alternatief voor xdmcp en ssh -X - Linux en overige clients

dinsdag 25 februari 2003 13:35

Acties:

Topicstarter

Ik zit hier in een groot netwerk dat onderdeel uitmaakt van internet en wil een bepaalde gebruiken kunnen laten inloggen op mijn computer. Hij moet ook grafische programma's kunnen draaien. Dat kan allemaal met ssh -X. Ik zou hem echter een eigen X sessie willen geven: dus inloggen met gdm, waarna hij een desktop voor zijn neus krijgt. Dit kan met xdmcp, maar in de xdmcp howto wordt gezegd dat xdmcp zo onveilig is dat je alleen in beveiligde netwerken moet toepassen.
Is er een veilig alternatief waarmee je een desktop kunt presenteren aan gebruiker op het netwerk?

dinsdag 25 februari 2003 13:49

Acties:

Verwijderd

Een ssh tunnel gebruiken voor xdmcp of vnc?

dinsdag 25 februari 2003 17:11

Acties:

xzenor

Ja doe maar. 1 klontje suiker.

een beter plan is misschien een vpn server opzetten..
kan ie met pptp een secure connectie naar je maken, en dan is het dus wel secure

dinsdag 25 februari 2003 17:13

Acties:

odysseus

Debian GNU/Linux Sid

Je kunt xdmcp ook wel vrij veilig maken door er een extra firewall bij te maken, lijkt me. Je zorgt er dan voor dat er alleen vanaf bepaalde computers een verbinding gemaakt mag worden naar de poorten die xdmcp gebruikt. Op die manier moet iemand al IP-adressen over kunnen nemen om bij het inlogscherm te komen, laat staan dat hij vervolgens kan inloggen

.

Leven is het meervoud van lef | In order to make an apple pie from scratch, you must first create the universe.

dinsdag 25 februari 2003 17:23

Acties:

xzenor

Ja doe maar. 1 klontje suiker.

firewall is sowieso wel aan te raden voor een bak die op internet hangt....

dinsdag 25 februari 2003 20:54

Acties:

Sir Isaac

Topicstarter

Ik heb inderdaad al een firewall draaien, en heb erover gedacht om met een firewall alleen verkeer vanaf de computer van de andere gebruiker toe te laten. Dan kan een eventuele aanvaller niet zomaar inloggen. Onderscheppen van data verkeer is wel mogelijk.
Ik zal naar een ssh tunnel eens overwegen. Hoe veel data verkeer genereert X? Kost het tunnellen van de verbinding veel rekenkracht. De client machine (waar de x-server draait

) is namelijk een niet al te snelle machine met 64 Mb ram, die ze lam hebben gelegd door er win2000 op te zetten

woensdag 26 februari 2003 01:13

Acties:

_JGC_

odysseus schreef op 25 February 2003 @ 17:13:
Je kunt xdmcp ook wel vrij veilig maken door er een extra firewall bij te maken, lijkt me. Je zorgt er dan voor dat er alleen vanaf bepaalde computers een verbinding gemaakt mag worden naar de poorten die xdmcp gebruikt. Op die manier moet iemand al IP-adressen over kunnen nemen om bij het inlogscherm te komen, laat staan dat hij vervolgens kan inloggen .

Vervolgens zit je op een hubje en wordt er vrolijk plaintext zooi gesnifft

woensdag 26 februari 2003 01:23

Acties:

Verwijderd

mja, ook switches zijn te sniffen, en als ik 1 van de allowed ip's spoof, ben ik ook door je firewall heen. Imo zou een encrypted tunnel of een vpn nog wel het beste zijn. Als de client een w2k box is, tsja, pppoe werkt, maar die doet weer niet encrypten als ik me niet vergis. Zitten client en server op hetzelfde subnet / netwerk?

[ Voor 7% gewijzigd door Verwijderd op 26-02-2003 01:24 ]

woensdag 26 februari 2003 10:09

Acties:

Sir Isaac

Topicstarter

We zitten inderdaad op hetzelfde subnet. tot nu toe voel ik inderdaad het meest voor een combinatie van een firewall met een encrypted tunnel. Maar welke poorten moet ik tunnelen voor xdmcp? 177 utp en udp. En een aantal 6000+ poorten, maar hoeveel (alleen 6000 genoeg voor 1 gebruiker). Moet ik zowel tcp als udp tunnelen?
Is het trouwens niet genoeg om alleen de login te encrypten? Dan zijn is zijn wachtwoord beschermd, su naar root mag hij toch niet. Toetsaanslagen en muisacties zijn niet security gevoelig, hoogstens privacy gevoelig, dus lijkt een firewall mij genoeg. Of heb ik dit mis en moet toch alle verkeer versleuteld worden voor een veilige omgeving. Met veilig bedoel ik dat wachtwoorden versleuteld worden verstuurd en dat niemand anders een loginscherm voor zijn neus kan krijgen.

woensdag 26 februari 2003 11:21

Acties:

xzenor

Ja doe maar. 1 klontje suiker.

waarom draai je niet gewoon een vpn server dan?
dan kan je gewoon complete poortreeksen openzetten puur en alleen voor die vpn interface.
Ben je ook van het gezeur af dat het van een bepaald ip moet komen en dat dat dan weer eventueel te spoofen is enzo.. plus dat je gehele verbinding incrypted is. het inloggen en de rest van de sessie ook.

woensdag 26 februari 2003 14:28

Acties:

sebas

VPN kan ook encrypted, daarvoor is echter wel een kernel-patch nodig, xoror weet hier wat meer over.

http://www.cs.hmc.edu/~me/linux/vpn/pptp.html

Hiermee is ieg een 128bit encrypted VPN verbinding mogelijk.

