RDP zonder de standaard omgeving.

Werkt remote desktop wel via poort 80? Even afgezien dat je website dan niet meer werkt?

Het klinkt alsof ze dit soort dingen dus niet meer willen.
Misschien een RDP over http proberen?

Tunneling van RDP over HTTP of HTTPS toepassen, de eerste zou nog door IDS gedetecteerd kunnen worden, de 2e hoogstwaarschijnlijk niet (kunnen niet in de encrypted stream kijken).

Gebruik www.logmein.com of accepteer het feit dat de systeembeheerder blijkbaar niet wil dat jij een RDP sessie opzet naar je thuiscomputer.

kijk eens naar Team Viewer. Werkt ideaal. Gaat via een centrale server, is gratis voor non-com. gebruik.

Hmm, er is een reden dat ze die poort blokkeren... het is kennelijk niet de bedoeling dat je vanaf school een remote desktopverbinding opzet. Wat je kunt doen is een dienst als LogMeIn proberen, of inderdaad... een TS Gateway, en dan de boel over een SSL-verbinding tunnelen (443)

Maar het is dus niet de bedoeling

Je kunt ook zelf het poortnummer wijzigen, door e.e.a. in je registry te wijzigen. Daarna kun je gewoon connecten op [ip:poort]

[ Voor 16% gewijzigd door Alex) op 21-08-2008 16:26 ]

tim427 schreef op donderdag 21 augustus 2008 @ 16:24:
[...]
Ik zie het probleem niet zo, waarom zou je niet mogen...

RDP is op veel scholen en bedrijven geblokt.Dit kan diverse redenen hebben, vaak is dit een bandwijdte aspects of beveiligings aspect. Vraag de systeembeheerder even, indien het geblokt is zoek je of een weg eromheen of accepteer je het

[ Voor 11% gewijzigd door asfaloth_arwen op 21-08-2008 16:26 ]

tim427 schreef op donderdag 21 augustus 2008 @ 16:23:
Over http: TS Web Access werkt ook niet....

Dat gaat ook gewoon over poort 3389. Dat je de applicatie opstart via je browser maakt niet zoveel uit.

Streams zijn dan ook weer los te blokkeren. Met een proxy ertussen kun je nog veel meer dan alleen op poorten blokkeren

sh4d0wman schreef op donderdag 21 augustus 2008 @ 16:22:
Tunneling van RDP over HTTP of HTTPS toepassen, de eerste zou nog door IDS gedetecteerd kunnen worden, de 2e hoogstwaarschijnlijk niet (kunnen niet in de encrypted stream kijken).

Tunnel moet dan evengoed door poort 80. En dan werkt de webserver van de TS niet meer. Oplossing zou zijn om de webserver op een andere poort te zetten.

Waarschijnlijk blokkeren ze juist alle poorten, behalve die wat funtioneel open moeten. Dit om het netwerk zo veel mogelijk af te schermen. Voor je studie heb je geen RDP nodig (ook, ik geef toe het is af en toe heel handig). Nogmaals vraag je systeembeheerder of het open is en zo niet waarom niet, indien er geen goede reden is kun je vragen of de poort open mag (tel er maar niet op). Als je dit op een normale manier doet zal hij je best te woord willen staan / je email beantwoorden.

[ Voor 9% gewijzigd door asfaloth_arwen op 21-08-2008 16:35 ]

VPN?

OpenVPN servertje opzetten, zou ik zeggen.
Die kan je via proxy benaderen (zelfs een HTTP Proxy). Maar dan moet je wel een client kunnen installeren.

Wat je zou kunnen doen (indien je geen sites hebt die van https gebruik maken), is zoals eerder aangegeven je rdp verbinidngen via deze poort te laten lopen. Ofwel een poort forward van 443 naar 3389 in je router...

Lijkt me overigens dat ze VPN dan ook hebben dichtgezet

[ Voor 19% gewijzigd door wasted247 op 21-08-2008 16:50 ]

Verwijderd schreef op donderdag 21 augustus 2008 @ 16:44:
VPN?

