mboost-dp1
Er Remote Dektop sikker?
Ye, I know :-)
Der var flere ting i det. #9 som statede der var behov for en linux boks men da manden havde en service på en windows, krævede det et sekunder OS og så kom det i 3a~3c i tankerne..
.. baa .. jeg har lige skrevet hvad jeg lige ville skrive på 2-3 forskellige måder og så kommer det fra en klar himmel.
#9 kunne have sin ret, hvis windows sessionen var virtuel på en linux host. Dog måske usandsynligt så som #1 er skrevet. :-)
Der var flere ting i det. #9 som statede der var behov for en linux boks men da manden havde en service på en windows, krævede det et sekunder OS og så kom det i 3a~3c i tankerne..
.. baa .. jeg har lige skrevet hvad jeg lige ville skrive på 2-3 forskellige måder og så kommer det fra en klar himmel.
#9 kunne have sin ret, hvis windows sessionen var virtuel på en linux host. Dog måske usandsynligt så som #1 er skrevet. :-)
#ZiN
Min pointe var mere at det er "DIG" der forespoerger hjaelp, hvorfor du ikke paa nogen maade kan forvente at der kommer et soelvfad flyvende med alle informationer paa.
Hvad jeg forstaar ud af dit indlaeg, er at du ikke vil have raad der guider dig paa rette vej, men kun step-by-step guides "for dummies".
Det er hverken logisk eller brugbart at forvente det, naar man spoerger andre om hjaelp.
Hvis man lige kommer forbi og ser en traad hvor man taenker "Det maa SSH da kunne loese", saa skal man altsaa ikke skrive dette, da man saa bliver sablet ned af folk der alligevel bagefter indroemmer at man har peget i en korrekt retning -.-
Det er bare latterligt.
Min pointe var mere at det er "DIG" der forespoerger hjaelp, hvorfor du ikke paa nogen maade kan forvente at der kommer et soelvfad flyvende med alle informationer paa.
Hvad jeg forstaar ud af dit indlaeg, er at du ikke vil have raad der guider dig paa rette vej, men kun step-by-step guides "for dummies".
Det er hverken logisk eller brugbart at forvente det, naar man spoerger andre om hjaelp.
Hvis man lige kommer forbi og ser en traad hvor man taenker "Det maa SSH da kunne loese", saa skal man altsaa ikke skrive dette, da man saa bliver sablet ned af folk der alligevel bagefter indroemmer at man har peget i en korrekt retning -.-
Det er bare latterligt.
#54
Men samtidig, hvis der et mål for den retning, man bliver sendt på, må man gå ud fra, der er et bedre svar end "Prøv med SSH". Så må der findes en, der har prøvet stien, og kan berette om den mest optimale metode.
Ikke alle svar vægter lige meget. Selvfølgelig skal man ikke sables ned, og man skal tænke selv, men det er jo lige så latterligt, at der f.eks. til et spørgsmål om hvilket program er bedst til at beskytte sig mod virus med, kommer en eller anden noob og skriver "skift til OS X". Det er da en løsning, men nok ikke det den pågældende person vil frem til, da man faktisk er på vej i en bestemt "retning" via det specifikke spørgsmål.
Men samtidig, hvis der et mål for den retning, man bliver sendt på, må man gå ud fra, der er et bedre svar end "Prøv med SSH". Så må der findes en, der har prøvet stien, og kan berette om den mest optimale metode.
Ikke alle svar vægter lige meget. Selvfølgelig skal man ikke sables ned, og man skal tænke selv, men det er jo lige så latterligt, at der f.eks. til et spørgsmål om hvilket program er bedst til at beskytte sig mod virus med, kommer en eller anden noob og skriver "skift til OS X". Det er da en løsning, men nok ikke det den pågældende person vil frem til, da man faktisk er på vej i en bestemt "retning" via det specifikke spørgsmål.
#55
Men som de fleste jo netop blev enige om her i traaden, saa ER det en brugbar loesning at saette en SSH tunnel op.
