mit Windows 11. Wissen einige schon, aber lieber sage ich es einmal zu viel: Um sich anmelden zu können oder die UAC-Dialoge für Adminrechte abzunicken, muss UltraVNC zwingend als Systemdienst installiert und eingerichtet sein.
Man sollte vorher noch testen, was passiert, wenn der Monitor ausgeschaltet ist - ich hatte bei manchen VNC-Varianten mitunter schon mal nur eine kleine Luke zum Arbeiten (glaub sowas wie 800x480, man konnte nicht richtig arbeiten).

Natürlich kann man VNC neben RDP betreiben, um eine größere Sicherheit zu haben, falls mal eins ausfällt.

btw auch ich bin der Überzeugung, dass VPN Pflicht ist.

 

[till69]

dürfte man früher oder später sogar einfacher anzugreifen

Theoretisch ja, aber rechnen wir mal, den öffentlichen Präfix (2^56) lassen wir mal außen vor.

Ein offener Port (2^16) auf einer meiner 4.722.366.482.869.645.213.696 (2^72) IPv6 Adressen:

Ein Hacker schafft 1000 Ports pro Sekunde zu scannen, sind dann im Jahr 86400x365x1000 (=31536000000) gescannte Ports.

Aber es gibt ja nicht nur einen Hacker, daher nehmen wir einfach alle 8 Milliarden.

Also: 2^(16+72) / (31536000000 * 8000000000) = 1226713 Jahre (für einen Komplett-Scan)
Und wenn sie nach 1% schon fündig werden sind es nur noch knappe 12268 Jahre.

Daher bezweifle ich Dein "früher" und würde sogar sagen: etwas später

 

[xexex]

Ein Hacker schafft 1000 Ports pro Sekunde zu scannen

Und genau hier liegt dein Rechenfehler oder hast du dir meinen Link nicht angeschaut? Kein Hacker muss heutzutage noch etwas scannen, dafür reicht ihm eine Suchanfrage. Das "scannen" übernimmt bereits seit Jahren Shodan oder es werden dafür Botnetze genutzt.

Deine "Rechnung" mit den IPv6 Adressen geht ebenfalls aus einem anderen Grund nicht auf, da aktuell nur ein geringer Teil der Präfixe überhaupt genutzt wird und es sich relativ einfach anhand der Routingtabellen feststellen lässt welche Präfixe von welchen Providern genutzt werden. Es sind dann zwar immer noch viele Adressen zu scannen, aber auch hier braucht nicht jede einzelne geprüft werden, für den Ausschluss reicht auch das jeweilige Präfix.

Letzten Endes "farmen" Suchmaschinen wie Shodan aber schlichtweg Webseiten und DNS ab. Wenn unter einer Adresse eine Webseite läuft, ist die Wahrscheinlichkeit groß, dass da auch andere Ports geöffnet sind und wenn du eine Webseite aufrufst, wird ebenfalls immer deine IP Adresse erfasst. Es reicht also bei einem "Honeypot" wie Youporn eine Anzeige zu schalten und schon kommen die Adressen zu dir und nicht umgekehrt.