Hoe veilig is VPN?

zolang je geen shares over een weer toe laat zal dat wel enorm meevallen.
Maar als je toch je PC op de zaak moet overnemen . (geen Terminal Server of iets dergelijks) waarom gebruik je dan geen Remote Desktop van Windows?
Ps. In de verwachting dat de PC's Windows draaien en minimaal voorzien zijn van Win2000

@BoutWout: remote desktop draait ook op win9x hoor

Iedere ingang met het bedrijf is een extra riciso. Als jij een VPN verbinding toestaat, met full-access naar het netwerk intern al helemaal. Stel je voor: Truusje heeft een privePC, op deze pc staat een trojan, deze trojan wordt gebruikt door een scriptkiddie die nog denkt dat dit leuk is. Er wordt een VPN opgezet met het bedrijfsnetwerk, en het lokale netwerk blijft gewoon online. De PC van truusje kan dan gebruikt worden om het bedrijfsnetwerk op te komen, en zo al het kwaad te verrichten. En denk maar niet dat er nog logs op de PC van truusje staat zodat je kunt zien waar de hacker vandaan is gekomen..

remote desktop heet dan terminal server dacht ik, maar volgens mij is het even (on)veilig als VNC

vnc is naar mijn weten een stuk veiliger dan remote desktop aka terminal services vnc kun je of loopt via ssh en terminal services gaat onbeveiligt over het net

lordgandalf schreef op 19 mei 2004 @ 14:24:
terminal services gaat onbeveiligt over het net

Onjuist, zie hier: http://support.microsoft.com/?id=275727

VNC *kan* via een ssh tunnel, maar dat is volgens mij niet altijd zo.

[ Voor 17% gewijzigd door blackd op 19-05-2004 15:56 ]

vnc *kan* idd over ssh maar is standaard niet zo ingesteld maar heb je die link wel doorgelezen want boven aan staat

All the information that is passed from the client to the server in a Remote Desktop or Terminal Services session is not encrypted.

volgens mij staat hier dat alle informatie (dus ook wachtwoorden!!! onbeveiligd over het net gaan)

okee er staat dat windows xp en windows 2003 standaard 128 bits encryptie gebruiken

PS: ik vind het echt weer een knutselstukje van microsoft eerst zeggen dat je alles unencrypted over het net stuurt en dan zeggen dat winxp en win2k3 het wel doen want doen ze het nu wel of niet ????

remote desktop (terminal server) kan zelfs onder windows 95. vnc of terminal services maakt niet zo veel uit kwa veiligheid. met beide proggies neem je de pc over en kan je doen wat je wilt, mits je de juiste inloggegevens weet.

lordgandalf schreef op 19 mei 2004 @ 16:20:
maar heb je die link wel doorgelezen

Ja hoor.

All the information that is passed from the client to the server in a Remote Desktop or Terminal Services session is not encrypted.

En dan lees je verder en zie je dat veel informatie wel encrypted is. Die summary snap ik dan ook niet zo. Vanaf 2000 SP2 is het meeste wel encrypted.

PS: ik vind het echt weer een knutselstukje van microsoft eerst zeggen dat je alles unencrypted over het net stuurt en dan zeggen dat winxp en win2k3 het wel doen want doen ze het nu wel of niet ????

Het uitgangspunt is blijkbaar dat niet alles encrypted is, met uitzonderingen. Echter, 2003 en XP zijn een paar van die uitzonderingen waarbij de meeste informatie encrpyted wordt verzonden.
Maar het is niet zo dat alles unencrpyted over de lijn gaat, in tegenstelling tot vnc. Vandaar de link.

Verwijderd schreef op 19 mei 2004 @ 16:22:
remote desktop (terminal server) kan zelfs onder windows 95. vnc of terminal services maakt niet zo veel uit kwa veiligheid. met beide proggies neem je de pc over en kan je doen wat je wilt, mits je de juiste inloggegevens weet.

Dat is wel heel kort door de bocht, nooit aan sniffen gedacht?

Maargoed, het ging hier over VPN, niet over RDP/VNC.

wat een goede oplossing zou kunnen zijn, is dat alle mensen die naar kantoor willen vpn-en verplicht met hun machine langs kantoor moeten komen zodat jij (systeembeheerder) alle update's, firewall en een goede virusscanner kan installeren, ook een extra account voor je zelf aan maken op de machine's (of course wel admin rechten he??).

Doormiddel van dit wordt het een hacker al een stuk moeilijker gemaakt om op een computer in te breken.