Ik zou dat als beheerder ook dicht zetten

Met RDP kan je genoeg kwaats doen. zoals netwerk dicht trekken. door bestandsoverdracht open te zetten.
door LEK in RDP kunnen buitenstaanders het netwerk overnemen enz.

Gewoon naar de beheerder stappen ipv beperkingen omzeilen.
Je netwerkbeheerder heeft en blijkbaar wel kaas van gegeten. anders hadden jullie nu nog zonder proxy gewerkt

Als je over een paar jaar bij een bedrijf werkt kan je helemaal niets meer remote doen. aangzien de netwerkbeheerders al het verkeer naar buiten en naar binnen monitoren en waar nodig lekken zullen dichten. door site's zoals Streaming audio/video, Hyves e.d. te blokeren.

Als je websites beheerd zou je dit moeten plaatsen op echte webserver. als de sites bekender en drukker worden. kan jij dag dag zeggen tegen je verbindng want die trek je dan niet meer. een basis website met 4 GB verkeer en 100MB heb je al voor een schrijntje

wasted247 schreef op donderdag 21 augustus 2008 @ 16:49:
Wat je zou kunnen doen (indien je geen sites hebt die van https gebruik maken), is zoals eerder aangegeven je rdp verbinidngen via deze poort te laten lopen. Ofwel een poort forward van 443 naar 3389 in je router...

Lijkt me overigens dat ze VPN dan ook hebben dichtgezet

Hoop ik wel voor de beheerder Anders licht zijn site open voor het internet

[ Voor 18% gewijzigd door To_Tall op 21-08-2008 16:56 ]

To_Tall schreef op donderdag 21 augustus 2008 @ 16:54:Hoop ik wel voor de beheerder Anders licht zijn site open voor het internet

Refererend aan https of vpn? Bedoelde uiteraard vpn van binnen naar buiten en https is uiteraard niet voor iedere site nodig, maar dat had je je zelf vast ook bedacht.

Waarom map je poort 443 dan niet naar je RPD?
Die staat waarschijnlijk ook open.

tim427 schreef op donderdag 21 augustus 2008 @ 16:24:
[...]

Ik zie het probleem niet zo, waarom zou je niet mogen...

logmein.com wil ik niet ik wil wie TS Gateway kunnen werken

Dat jij het probleem niet ziet doet niet terzake, de systeembeheerder is degene die de risico's kan bepalen. En die zijn, zoals al gemeld, zeker als je bestandsoverdracht aan hebt staan behoorlijk groot. Er wordt een verbinding opgebouwd naar een pc in het interne netwerk, dus geen DMZ zoals je met een knappe VPN oplossing hebt. Als er dan iets misgaat heb je vaak ook gelijk flinke stront aan de knikker.

De systeembeheerder hoort het beleid, bepaald door de directie, uit te voeren.

Je zou naar het beleid kunnen vragen.

Verder ook even goed kijken wat de risico's zijn van het oneigenlijk gebruiken van de apparatuur op je school. Zou vervelend zijn als je een andere school mag gaan uitzoeken als het schooljaar net begonnen is

tim427 schreef op donderdag 21 augustus 2008 @ 16:30:

Maar ik zie het probleem niet... Waarom zou je het blocken?

Bedrijfsmatig: zet drivemapping in de RDP client aan en pomp zo wat klantenbestanden of andere waardevolle informatie over.

Daar zou ik als Security ook niet echt blij mee zijn

tim427 schreef op donderdag 21 augustus 2008 @ 22:40:
[...]

Maar dat is dus niet mogelijk... ik kan geen bestanden zien die ik niet mag zien....

Servers zijn niet zomaar toegankelijk...

De enigste reden die ik kan bedenken is: dataverkeer...

Ik weet eigenlijk niet hoeveel RDP trekt op zijn lichtste instellingen... maar 300kb/s per pc is te halen en is ons limiet.... Het heeft altijd perfect gewerkt....

Veiligheid zie ik niet zo... Of er zou een LEK in RDP ge-abused moeten worden... Maar daar heb ik geen verstand van

Hoezo een lek? Je deelt je schijf naar je thuispc. Jouw thuispc kan dus schrijven op de schijven van de pc waarmee je de sessie opbouwt. Wat als die geinfecteerd is met een virus/trojan?

