Ich habe auf meinem Handy zum ausprobieren Wyse PocketCloud installiert, womit ich direkt über RDP auf meinen PC zugreifen kann.

Nun ist's ja so, dass man im Prinzip mit der IP + Port direkt zum Loginscreens meines PCs kommt...


Ist das, ein gscheites Passwort vorausgesetzt, mehr oder weniger sicher? :freak:

mmm...

Sehr sicher ist es in der normalen Installation wohl nicht.
http://de.wikipedia.org/wiki/Remote_Desktop_Protocol

Ich würde aufjedenfall den Port verbiegen, wobei ich eher eine VPN als RDP benutzen würde. RDP kann dann über den VPN- Tunnel kommen und ist so geschützt, wenn der Tunnel ordentlich eingerichtet ist.

Hallo,

lol bei einem Sicherheitsthema mit Wikipedia argumentieren.

RDP nutzt eine 128 Bit Verschlüsselung, es ist also sicher.

http://support.microsoft.com/kb/275727/en-us

Port verbiegen bringt nicht viel. Siehe nmap.

http://nmap.org/

mfg

RDP mit 128 bit RC4 sollte sicher sein.

Port verbiegen bringt nicht viel. Siehe nmap.
NMAP sagt einem nur welche Ports offen sind, nicht was dahinter wirklich läuft. Das ist aber trotzdem unsinnig, weil wenn man den Traffic mitschneidet spielt der Port keine große Rolle mehr.

NMAP sagt einem nur welche Ports offen sind, nicht was dahinter wirklich läuft.

Mit nmap -sV kann man auch rausfinden was dahinter läuft wenn nmap den Dienst erkennt. Weiß ich jetzt nicht ob das bei RDP der Fall ist.

Ne etwas sicherere Alternative zu RDP wäre sicherlich VNC. Zur Not eben auch noch über VPN getunnelt...

lol bei einem Sicherheitsthema mit Wikipedia argumentieren.
RDP nutzt eine 128 Bit Verschlüsselung, es ist also sicher.
http://support.microsoft.com/kb/275727/en-us
Port verbiegen bringt nicht viel. Siehe nmap.
http://nmap.org/mmm...

Hast du dir von deinem Link mal die Überschrift durchgelesen?
High Encryption on a Remote Desktop or Terminal Services Session Does Not Encrypt All Information
Ich würde da lieber einen VPN Tunnel aufbauen.

Text aus Wikipedia:
Auf Grund einer Designschwäche dieses Protokolls in Versionen vor 6.1 ist es möglich, dass Mitarbeiter in einem Netzwerk via ARP-Spoofing an sensible Daten gelangen.[2] Allerdings besteht die Möglichkeit, RDP-Verbindungen mittels Transport Layer Security (TLS) zusätzlich abzusichern, womit eine sichere Authentifizierung gewährleistet ist.[3]

So gesehen würde ich RDP nicht übers Internet unbedingt einsetzen wollen oder zumindest den Port verbiegen.
NMap ist mir bekannt, benutzen Würmer und Scriptkiddies das auch? Eher selten ...

Die 128-bit Verschlüsselung sollte eigtl. ausreichen.

Wenn man es noch sicherer haben will, dann baut man die RDP-Verbindung über einen VPN-Tunnel auf, dann kann man IMO sorgenfrei arbeiten ^^

Ich habe auf meinem Handy zum ausprobieren Wyse PocketCloud installiert, womit ich direkt über RDP auf meinen PC zugreifen kann.

Nun ist's ja so, dass man im Prinzip mit der IP + Port direkt zum Loginscreens meines PCs kommt...


Ist das, ein gscheites Passwort vorausgesetzt, mehr oder weniger sicher? :freak:
RDP ist sehr sicher. Es gibt keine bekannte (praktisch) angreifbare Schwachstelle. Nahezu jede Firma auf der Welt hat Port 3389 offen.

Es gibt aber eine Sache, die man machen sollte:

Das Konto "Administrator" und aus der Gruppe "Remotedesktopbenutzer" rauswerfen (noch besser: vorher "Administrator" umbennen, z.- B. in "Hubert Müller").

RDP ist sehr sicher. Es gibt keine bekannte (praktisch) angreifbare Schwachstelle.Doch, natürlich gibt es Schwächen. Beispielsweise gab es bis in die jüngste Vergangenheit keine Authentifizierung der Endpunkte (weder in die eine noch in die andere Richtung), und damit null Schutz vor Man in the Middle-Angriffen.

Nahezu jede Firma auf der Welt hat Port 3389 offen.Das glaube ich nicht, außer ich habe bisher nur Unternehmen kennen gelernt die nicht zu "nahezu jeder Firma auf der Welt" gehören. Dass an den Übergabepunkten zwischen Unternehmensnetz und Internet jemand Portweiterleitungen für RDP-Verbindungen (ohne SSH oder VPN-Absicherung) einrichtet halte ich für eine abenteuerliche Vorstellung.