Men eh, nu antager du saa at andre, uanset hvad, havde postet en guide omkring SSH tunneling, hvilket ikke er realistisk eller logisk.
Samtidig er det ikke altid "belejligt" at vente paa "Viewer #21124131231", der endelig har lyst til at poste en "Morons Guide to SSH Tunnels".
Specielt naar OP ikke har fortalt det mindste omkring hans viden om emnet, saa kunne det snildt vaere at han vidste hvad SSH var og derfra selv kunne tage bolden.
Tag de raad du faar. Hvis du ikke faar nok ud af dem, saa spoerg naermere ind til det.
Hvis jeg bruger 1 time paa at skrive en komplet guide der loeser alle hans problemer, og han saa bagefter siger "Arj, jeg bruger det bare usikkert alligevel", saa gider jeg IKKE goere det igen. Ever.
Men som de fleste jo netop blev enige om her i traaden, saa ER det en brugbar loesning at saette en SSH tunnel op.
Men eh, nu antager du saa at andre, uanset hvad, havde postet en guide omkring SSH tunneling, hvilket ikke er realistisk eller logisk.
Samtidig er det ikke altid "belejligt" at vente paa "Viewer #21124131231", der endelig har lyst til at poste en "Morons Guide to SSH Tunnels".
Specielt naar OP ikke har fortalt det mindste omkring hans viden om emnet, saa kunne det snildt vaere at han vidste hvad SSH var og derfra selv kunne tage bolden.
Tag de raad du faar. Hvis du ikke faar nok ud af dem, saa spoerg naermere ind til det.
Hvis jeg bruger 1 time paa at skrive en komplet guide der loeser alle hans problemer, og han saa bagefter siger "Arj, jeg bruger det bare usikkert alligevel", saa gider jeg IKKE goere det igen. Ever.
#57
Man kunne jo lege med tanken om, at hvis man foreslog en SSH tunnel, at man så også vidste hvordan man benyttede den, og derved kunne dele ud af sin viden, naturligvis på forespørgsel af OP, så jeg giver dig helt klart ret.
Svaret skal bare være i nogenlunde proportioner med spørgsmålet. Per default.
For at skære ind til benet, vil jeg bare erklære mig enig :)
Man kunne jo lege med tanken om, at hvis man foreslog en SSH tunnel, at man så også vidste hvordan man benyttede den, og derved kunne dele ud af sin viden, naturligvis på forespørgsel af OP, så jeg giver dig helt klart ret.
Svaret skal bare være i nogenlunde proportioner med spørgsmålet. Per default.
For at skære ind til benet, vil jeg bare erklære mig enig :)
Jeg er også enig.
Jeg gidder da ikke, skrive en halv fristil, hvis der ikke er nogen, der gidder at læse det. Desuden findes der 328.000 sider på nettet der handler om SSH-tunneler.
Jeg gidder da ikke, skrive en halv fristil, hvis der ikke er nogen, der gidder at læse det. Desuden findes der 328.000 sider på nettet der handler om SSH-tunneler.
#59
Jeg kan godt forstår dig. Men lade os vende den om.
Du kommer med et fremmede ord, jeg sidder nu med det fremmede ord og aner ikke...:
1. Hvad det er.
1. Kan det bruges, til det ønskede formål
2. Har man det, det kræver Software mæssigt
3. Har man det, det kræver Hardware mæssigt
4. Hvilke muligheder der er med det.
5. Er det Plug and Pray.
5a. Hvis ikke, Hvordan det skal Installeres.
5b. Hvis ikke, Hvordan det skal sættes op, konfigurerings mæssigt.
Nu er det meget fint man smider et fremmede ord, men faktum er det har måske givet en person mega meget googling to do, for en person der ikke aner hvor man finder de gode svar. Især på punkt.4 og punkt 5a+b.
Resultatet kan være han skal benytte halve eller hele aftener på google, forum, teste og måske finder ud af han ikke nævner at konfigurere det eller andet og er lige vidt.
Hvis spørgsmål gik på noget sikkershed mæssigt i en service i windows. Det er lidt meh, men igen der findes mange smarte løsninger. Nogle er geniale andre overkill.