Tim, je hoeft met ons niet in discussie te gaan over waarom het wel of niet zou mogen.
Wij maken het beleid niet bij jullie.

Je hebt je aan het beleid te houden, of je probeert het beleid aangepast te krijgen.
En dat laatste doe je ook niet hier.

Meer opties heb je niet. (tenminste, zonder dat je je op glad ijs begeeft.)

Ik zou in zo'n school omgeving ook een groot voorstander zijn van een zero tolerance beleid.
Je kunt de ter beschikking gestelde materialen gebruiken zoals het beoogd is, of je gebruikt ze niet.

Maar goed, dat laatste is een andere discussie.

pas op je server de rdp poort aan naar een nummertje die bijna overal open staat zoals 21(ftp) of als die bezet is wat anders.
forward die poort op je router/firewall gewoon rechtstreeks naar je server.
en dan met mstsc je ipnummer/dnsnaam invullen en :poortnummer erachter en klaar.
(vb. xxx.xxx.xxx.xxx:21)
als ze mstsc uitgeschakeld hebben kan je op je server nog webrdp installeren als IISmodule

(als ik dit niet zou willen als beheerder dan zou ik mstsc en activeX disablen en dan wordt t wel iets lastiger voor je)

Misschien is je thuis pc wel geinfecteerd met een virus?
Of is je IIS 7 server thuis wel gehacked?? I dont know!!

Misschien heb je thuis wel WIFI aan staan en zit er iemand in de buurt bij jouw via een brake encrypty op jouw netwerkje te ravotten I dont know.. and I dont give a S**T

Ik heb bij bedrijven gewerkt waar alle USB poorten geblokeerd waren en de HUD devices via PS2 poortjes werkten. omdat gebruikers van thuis een USB stick mee konden nemen en zo honderden MB's Data konden mee kopieeren.

Er zal best een rede zijn dat bij jouw op school RDP dicht gezet is. In mijn tijd konden we nog gebruik maken van ICQ en bestanden uitwisselen met derden. Toen na 6 maanden de beheerder er achter kwam dat wij informatie aan het uitwisselen waren met externe werd ICQ toegang geblokeerd.
we gingen toen naar Mirc toe. ook dat werdt dicht gezet. we vonden altijd wel ergen toegang toe.

Nooi bij stilgestaan waarom er zo moeilijk werdt gedaan. tot dat ik zelf ging werken en een gebruiker ons belde. Ja mijn pc det het niet meer zo goed..
Bleek die gebruiker had 1001 niet goedgekeurde software op zijn pc zoals LimeWire.

Standaard deelde LimeWire je voledige C:\ schijf.

We haden nog geen ISA server daar dus internet verkeer lag voledig open. maar niemand had admin rechten. Hoe hij daar aan is gekomen weet ik nog steeds niet moraal is dat zijn C:\ schijf een koppeling had naar een server share die dus ook op LimeWire werdt gedeeld..

Toen begreep ik dat de school niet mij wilde dwars zitten maar hun eigen netwerk aan het beveiligen was.

Wil jij thuis op je pc kunnen komen?? Ga naar KPN/Vodafone. en koop een UMTS data bundel. Kopel deze aan je eigen laptop die je dan aanschaf en in de kantine kan je lekker onder het genot van een bak zwarte koffie zonder suiker. je zaakjes thuis regelen.

Opensshd thuis draaien op poort 443, met putty erop connecteren en in putty een tunnel leggen van 8001 naar localhost:3389. RDP'en naar localhost:8001 et voila.

Hier moet vast wel iets te vinden zijn

Ga eens wat doen op school ipv je machientje thuis beheren!

[ Voor 25% gewijzigd door MAX3400 op 22-08-2008 08:24 ]

tim427 schreef op vrijdag 22 augustus 2008 @ 14:24:
systeembeheerder gesproken: Antwoord: "Is me te veel werk...."

Hoe moeilijk kan het zijn op een exclusion rule te maken in een proxy???

Zo'n man zit daar natuurlijk niet om alle individuele problemen van studenten op te lossen.

