Hallo

der Titel sagt eigentlich schon alles. Ich möchte von außerhalb auf meinen Server zugreifen können. Nur leider hab ich den Port irgendwann man in der Firewall geschlossen. Und deshalb such ich welcher Port das ist damit ich das einstellen kann!

Willst Du dem Sasser-Wurm die Tür wieder öffnen ?

Hallo,

angeblich 3389. In der Praxis habe ich aber festgestellt, dass ich manchmal bei geblocken RPC Ports von XP Clients nicht connecten konnte.

Gruss

Hotzi

Türen will ich keine öffnen.
Aber ich brauch das wenn ich mal unterwegs bin und daheim was machen muss. Wenn da was nicht hinhaut haben 3 Mann kein Netz und ich keine Daten :)

Hab den Fall jetzt hier. Die 3389 ist offen. Dennoch ist es nicht möglich auf den Rechner zu kommen

Ethereal zeigt hier hier nur Traffic zwischen 3389 und 1045 46 47 usw an.

Wir hatten mal nen Wurm im Lan, da hatten wir 135 bis 139 und 445 geblockt, da kam ich mit Windows XP auf keinen Server per Remote Desktop. Mit dem Remote Desktop Viewer auf der Knoppix CD gings...

Gruss

Hotzi

Typisch MS. Wieder über 20 verschieden Ports gehen. Da kann das tolle BS nicht sicher werden.

Naja, jedes System ist so gut wie sein Admin, aber:

Eines ist der Zielport, das andere der Sourceport, der ist ab 1024 dynamisch vergeben. Ich wollte damt nur ausdrücken, dass ich keine Kommunikation auf 445, 137, 139 usw bemerkte.

Wenn Du unter Linux nicht weisst was Du tust, kannst Du auch Probleme bekommen.

Ich erinnere an den Einbruch im PHPNuke von it-secure-x.de oder Debian, Gentoo usw..

Gruss

Hotzi (der Linux und Windows einsetzt und jeweils das Beste beider Welten nutzt)

Und ich sage eben wenn mal solche Sachen nur über einen oder 2 Ports gehen würden wäre das für alle besser. Vor allem für die Admins :)

Naja, die meisten Sachen gehen ja aufm Zielport nur über einen Port, das ist in der Regel auch nicht von Microsoft abhängig, denn die Sachen sind ja als RFC´s spezifiziert. Abgehend brauchst Du ja nen Random Port, wie solls denn sonst gehen ?

Gruss

Hotzi

Da könnte es ja auch der 3389 sein.

Schau' Dir doch mal VNC (www.realvnc.com) an. Open Source und nicht M$-proprietär.

Klaus

Für RAS Zugriffe komprimiert die OS Variante TightVNC höher, ist daher schneller:

http://www.tightvnc.com/

die VNCs haben Vorteil, dass DU keinen Client brauchst, da sie einen Webserver mit JavaApplet mitbringen. Freizuschalten sind je nach Funktionalität Port 5800 und 5900.

Gruss

Hotzi

"How secure is TightVNC?
Although TightVNC encrypts VNC passwords sent over the net, the rest of the traffic is sent as is, unencrypted (for password encryption, VNC uses a DES-encrypted challenge-response scheme, where the password is limited by 8 characters, and the effective DES key length is 56 bits). So using TightVNC over the Internet can be a security risk. To solve this problem, we plan to work on built-in encryption in future versions of TightVNC.

In the mean time, if you need real security, we recommend installing OpenSSH, and using SSH tunneling for all TightVNC connections from untrusted networks. "

Da möchte man doch mal wieder Man in the Middle sein...

Dat Ei

Naja, das Selbe betrifft auch die meisten Emaillogins, FTP-Logins, das Login hier im Forum, Logins per .htaccess ohne SSL usw usf...

Naja, das Selbe betrifft auch die meisten Emaillogins, FTP-Logins, das Login hier im Forum, Logins per .htaccess ohne SSL usw usf...

Bei den Protokollen habe ich aber auch nur sehr beschränkte Möglichkeiten und insbesondere keine Möglichkeiten, den Remote-Rechner zu steuern. Darum Vorsicht, wenn man derartige Software mal eben zum Spaß über's Web einsetzt. Da gehört dann der empfohlene VPN drumrum.

Dat Ei

Ja das ist klar, wobei man es SCP, https, SASL usw gibt. Ich persönlich mache das bei VNC so, dass ich im Bedarfsfall (das Steuerbüro meiner Tante zum Beispiel) anrufe und denen sage: VNV-Server starten und Pass eingeben, Firewall den Port auf. Hinterher machen wir das wieder zu. Die haben nur ISDN und da ist TightVNC echt besser. Ist natürlich nix für einzeln stehende Rechner, die als Server fungieren, wo keiner mal eben den VNC Server starten kann, für sowas nehm ich Linux und hab nen SSH Client auf Palm plus IR GPRS Handy.

Ich persönlich halte aber eine Man in The Middle Attacke für eine theoretische Gefahr, denn erstens muss jemand an genau meinen Daten Interesse haben, zweitens muss er Ahnung haben und einen Router unter seiner Kontrolle haben udn drittens muss er wissen, wann ich meine Session starte, der Router den er kontrollieren müsste wird in der Regel ja mehr als nur diesen Traffic abwickeln... Wenn er den Router kontrolliert, dann hat er eh schon Emailpasswörter usw.

Ansonsten habe ich das mal gesnifft, wie beschrieben geht das Passwort nicht im Klartext über die Leitung. Mit den Nutzdaten kann kaum einer was anfangen, mal abgesehen von der theoretischen Gefahr des Session hijacking bzw des Abfangens von Tastatureingaben bei weiteren Passworteingaben. Dafür hat TightVNC die Möglichkeit, komfortabel im Configinterface die Ports umzustellen, den http-Server zu beeinflussen und einen Lock des Clients nach Disconnect des VNC Viewers zu veranlassen. Ne Kombination aus beiden wäre wohl nicht schlecht.

Aber um Sicherheit gings ja gar nicht, sondern nur um Ports... nicht dass wir zu OT werden.

Gruss

Hotzi

Bei uns in der FW ist lediglich der Port 3389 offen und der Connect funktioniert einwandfrei.
Basti