Extern bureaublad veilig?

Het schijnt dat er nog geen exploits zijn gevonden voor remote desktop van MS.
Dus volgens mij is het nu nog wel veilig, ik gebruik het zelf ook voor mijn server. En die zit achter een hardwarematige firewall. Ik heb in ieder geval nooit problemen gehad, en zolang je een beetje voorzichtig bent met je IP zal je weinig problemen krijgen denk ik.

Hoe hebben jullie ingesteld dat RDP over internet werkt ?

Heb poort TCP 3389 opengezet in mijn firewall voor bepaalde ip's en een TCP poort forward gemaakt naar het interne ip van mijn 2k3 server.


Maar ik krijg t niet werkend...

En heb je het ook geactiveerd op de W2K3 server, want daar staat het standaard niet aan...

ja ik heb t op de 2k3 server geactiveerd. Vanaf 't eigen netwerk werkt RDP perfect. Ik krijg t alleen via internet niet voor elkaar...

Als je poort 3389 TCP mapt naar je server moet het werken. Moet je wel jullie internet IP opgeven bij het verbinden (kan je zien op www.whatismyip.com).

RDP is vrij veilig, maar je kan het nog veiliger maken door de luister poort aan te passen. Ik heb bijv. RDP draaien op TCP poort 10050. Bij verbinden vul je in plaats van de hostnaam of IP adres de poort erachter: 123.21.23.13:10050

Poort kan je aanpassen door de key:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\WinStations\RDP-Tcp waarde PortNumber aan te passen. (Let op, tis een HEX waarde)

Of zoek op ms support.

Naar een XP of 2003 machine kan je in de remote desktop client aanvinken dat je de local drives wilt gebruiken. Gewoon aanvinken en op de terminal server heb je dan je lokale schijven tot je beschikking. VNC is leuk, maar performt bagger.

Fidel schreef op 23 augustus 2004 @ 11:45:
Zijn er ook mensen die ervaring hebben met de programmas
Remote Administrator en VNC ???

Als je dan toch om veiligheid geeft, gebruik dan geen VNC, in ieder geval niet zonder SSH: blackd in "Verbinding Extern Bureaublad"

Ik gebruik Remote admin. Ben er zeer tervreden over en voor over de snelheid ervan. Met een isdn lijn kan ik nog mijn server thuis overnemen. Wat veiligheid betreft werkt remote admin met 128-bit encryptie voor alle gegevens stromen. Dus ook aanloggen enz.

VNC is niet veilig en zou ik zeker niet zonder verdere bescherming over het internet gebruiken (dus door een VPN kan wel). Een normale VNC-verbinding is absoluut niet encrypted.

Edit: oh, het wachtwoord dus nog net wel lees ik net, maar voor de rest dus niet

[ Voor 30% gewijzigd door Wilke op 23-08-2004 13:02 ]

Ik draai zelf al een half jaar lang RDP op mijn W2k3 server (met standaard 2K3 firewall) en het gaat perfect...
Ik hou het allemaal in de gaten maar het gaat allemaal als een trein...

Fidel schreef op 23 augustus 2004 @ 13:13:
[...]


Kan ik hieruit opmaken dat remote admin net zo veilig is als RDP???

VNC kan ik dus beter weggooien als het aankomt op beveiliging.

Klopt als een bus

Ik heb vroeger ook veel Remote Administrator gebruikt en dat is wat snelheid betreft perfect! Maar ja, dat kost geld en RDP natuurlijk niet..

Fidel schreef op 23 augustus 2004 @ 13:13:
[...]

Kan ik hieruit opmaken dat remote admin net zo veilig is als RDP???

VNC kan ik dus beter weggooien als het aankomt op beveiliging.

Ho ho... niet zo snel. Er is ook nog UltraVNC. Net zo goed (zo niet sneller zelfs) als de "gewone" VNC. Maar verkrijgbaar met Data Stream Modification plugin. Deze DSM plugin zorgt voor een 128 bits tunnel voor je VPN verbinding. Hier is meer te lezen en hier is de plugin te downloaden.

Bevalt mij uitstekend.

Ik gebruik altijd RDP. Maar ik heb een VPN naar mijn router (draytek). Dat werkt als een trein.

Fidel schreef op 24 augustus 2004 @ 18:44:
Maar is het met die plugin dan nog wel gebruiks vriendelijk?

Generate key, kopieer naar server & viewer, selecteer DSM plugin in viewer. Da's toch niet al te moeilijk dacht ik zo.

Radmin heeft ook een optie voor file transfer...
Heeft VNC die ook??

Yup.. en die werkt prima ook.

Als ik voor beveiligen zou kiezen welke van deze drie zou ik dan moeten hebben?
VNC+plugin
Radmin
RDP

Ienemienemutte?

En als ik zou gaan voor snelheid?

Je hebt ze alledrie geloof ik, dus probeer het eens.

Fidel - één vraagteken is genoeg hoor

Fidel schreef op 24 augustus 2004 @ 18:44:
Als ik voor beveiligen zou kiezen welke van deze drie zou ik dan moeten hebben?
VNC+plugin
Radmin
RDP

Beveiliging heeft imho een aantal facetten - en natuurlijk is de daadwerkelijke protocol beveiliging daar een van (encryptie op datastream niveau enzo).

Ik zou VNC uberhaupt vergeten - er zijn veel te veel forks om daar een algemeen idee van te geven. Wel zou ik persoonlijk op een server geen UltraVNC installeren - het vervangt namelijk (tijdelijk) je display driver en Windows' display device drivers staan nou niet echt bekend op het gemakkelijk te programmeren zijn

Maar niet onbelangrijk is natuurlijk ook bv. het patch management - als radmin lek is wordt die dan automatisch geupdate zoals je dat met WindowsUpdate doet? - heeft radmin dezelfde support lifecycle als je Windows? Is de exposure van radmin op internet even groot als die van RDP op internet? (vergeet niet - Remote Desktop Connection is het protocol wat al sinds NT4 TS Edition gebruikt wordt en door ontwikkeld is)?

Mijn voorkeur gaat overduidelijk uit naar een goed beheersbaar en veilige technology als RDP

bgrr schreef op 23 augustus 2004 @ 09:23:
Heb poort TCP 3389 opengezet in mijn firewall voor bepaalde ip's en een TCP poort forward gemaakt naar het interne ip van mijn 2k3 server.

Maar ik krijg t niet werkend...

Je moet zowel TCP 3389 als UDP 3389 open zetten. Waarschijnlijk is dat de fout.

UDP/3389 is volgens mij alleen nodig voor geluid e.d. ?

In eerste instantie wel:

quote: http://www.microsoft.com/windowsxp/using/mobility/rdfaq.mspx

Q. What port does Remote Desktop use? Does everything go over port 3389?

A. Port 3389 is the only port you need to open. Sound will attempt to be streamed through User Datagram Protocol (UDP) first. If no port is available for UDP, sound will stream through a virtual channel in Remote Desktop Protocol, which uses port 3389.

Alleen TCP 3389 open zetten zou dus moeten werken en hier werkt het ook prima.