Naar wat testen (VPN werkt ook niet). werkt poort 9999 wel...

http://<domein>:9999/ komt er gewoon doorheen... Dus eventjes een test bak neer zetten en poort 9999 wijzigen... hopen dat het werkt

Het lijkt er wel een beetje op dat alleen wat standaard poorten zijn dicht gegooid.

Noork schreef op vrijdag 22 augustus 2008 @ 14:41:
[...]
Zo'n man zit daar natuurlijk niet om alle individuele problemen van studenten op te lossen.

[...]

Als de beste man bedoelt dat het teveel werk is om alle individuele problemen van studenten op te lossen: terecht.

Als hij bedoelt dat 1 uitzonderingsregel aanmaken teveel werk is, is hij gewoon fucking lui.

Sowieso vind ik het een vrij zwakke argumentatie.

Vicarious schreef op vrijdag 22 augustus 2008 @ 14:51:
[...]

Als de beste man bedoelt dat het teveel werk is om alle individuele problemen van studenten op te lossen: terecht.

Als hij bedoelt dat 1 uitzonderingsregel aanmaken teveel werk is, is hij gewoon fucking lui.

Sowieso vind ik het een vrij zwakke argumentatie.

Ik zie bovenstaande 2 dingen als 1 geheel. Een uitzondering betreft het oplossen van een individueel probleem. Om hem als lui te betitelen slaat helemaal nergens op; zo'n man kan z'n energie wel beter besteden. Daarnaast is hij je dit totaal niet verplicht, en is het wellicht niet eens toegestaan bij het gehanteerde beleid.

Noork schreef op vrijdag 22 augustus 2008 @ 15:03:
[...]

Ik zie bovenstaande 2 dingen als 1 geheel. Een uitzondering betreft het oplossen van een individueel probleem. Om hem als lui te betitelen slaat helemaal nergens op; zo'n man kan z'n energie wel beter besteden. Daarnaast is hij je dit totaal niet verplicht, en is het wellicht niet eens toegestaan bij het gehanteerde beleid.

In die tijd dat hij vertelt dat 1 regel aanmaken teveel werk is, had hij die regel al aangemaakt kunnen hebben. Tuurlijk heeft die man betere dingen te doen en natuurlijk is hij je niet verplicht, en misschien is het ook niet toegestaan. Er zijn nog wel meer argumenten te bedenken ook, en die zijn allemaal beter dan het argument dat hij nu geeft. Daar gaat het mij meer om. Vergeet niet he: ik was vanaf het begin al degene die zei dat hij het maar moest accepteren

tim427 schreef op vrijdag 22 augustus 2008 @ 14:57:
[...]

Het gaat om het laatste....

Ja tuurlijk, je bent ongetwijfeld de enige student ever die een verzoek indient. De beste man heeft helemaaaal niks anders te doen het hele jaar en dus is 'ie dus lui? Ik zou minstens LAKS inschakelen, zo niet de Raad van Bestuur.

Sorry, maar heb je de beste man ook uitgelegd wat je met de poort wil gaan doen en waar je naartoe connect en waarom? Dat is veel betere argumentatie om bij een beheerder aan te komen (en goodwill te kweken als het interessant is voor je) dan dat je nu doet voorkomen.

*edit*
Ik had als systeembeheerder ondertussen je decaan/begeleider al ingelicht; blijkbaar hoort het niet bij je basispakket wat je op school doet en dus is het een vreemd verzoek.

[ Voor 12% gewijzigd door MAX3400 op 22-08-2008 16:06 ]

Je hebt thuis W2k8 draaien zo te merken. Wat draait er op die werkstations? Als dat Vista is of XP SP3 dan kun je gaan kijken naar SSTP. Tunnelen over een https verbinding.

Support ook proxy maar dan moet ie wel authentication hebben..

tim427 schreef op vrijdag 22 augustus 2008 @ 18:08:
En ja ik heb uigelegd wat je kan met RDP... ook over printers/mappen delen... Heb er ook bijgezegd dat er weinig interessants te halen valt op de schijven...