Ligesom det kunne være overkill at skære en lille sætning så meget ud i pap. Men igen er der mange synspunkter at se en ting på, hvilket gør det interessant diskussion mæssigt, imo.
Jeg kan godt forstår dig. Men lade os vende den om.
Du kommer med et fremmede ord, jeg sidder nu med det fremmede ord og aner ikke...:
1. Hvad det er.
1. Kan det bruges, til det ønskede formål
2. Har man det, det kræver Software mæssigt
3. Har man det, det kræver Hardware mæssigt
4. Hvilke muligheder der er med det.
5. Er det Plug and Pray.
5a. Hvis ikke, Hvordan det skal Installeres.
5b. Hvis ikke, Hvordan det skal sættes op, konfigurerings mæssigt.
Nu er det meget fint man smider et fremmede ord, men faktum er det har måske givet en person mega meget googling to do, for en person der ikke aner hvor man finder de gode svar. Især på punkt.4 og punkt 5a+b.
Resultatet kan være han skal benytte halve eller hele aftener på google, forum, teste og måske finder ud af han ikke nævner at konfigurere det eller andet og er lige vidt.
Hvis spørgsmål gik på noget sikkershed mæssigt i en service i windows. Det er lidt meh, men igen der findes mange smarte løsninger. Nogle er geniale andre overkill.
Ligesom det kunne være overkill at skære en lille sætning så meget ud i pap. Men igen er der mange synspunkter at se en ting på, hvilket gør det interessant diskussion mæssigt, imo.
Jeg kan virkeligt ikke se det store problem.
OP har google lige ved hånden.
OP har et forum(er logget ind og kan bare skrive), hvor der ofte svares hurtigere end man kan google og forstå.
Hvis jeg nu fik provition for at sælge SSH-tunnel's ville jeg nok have gjort løsningen nemmere at benytte. Det gør jeg ikke.- Måske skulle jeg på toilettet.
OP har google lige ved hånden.
OP har et forum(er logget ind og kan bare skrive), hvor der ofte svares hurtigere end man kan google og forstå.
Hvis jeg nu fik provition for at sælge SSH-tunnel's ville jeg nok have gjort løsningen nemmere at benytte. Det gør jeg ikke.- Måske skulle jeg på toilettet.
#60
Men saa maa "Hr Spoerger" fatte de famoese firkantede dimser paa denne hersens "internets"-ting foran sig, og skrive:
WHAT THE FUCK ER SSH!?!?!.
It. Is. Not. Rocket. Science.
Selvfoelgelig giver det personen noget at google, men de fleste der benytter fora som dette, ved hvordan man skriver "wiki [gay subject]" paa google.
SKriver du "wiki ssh-tunnel", er foerste link:
http://en.wikipedia.org/wiki/Tunneling_protocol
Som, underligt nok, forklarer ganske fint hvad det kan bruges til, hvad det er - og hvis man er lidt mere spidsfindig, ogsaa hvordan du saetter det op.
Men saa maa "Hr Spoerger" fatte de famoese firkantede dimser paa denne hersens "internets"-ting foran sig, og skrive:
WHAT THE FUCK ER SSH!?!?!.
It. Is. Not. Rocket. Science.
Selvfoelgelig giver det personen noget at google, men de fleste der benytter fora som dette, ved hvordan man skriver "wiki [gay subject]" paa google.
SKriver du "wiki ssh-tunnel", er foerste link:
http://en.wikipedia.org/wiki/Tunneling_protocol
Som, underligt nok, forklarer ganske fint hvad det kan bruges til, hvad det er - og hvis man er lidt mere spidsfindig, ogsaa hvordan du saetter det op.
fidomuh (54) skrev:Min pointe var mere at det er "DIG" der forespoerger hjaelp, hvorfor du ikke paa nogen maade kan forvente at der kommer et soelvfad flyvende med alle informationer paa.
Hvad jeg forstaar ud af dit indlaeg, er at du ikke vil have raad der guider dig paa rette vej, men kun step-by-step guides "for dummies".