Verder zou ik ook nog Cisco apparatuur aanraden (firewall) en deze dan als vpn server te gebruiken, omdat de firewall's van Cisco een goede encryptie hebben waarmee je dus als het ware een tunnel legt naar het hoofdkantoor.

Verder de gebruikers nooit full-control op het netwerk geven, en via VPN zou ik ze alleen maar lees rechten geven. Op deze manier kan er nooit iets "raars" op het netwerk terecht komen.

Suc6

het opzetten van de vpn verbinding is secure, de verbinding zelf is volgens mij niet gecrypt of iets dergelijks.

alleen xp en 2k3 sturen het encrypted over de lijn en als je ssh & vnc gebruikt neem op een veilige manier een pc over naar mijn weten

Wat maakt het eigenlijk uit of die remote desktop / ts encrypted is of niet?
In deze situatie wordt eerst een VPN opgebouwd, waarna pas via het dmv VPN gecreëerde interne netwerk een remote desktop / ts / VNC opgebouwd wordt. Dat dat dan niet encrypted is, maakt niet uit, de verbinding loopt namelijk al via de (secure) VPN tunnel.

okee das waar maar het probleem is idd dat de zwakste plek bij de eindgebruikers zit dus zoals al eerder gezegt laat de gebruiker eerst bewijzen dat ze hun pc afdoende hebben beveiligt en laat ze desnoods een contract teken dat ze zullen zorgen dat ze veilig verbindig maken via het werk dan kun je ze altijd aansprakkelijk stellen als door hun een virus op het netwerk komt

PipoDeClown schreef op 19 mei 2004 @ 19:27:
het opzetten van de vpn verbinding is secure, de verbinding zelf is volgens mij niet gecrypt of iets dergelijks.

Oh?
MS PPTP tunneling connecties zijn (als je je RRAS server tenminste configged zoals het hoort) in ieder geval 128bits MPPE encrypted.

l2tp / IPsec kan je nog hoger zetten, ten koste van performance.

RDP hoor je sowieso al standaard op high encryption te zetten (128bits) als je het rechtstreeks over internet gebruikt.

Enige wat dan nog unencrypted gaat is het opzetten van de RDP 5.0/5.1 connectie zelf, login gaat dan ook al over de rdp connectie heen.


ipv

All the information that is passed from the client to the server in a Remote Desktop or Terminal Services session is not encrypted.

had die zin beter zo kunnen lopen imho:

Not all the information that is passed from the client to the server in a Remote Desktop or Terminal Services session is encrypted.

Om even terug te komen op het oorspronkelijke onderwerp:

De opmerkingen als "

DAlchemist schreef op 18 mei 2004 @ 13:01:
@BoutWout: remote desktop draait ook op win9x hoor

Slaan natuurlijk de plank compleet mis op het moment dat TS nu met de volgende setup zit opgecheept:

Verwijderd schreef op 18 mei 2004 @ 12:37:
Ik heb een (vpn)server draaien onderlinux. Op de desktops/clients draait een VNC-servertje (realvnc).
Via een VPN verbinding vanaf thuis naar kantoor (linux-server) kunnen mensen met een VNC-viewer hun PC op kantoor overnomen...en zo thuiswerken...

Probeer jij eens Terminal Services op een Non-XP / Server OS (win9x/NT4/2000) te draaien?
Gaat je niet lukken zonder andere 3rd party dingen...


Je beveiliging staat en valt met hoe jij je routering en filtering op die desbetreffende VPN connecties hebt.

Als ze alleen maar VNC hoeven te gebruiken, firewall de rest dan dicht zodat ze ook alleen maar VNC kunnen gebruiken.
Gebruik desnoods een apart subnet alleen voor die 10 ip adressen, waarop je vervolgens alleen tcp/5900 open hebt,

Zo komen er ook geen worms vanaf een vpn client op je bedrijfsnetwerk.

[ Voor 47% gewijzigd door alt-92 op 19-05-2004 21:06 ]

blackd schreef op 19 mei 2004 @ 17:26:
Dat is wel heel kort door de bocht, nooit aan sniffen gedacht?

Maargoed, het ging hier over VPN, niet over RDP/VNC.

Ik ging er in deze vanuit dat er eerst een geencrypte vpn verbinding opgezet zou worden... Dat lijkt me ook vanzelf sprekend, wie gaat er nou direct rdp/vnc poorten openzetten op zijn firewall?