Volgens mij kun je dit trouwens ook uitschakelen. Ik kan vanaf m'n opleiding wel verbinding maken met RD, maar geen schijven, printers delen etc.

tim427 schreef op vrijdag 22 augustus 2008 @ 19:03:

En nog veel meer van dat soort dingen...

Tja, dan zijn ze het gekloot van je medestudenten zat geworden en maken ze gewoon geen uitzonderingen meer.

Want één uitzondering wordt al gauw twee, jouw maatje vertelt het nog wat mensen - vervolgens lopen er 2643 verzoeken voor uitzonderingen.

Die man heeft wel wat beters te doen met het beperkte budget en de gelimiteerde opdrachten die hij krijgt.

Ergo: eigenlijk wil je een netwerkbeveiliging omzeilen, en dat is iets waar we nog steeds niet behulpzaam bij hoeven te zijn.

Hier op de Universiteit Antwerpen hebben ze ook een "Niets mag tenzij" policy
Wat ik doe voor RDP (en eender welke andere service op een niet standaard poort) is ik gebruik putty om een SSH verbinding op te zetten en maak dan een SSH tunnel. Als poort 22 openstaat dan kan je wat (en anders definieer je je ssh server op een andere poort die wel openstaat). Het enige waartegen je aan zou kunnen lopen is dat de pc's zelf remote toegankelijk zijn via rdp maar dat zou mij bizar lijken.

De tunnel gaat als volgt. Je mapt localhost:3389 op intern-ip-van-je-rdp-server:3389. en je verbind je rdp-client met localhost.

[ Voor 11% gewijzigd door redfox314 op 22-08-2008 23:19 ]

redfox314 schreef op vrijdag 22 augustus 2008 @ 23:16:
Hier op de Universiteit Antwerpen hebben ze ook een "Niets mag tenzij" policy

Ik heb ook 2 jaar op de UA gestudeerd, en ik heb dit ook wel ondervonden. Ik had netwerkbeheer erover gemailed, maar kreeg te horen dat ze daar niet aan kunnen beginnen. Gelukkig vond ik toen dit documentje, en gecombineerd met een beetje gegoogle en firewall-geconfigureer kon ik toch doodleuk gebruik maken van een aantal dingen die eigenlijk geblokkeerd werden.


Ontopic: als de beste man het niet wil houdt het op, of je moet - zoals ik dus heb gedaan - zien uit te vogelen welke poorten wél openstaan.

je kan met no-ip ook een port redirect doen....
Dan laat je een no-ip dns redirecten van een toegestane poort zoals 80 of 443 naar 3389 bij je thuis...
Kaka... Dat ging dus over een 80 redirect...
Negeren dus...

[ Voor 18% gewijzigd door HyperBart op 23-08-2008 04:16 ]

Alex) schreef op zaterdag 23 augustus 2008 @ 01:03:
[...]
Ontopic: als de beste man het niet wil houdt het op, of je moet - zoals ik dus heb gedaan - zien uit te vogelen welke poorten wél openstaan.

En dan gelijk het risico aanvaarden dat je van je opleiding afgeschopt wordt omdat je bewust bezig bent met een gedeelte van de beveiliging te omzeilen...

http://www.hopster.com/ deze gebruike wij altijd om de proxy te omzeilen

En bedankt weer een om aan de blocklist toe tevoegen - als die er al niet instond

tim427 schreef op zaterdag 23 augustus 2008 @ 08:25:
[...]

Whhahaahha,

Nee ik heb leerplicht en nee ik weet wel tot hoe ver ik mag/kan gaan....

Leerplicht of niet. Ze kunnen je nog steeds er af schoppen of ze verbieden het gebruik van je eigen laptop of totaal gebruik van computers binnen school. En als je computers nodig hebt voor je opleiding....

Het is en blijft de regels van school omzeilen. Er zijn genoeg manieren om het voor elkaar te krijgen. Hoe daarvoor hebben we google.

Of je pakt gewoon een andere, wel-werkende poort? Probleem opgelost lijkt me.

alt-92 schreef op donderdag 21 augustus 2008 @ 19:43:
[...]