Måske du skulle læse mit indlæg igen; Specielt de første linier :
ZiN (48) skrev:#46: Jeg vil ikke have noget imod det, men jeg antager derfor ikke at andre mennesker heller ikke ville have noget i mod det - og hvis de havde, så ville de spørge.
Men lad os nu tage det du siger som et egentligt argument fremfor det personlige angreb det faktisk er udlagt for at være:
Jeg forespørger - og jeg kan ikke forvente at få info på et sølvfad.
Det gør jeg heller ikke. Ellers havde jeg ikke skrevet det, jeg skrev (endnu en gang; Se foroven).
Men hvis jeg gør er det syttentusinde gange så nemt og brugbart for mig fremfor hvis jeg får et eller andet hint smidt i hovedet som "brug en SSH tunnel". Lad os tage de to situationer og splitte dem ad, forløbsmæssigt.
1: Jeg får al infoen serveret på et sølvfad - altså en udførlig guide som er blevet fulgt af en anden person mere eller mindre til punkt og prikke og den virker - til nuværende OS, med de midler ved hånd jeg har.
2: Jeg får "Brug en SSH tunnel".
1) Jeg følger guiden, får det efter al sandsynlighed til at virke og kommer tilbage senere og skriver "Tak, det var lige det, jeg behøvede!"
Længere er den sjældent; Nogle gange er guiden ikke udførlig eller den informerende part har ikke læst eller fulgt den, men blot fundet den og kastet den efter mig, men han/hun har selv prøvet at gøre det, og kan så guide mig fra hvor det hele faldt til jorden, ved at læse guiden han/hun linkede.
2) Jeg søger på "SSH tunnel" på google, og finder, som antydet, masser af guides til at sætte SSH tunneler op. Jeg skal så finde ud af hvad det kræver for at jeg kan køre RDP igennem en SSH tunnel. Det ved jeg ikke, så det googler jeg. Måske finder jeg et brugbart resultat, måske ikke. Det afhænger lidt af, hvor god man er til at google.
Chancerne er dog, at man ikke finder noget brugbart først, kommer tilbage til foraet med en sindsindstilling der blot udtrykker forvirring og irritation - hvis overhovedet. Man spørger så efter hjælp til det samme igen... Og du, som informant har opnået ligenøjagtigt ingenting; Nul.
Man kunne også være heldig (eller uheldig) og finde masser af guides, men nogle af dem ville så være outdated (gammelt OS, gammel software eller lign.), nogle af dem uudførte, utestede m.v., nogle af dem Experts-exchange, nogle af dem bare forkerte, og så videre.
Som en "erfaren" person kan du hurtigt søge igennem guides og skille de "gode" fra de "dårlige", og forsikre at de virker - hvis du da ikke har prøvet den selv. Dette sparer ikke bare dig tid, men også den person du forsøger at informere.
Grunden til at dette er best practice er fordi Internettet med tiden er gået fra at være IT-eksperternes og videnskabsfolkenes domæne til at være alles domæne - det betyder at vi altså har folk, der ikke nødvendigvis ved hvad de snakker om, som ligger information ud på Internettet, og at vi derved har en masse crap der ikke kan bruges til en skid.
Ved at give korte, uopfyldende svar gør vi læringskurven mere stejl og fremmed- og fjendtliggør vi vores fag. Det er blandt andet derfor folk ser på nørder som de gør. Og det er sgu da også for dumt.
Magten (31) skrev:JensOle (9) skrev:Hvis du havde en Linux box kørende, kunne du køre det gennem en ssh tunnel. Der er sikkert.
Så kunne jeg godt tænke mig at vide, hvordan du mener at den kommentar ikke hjælper?
Bemærk det første ord... Jeg skal gerne hjælpe dig 'Hvis' for at fortsætte i Jensoles fine spor "hvis og hvis min tante olga havde nosser ville hun være min onkel" men hvordan hjæper det nogen videre med at finde ud af hvorvidt remote desktop er sikkert eller ej?
ZiN (32) skrev:#31: Som langt de fleste IT-folk hader Hubert halve løsninger som "kør det igennem en SSH tunnel".
