Sicherheit von VNC

[greenthumb]

Hi Leudde!

In der Firma überlegen wir aus Kostengründen von PC-Anywhere auf VNC (tightVNC) umzusteigen.

Die Funktionen des tightVNC übersteigen ja, teilweise sogar die von PCAnywhere!

Die Geschwindigkeit ist auch wunderbar!

Aber leider konnte ich noch nichts über die Sicherheit von VNC herausfinden.

Kann mir da jemand von euch helfen?

Das Netz ist durch zwei Firewalls und dieverse Accesslists gesichert, also sollte der ungewollte Zugriff von aus eigentlich nicht möglich sein.

Aber trotzdem; wie sicher ist z.B. das Passwort, die Kommunikation zwischen Server und Viewer? Kann man die Sicherheit erhöhen?

Eingesetzte OS würden NT, 2000, (sowohl Workstation als auch Server) sein.

gruß

Greenthumb

[Ibanez]

>Aber trotzdem; wie sicher ist z.B. das Passwort, die Kommunikation zwischen >Server und Viewer? Kann man die Sicherheit erhöhen?

Hallo,

du kannst die VNC Session über die Secure Shell tunneln (SSH), und das ist dann schon relativ sicher.

[alexf10]

die passwörter werden mit md5 verschlüsselt also bei einem gut gewähltem password brauchst du dir keine gedanken machen

[FunkyBeat]

Die VNC-Session selbst ist aber komplett unverschlüsselt. Keystrokes und Maus, der Bildschirm... alles klartext und kann von jedem mitgehört werden.

Abhilfe schafft ein SSH-Tunnel.

Wie du das unter Win vernünftig hinkriegst, kann ich dir aber nicht verraten.

[greenthumb]

Tja, das klingt ja nicht so sicher!

Wie baue ich unter Windows den so einen SSH Tunnel??

gruß

Greenthumb

[Timon]

Ich würde als Grundlage für die VNC-Verbindung eine VPN-Verbindung via PPTP nehmen.

[firewalker...]

der hier dürfte für dich ganz interessant sein!

http://www.tor.at/resources/computer/net/internet/ssh/ct_2000_25_296_sichere_verbindungen_mit_openssh/ART.HTM

[alexf10]

http://www.uk.research.att.com/vnc/sshvnc.html

http://www.tecchannel.de/software/1024/6.html

[DownAnUp]

MD5 ist keine Verschlüsselungs- sondern ein Hash-Algortihmus.

VNC hat grundsätzlich keine Sicherheitsmechanismen eingebaut.

[alexf10]

also ok md5 ist onewy algorithmus - also man kann damit daten verschlüsseln (siehe linux funktion crypt() )!

und was vcn angeht RTFM http://www.uk.research.att.com/vnc/faq.html#q55 (lies mal durch was passwort authentifizierung angeht!)

mgf, alex

[DownAnUp]

Originally posted by alexf10

und was vcn angeht RTFM http://www.uk.research.att.com/vnc/faq.html#q55 (lies mal durch was passwort authentifizierung angeht!)

mgf, alex

Da steht das der VNC Server einen Zufallsstring schickt der dann mit dem Passwort verschlüsselt wird (wie steht nicht da. XOR???). Sprich: Absolut unsicher, wenn ein Angreifer mitsnifft bekommt er auch den Zufallsstring, wenn er das Verschlüsselungsverfahren kennt (und das ist bestimmt irgendwo dokumentiert) kann er also ganz einfach entschlüsseln.

[alexf10]

Na wenn du so schlau bist dann lade dir die Sources runter guck es dir an und wenn du so paranoid bist implementiere 3DES (als Verschlüßelungsalgorithmus wird wahrscheinlich DES (unsicher oder 3DES (sicher) verwendet) Außerdem glaube ich nicht das jemend in einem Firmennetzwerk so viel Know-how besitzt umd die "zufällige Reihenfolge verschlüßelt mit dem Passwort" abzufangen und dann noch auf Passwort zu kommen. Ich stimme auch zu, dass für höhere Ansprüche so was unsicher ist.

Außerdem verzichte ich auf die sinlosse Diskussion mit dir nachdem schon einige Lösung genannt wurden (SSL bzw SSH).

mfg, alex

[DownAnUp]

*G* Ich habe nirgendwo gesagt das ich es für zu unsicher für ein Firmennetz halte. Ich bin sogar eher der Meinung das ein SSH Tunnel für ein den Einsatz im internen LAN überzogen ist.

[opex]

wie war das noch mal:

der klugere gibt nach oder?