Bedrijfsmatig: zet drivemapping in de RDP client aan en pomp zo wat klantenbestanden of andere waardevolle informatie over.

Daar zou ik als Security ook niet echt blij mee zijn

Overdreven allemaal. Via webmail kan ik ook allerlei bestanden versturen. Of een ander http upload formulier..heel internet maar blokkeren?

Sterker nog, bij een filtering proxy is het precies omgedraaid alles staat dicht over poort 80 behalve html, probeert er iets over poort 80 naar buiten te gaan maar is het geen html dan is het dag dag, pech pech...

Omdat ik gok dat een school wel wil loggen op welke sites hun scholieren komen ( bij normaal gebruik geen privacy probleem want niemand heeft er toegang toe, maar is wel makkelijk als opeens een brein met een gerechterlijk bevel vragen komt stellen )
Gok ik dat ze een filtering proxy hebben.

Sowieso als het een beetje netjes is opgezet dan kan je het vergeten, inet router zit dan in een apart vlan met alleen de proxy/mail server erbij op aparte netwerkkaarten. Dan heb je altijd die proxy-server ertussen zitten of je moet op dat vlan komen ( waarna de firewall opeens mee gaat spelen ). Beetje proxy server laat alleen vastgestelde protocollen door.

Het algemeen beleid #misbruik

tim427 schreef op donderdag 21 augustus 2008 @ 16:30:
[...]

Dat is/was ook mijn gedacht

Maar ik zie het probleem niet... Waarom zou je het blocken? Ik bedoel: je kunt er niks kwaats mee. Integendeel, ik hoe niet meer aan de pc's in school te kloten... Ik laat geen rommel op de pc's achter enz.

Dat jij het probleem niet ziet, betekend nog niet dat wij hier gaan helpen om de beveiliging van het netwerk op jou school te omzeilen.

tim427 schreef op vrijdag 22 augustus 2008 @ 08:00:
[...]

Ik ga, in mijn ogen dan, niet met jullie in discussie Ik zeg alleen wat ik denk

Ik begrijp best dat school denkt: Alles dicht, tenzij nodig....

En over het dit: "Je hebt je aan het beleid te houden, of je probeert het beleid aangepast te krijgen.
En dat laatste doe je ook niet hier." > Ik kom thuis, ik maak een topic... Hoe moet ik dan nog dezelfde dag die systeembeheerder spreken? Dat doe ik vandaag wel, mits hij aanwezig is (hij werkt 3 dagen in de week)...

Met alle respect, maar dat je de nodige persoon niet kunt vinden betekend niet dat je hier verder kunt gaan met het omzeilen van de beveiliging.

tim427 schreef op zaterdag 23 augustus 2008 @ 08:25:
[...]

Whhahaahha,

Nee ik heb leerplicht en nee ik weet wel tot hoe ver ik mag/kan gaan....

Leerplicht betekend echt niet dat ze je van de school af kunnen zetten

tim427 schreef op vrijdag 22 augustus 2008 @ 08:17:
Misschien een stomme vraag...

Maar als de beheerder er niet is/te bereiken is... Met welk programma (het liefst zonder te installeren) kan ik vanuit het netwerk kijken welke poorten er naar buiten werken?

Een soort poort checker van binnen uit naar buiten... Zodat ik weet welke poort ik zou kunnen gebruiken...

Ook dit gaat dus tegen onze policy in.

Wat ik nog wel het ergste van dit hele topic vind is de gedachte 'ik wil dit, en het moet lukken. Ongeacht de regels'.

Het boeit geen kont wat de reden is om RDP te blokkeren naar buiten toe vanaf het schoolnetwerk.
Het is niet jou netwerk, en om je schoolpapiertje te halen heb je helemaal geen RDP nodig.
Einde verhaal dus.

Mijn persoonlijke advies : haal dat bord voor je kop vandaan en accepteer dat men het niet wil.

De argumenten die ik hier ook zie over luie beheerder en weet ik wat allemaal. Denk je dat zo'n beheerder het ook maar iets boeit dat je niet meer met je servertje thuis kan babbelen ? Hij wil een veilig netwerk en zet daar de nodige technische middelen voor in.