Han foretrækker, som jeg egentlig må medgive at jeg også gør, et link / forklaring på hvordan det præcis sættes op - en ting man sjældent får fra Linux folk - og det er en af årsagerne til at så mange har så svært ved at komme ind i miljøet og operativ systemet, det lader simpelthen ikke til at folk er villige til at hjælpe, selvom sandheden jo naturligvis er en helt anden.
jeg er nu ligeglad med hvorvidt han linker til en howto. Jeg kan godt sætte en ssh tunnel op. Jensole fejler dog i at komme med noget der på nogen måde kan tolkes om svar på spørgsmålet. At han har valgt at køre linux er for alle andre end ham hamrende irrellevant... Jeg tvivler nu på at de fleste linux folk er som jensole. Men er det tilfældet er det jo bare ærgeligt for dem der kunne finde på at søge hjælp til den slags.
#Hubert; Hvis du ligger mærke til JensOle's kommentarer rundt omkring på foraet vil du bemærke at han (så vidt jeg husker) kører Gentoo - og har været en adamant foretaler for Linux-only på newz.dk (dvs. sviner MS til ved alle lejligheder). I dit forsvar tror jeg dog næppe du har tid til dette. :-)
#Generelt:
Nu må i styre jer. Afslut flamewar -.-
Ham om det. Det er dog morsomt at se at folk er så usikre på deres valg af OS at de mener det er nødvendigt at forsøge at overbevise andre om at foretage det samme valg så de da i det mindste ikke er de eneste der brænder fingerne.
JensOle (44) skrev:Fuck hvor er det langt ude.
Hvis man har adgang til en ssh-server paa sit netvaerk saa er en ssh-tunnel en god og sikker maade at tilgaa remote desktop paa.
Faktisk saa hvis du bare har ssh adgang til dit netvaerk saa kan du stort set goere alt remotely. Og det er super sikkert.
Du bruger godt nok ordet 'hvis' meget.
Problemet i denne traad er at inkarnerede(hjernevaskede) windows "eksperter" ikke bryder sig om at man naevner Linux, da det er ude for deres omraade og saa er de ikke eksperterne mere.
Aha så når man ikke er enig med dig i at linux er en silverbullet er man en fortabt windows ekspert? Eller er det endnu en af dine "hvis'er". Jeg må så skuffe dig, jeg har brugt rigeligt med tid på linux. Og sjovt nok fik jeg penge for det... Jeg skal formentlig uddybe det for dig så jeg kan lige så godt gøre det med det samme. Jeg har i forskellige jobs haft med linux at gøre. Godt nok ikke ubuntu.
ZiN (53) skrev:#52: Eller hvis linux boksen og Windows boksen var bag en firewall/router med NAT. Så er trafikken fra ekstern PC -> Internt netværk krypteret, og det er vel det vigtigste.
Vi må her gå ud fra at det er en maskine der står hos ham selv ikke. Så er det ikke nødvendigvis et krav at trafikken er krypteret hele vejen ind til maskinen. Hvorimod det er mere vigtigt at trafikken er krypteret når det forlader "klienten", hvis han sikker på en skole eller tilsvarende. Vi har jo alle været unge en gang og kan forestille os hvad der sker på en skoles netværk nu om dage.
Vi må her gå ud fra at det er en maskine der står hos ham selv ikke. Så er det ikke nødvendigvis et krav at trafikken er krypteret hele vejen ind til maskinen. Hvorimod det er mere vigtigt at trafikken er krypteret når det forlader "klienten", hvis han sikker på en skole eller tilsvarende. Vi har jo alle været unge en gang og kan forestille os hvad der sker på en skoles netværk nu om dage.