Doch, natürlich gibt es Schwächen. Beispielsweise gab es bis in die jüngste Vergangenheit keine Authentifizierung der Endpunkte (weder in die eine noch in die andere Richtung), und damit null Schutz vor Man in the Middle-Angriffen.Und jetzt erkläre dem Threadstarter, welche praktische Gefahr für ihn droht.Das glaube ich nicht, außer ich habe bisher nur Unternehmen kennen gelernt die nicht zu "nahezu jeder Firma auf der Welt" gehören. Dass an den Übergabepunkten zwischen Unternehmensnetz und Internet jemand Portweiterleitungen für RDP-Verbindungen (ohne SSH oder VPN-Absicherung) einrichtet halte ich für eine abenteuerliche Vorstellung.Geh mal in den Mittelstand.

Das Problem von uns IT-Hanseln ist, dass wir hypothetische und theoretische Ansätze in die echte Welt transportieren. Gedanklich.

Nahezu jede Firma auf der Welt hat Port 3389 offen.mmm...

Für jeden frei aufrufbar oder nur für bestimmte IP- Adressen?

RDP mit 128 bit RC4 sollte sicher sein.


NMAP sagt einem nur welche Ports offen sind, nicht was dahinter wirklich läuft.

Hey Coda!

Grundsätzlich empfehle ich mal einen Blick in die Hilfe von nmap oder in das wirklich sehr gute Buch des Entwicklers Fyodor. Hier speziell in den Bereich der einzelnen Scantypen und des -sV Switches.
Nmap sagt mir deutlich mehr, als "Port ist offen oder nicht".

Gruß,
TC

Danke erstmal für die vielen Antworten :)

Also grundsätzlich führt es mich ja direkt zu meinem Login wenn ich connecte. Nötig ist dazu ja im Prinzip nur meine IP Adresse und der Port. Mein Passwort des Accounts bezeichne ich als "sicher" (8 Zeichen, Gross- und Kleinbuchstaben, Zahlen, Sonderzeichen). Connecten tu' ich über das mobile Netzwerk oder WiFi. Ich logge mich mit meinem normalen Account ein (der hat Adminrechte...). In der Gruppe "Remote Desktop Users" ist gar kein Account.
VPN habe ich auch schon überlegt, allerdings habe ich nix gefunden was gratis ist oder dann hab' ich's nicht kapiert :D Habe da einfach zu wenig Erfahrung (nämlich gegen 0).

Wie wahrscheinlich ist es, dass jemand deine IP Adresse ausgecheckt. Also solange du darüber keine Dienste im Internet laufen hast, worauf jemand aufmerksam werden kann.. klar könnte jemand noch zufällig deine ausprobieren, aber da würde mich dann schon die Motivation interessieren.
Anders formuliert: Es gibt genug reizvollere Ziele..

mmm...

Hast du dir von deinem Link mal die Überschrift durchgelesen?
High Encryption on a Remote Desktop or Terminal Services Session Does Not Encrypt All Information
Ich würde da lieber einen VPN Tunnel aufbauen.

Text aus Wikipedia:
Auf Grund einer Designschwäche dieses Protokolls in Versionen vor 6.1 ist es möglich, dass Mitarbeiter in einem Netzwerk via ARP-Spoofing an sensible Daten gelangen.[2] Allerdings besteht die Möglichkeit, RDP-Verbindungen mittels Transport Layer Security (TLS) zusätzlich abzusichern, womit eine sichere Authentifizierung gewährleistet ist.[3]

So gesehen würde ich RDP nicht übers Internet unbedingt einsetzen wollen oder zumindest den Port verbiegen.
NMap ist mir bekannt, benutzen Würmer und Scriptkiddies das auch? Eher selten ...

Weder das eine noch das andere ist ein Sicherheitsproblem - beim ersten Punkt müsstest Du mal lesen was genau unter Umständen und bei welchen Versionen nicht enrypted wird (nur unwichtiger/unmöglicher scheiss) und beim Arp Spoofing ist es eh hinfällig sich Sorgen zu machen.
Dazu müsste ein Angreifer bereits ziemlich privilegiert im LAN des Servers oder des Clients sein - und wenn dies gegeben ist, hätte der sicher interessanteres zu tun, als zu versuchen irgendwelche Pakete mitzusniffen.

Wie wahrscheinlich ist es, dass jemand deine IP Adresse ausgecheckt. Also solange du darüber keine Dienste im Internet laufen hast, worauf jemand aufmerksam werden kann.. klar könnte jemand noch zufällig deine ausprobieren, aber da würde mich dann schon die Motivation interessieren.
Anders formuliert: Es gibt genug reizvollere Ziele..

Weiss halt auch nicht wie die Typen so ticken :biggrin:
Nein aber ist klar, ich denke es sollte passen wie's ist. Müsste ja zudem auch noch mein PW geknackt werden...

Habe mir auch schon überlegt einen "Gast" Account einzurichten, aber mir geht es ja nicht primär um die "Benutzung" des PCs ansich sondern um kleinere Dinge. Wenn ich weg bin ein Torrent starten oder ändern, eine Datei die ich vergessen hab' hochladen,...und das geht schlecht mit einem Zweitaccount.

Bin halt echt erstaunt wie gut das funktioniert mit dem Handy...