Everyone complains of his memory, no one of his judgement.

woensdag 26 februari 2003 16:15

Acties:

Sir Isaac

Topicstarter

sebas schreef op 26 februari 2003 @ 14:28:
VPN kan ook encrypted, daarvoor is echter wel een kernel-patch nodig, xoror weet hier wat meer over.

http://www.cs.hmc.edu/~me/linux/vpn/pptp.html

Hiermee is ieg een 128bit encrypted VPN verbinding mogelijk.

Deze link gaat over linux als pptp *client*. Mijn situatie is dat ik vanaf een windows computer iemand wil laten inloggen op mijn linux computer.
In de vpn howto gaat het ook over een linux only vpn. Verder lijkt een vpn mij sowieso wat ingewikkeld.

woensdag 26 februari 2003 16:58

Acties:

xzenor

Ja doe maar. 1 klontje suiker.

kijk eens naar poptop (nee geen pop als in pop3 maar pluk de klinkers er maar tussenuit dan is het pptp)

http://www.poptop.org/

woensdag 26 februari 2003 18:54

Acties:

sebas

Sir Isaac schreef op 26 February 2003 @ 16:15:
[...]

Deze link gaat over linux als pptp *client*. Mijn situatie is dat ik vanaf een windows computer iemand wil laten inloggen op mijn linux computer.
In de vpn howto gaat het ook over een linux only vpn. Verder lijkt een vpn mij sowieso wat ingewikkeld.

Lees anders even verder dan de titel van de pagina, er staat in paragraaf 2 duidelijk aangegeven wat je moet doen (server- en client side) om het werkend te krijgen, ook welke daemon je het beste kunt gebruiken en hoe je encryptie erin krijgt.

Ook dat het hier om een Linux only VPN gaat is pure onzin, in paragraaf 1 staat het volgende:

Foruntately for us, someone has patched pppd to make use of Microsoft's MPPE (Microsoft Point to Point Encryption?) extensions which provide 40- and 128-bit encryption with the RC4 algorithm.

Lijkt me duidelijk dat Microsoft geen Linux only oplossingen verzint die vervolgens weer naar linux geport moeten worden. Kortom, als je even verder kijkt dan je pi ... eh neus lang is kom je erachter dat hier precies staat hoe je veilige netwerkverbindingen kan opzetten, en vervolgens xdmcp of watjemaarwilt ^(tm) lekker veilig en stabiel via het netwerk kunt aanspreken.

Volgende keer lezen, mmkay?

Everyone complains of his memory, no one of his judgement.

woensdag 26 februari 2003 22:30

Acties:

Sir Isaac

Topicstarter

Bedankt voor de suggesties allemaal. Ik heb even wat verder gelezen in de documentatie van pptp en poptop gelezen. (Goed he, Sebas

) Als ik dat echt zou willen zou ik me er behoorlijk in moeten verdiepen, en daar zal mijn baas het niet mee eens zijn.

Ik heb nu drie opties, in volgorde van aantrekkelijkheid:
- firewall, ssh tunnel voor xdmcp login
- vpn mbv poptop
- vpn mbv pptp volgens http://www.cs.hmc.edu/~me/linux/vpn/pptp.html

Wat is jullie commentaar op mijn suggestie om een ssh tunnel te gebruiken voor de xdmcp login en de rest van het verkeer niet versleutelen, maar alleen met een firewall te beschermen?

woensdag 26 februari 2003 23:24

Acties:

Verwijderd

Sir Isaac schreef op 25 February 2003 @ 20:54:
Ik zal naar een ssh tunnel eens overwegen. Hoe veel data verkeer genereert X? Kost het tunnellen van de verbinding veel rekenkracht. De client machine (waar de x-server draait ) is namelijk een niet al te snelle machine met 64 Mb ram, die ze lam hebben gelegd door er win2000 op te zetten

X genereert aardig wat dataverkeer, hoeveel precies is mij niet duidelijk. Het tunnelen via SSH is geen probleem. Ik kan vanuit huis via SSH inloggen op de X server op de universiteit, of op de server bij mij thuis, en dat werkt allebei vrij goed. En dan hebben we het over een client met een 200 Mhz proc en 32 MB RAM.

Je moet wel alles encrypten, dus niet alleen de login. Doe je dat niet, dan maak je het mensen makkelijker om X-sessies te kapen, kijken wat er op jouw monitor aan de gang is, al je toetsslagen af te tappen, etc. etc. En hij wil natuurlijk niet zijn GoT wachtwoord bekend maken.

woensdag 26 februari 2003 23:49

Acties:

sebas

Hier kost de encrypted VPN connection ongeveer 10% van de snelheid. Server is een celly 375 met 384mb ram op een 10mbit lijntje.

Everyone complains of his memory, no one of his judgement.

donderdag 27 februari 2003 21:35

Acties:

Sir Isaac

Topicstarter

sebas schreef op 26 februari 2003 @ 23:49:
Hier kost de encrypted VPN connection ongeveer 10% van de snelheid. Server is een celly 375 met 384mb ram op een 10mbit lijntje.

Hier gaat het om ee P1 200 Mhz met 64 Mb ram, dat bijna helemaal vol is met win2000. Daarom kies ik voor een ssh tunnel voor poort 177 (xdmcp login).