Selvom langt de fleste har en router hjemme hos sig selv, er det ikke alle. Det kunne også være at serveren stod hos et hosting center. Det ved jeg ikke så jeg vil påpege at hvis du blot laver en SSH-tunnel fra maskine Z til maskine X som har en offentlig addresse også derfra RDP'er indtil maskine Y som også har en offentlig addresse, så er trafikken imellem Z og X krypteret, men ikke imellem X og Y... Så man kan godt lade trafikken stå "usikkert" hen selvom man laver en SSH-tunnel. :)
ZiN (65) skrev:Selvom langt de fleste har en router hjemme hos sig selv, er det ikke alle. Det kunne også være at serveren stod hos et hosting center. Det ved jeg ikke så jeg vil påpege at hvis du blot laver en SSH-tunnel fra maskine Z til maskine X som har en offentlig addresse også derfra RDP'er indtil maskine Y som også har en offentlig addresse, så er trafikken imellem Z og X krypteret, men ikke imellem X og Y... Så man kan godt lade trafikken stå "usikkert" hen selvom man laver en SSH-tunnel. :)
Forudsat at trafikken bliver routed ud på nettet igen. Men det forudsætter så at du med offentlige ip adresser mener ip adresser der bliver sendt ud på forbi firewall'en igen. Det er bestemt muligt at bruge at bruge 'offentlige' altså ikke rfc 1918 ip adresser uden at trafikken bliver sendt ud på nettet igen på trods af at trafikken kommer ud via et interface med en offentlig ip. I et typisk datacenter setup, ihvertfald som jeg kender det, er firewalls ikke det yderste lag. Du vil typisk have en eller flere routere foran firewall laget. Du skal jo have noget der kan route trafikken indtil den rigtige firewall og hvad har vi. Der kan også være noget med bgp eller en anden routnings protokol ud mod en isp/peer.
Men det er næppe relevant for det originale spørgsmål. Der kort fortalt kan besvares med et 'Nej rdp er ikke sikkert.'
#mange
Nu vi har så mange kloge hoveder.
Er der er som kort kan forklare hvorfor de mener at det øger sikkerheden signifikant at køre RDP som bruger 128 bit RC4 over SSH som vel typisk bruger 168 bit 3DES (jeg antager at vi hurtigt kan blive enige om at det ikke øger sikkerheden markant hvis SSH bruger 128 bit RC4).
Nu vi har så mange kloge hoveder.
Er der er som kort kan forklare hvorfor de mener at det øger sikkerheden signifikant at køre RDP som bruger 128 bit RC4 over SSH som vel typisk bruger 168 bit 3DES (jeg antager at vi hurtigt kan blive enige om at det ikke øger sikkerheden markant hvis SSH bruger 128 bit RC4).
Uden egentlig at have noget af det følgende i, kommer her lige hvad jeg kunne forestille mig:
- Der er check på at host har samme checksum (Forhindrer at fremmede overtager et domæne og stjæler information ad den vej)
- Der er en ekstra validerings proces (SSH og RDP login)
- Du behøver ikke at have RDP åbent udadtil. (flere services kunne passende benytte SSH, så man kun har een port åben udadtil)
- Dobbelt kryptering på al traffik (hvis det er slået til). Selv hvis der skulle findes sikkerhedshuller i den ene, er man stadig "sikret". Kryptografieksperterne er nok uenige i dette.
- Du får øjnene op for hvor sej SSH egentligt er. ;)
Kom med nogle modargumenter folkens. Som sagt er det her kun gætværk så noget konstruktiv kritik der gør os alle (eller bare mig) klogere ville være fantastisk. :)
- Der er check på at host har samme checksum (Forhindrer at fremmede overtager et domæne og stjæler information ad den vej)
- Der er en ekstra validerings proces (SSH og RDP login)
- Du behøver ikke at have RDP åbent udadtil. (flere services kunne passende benytte SSH, så man kun har een port åben udadtil)
- Dobbelt kryptering på al traffik (hvis det er slået til). Selv hvis der skulle findes sikkerhedshuller i den ene, er man stadig "sikret". Kryptografieksperterne er nok uenige i dette.
- Du får øjnene op for hvor sej SSH egentligt er. ;)
Kom med nogle modargumenter folkens. Som sagt er det her kun gætværk så noget konstruktiv kritik der gør os alle (eller bare mig) klogere ville være fantastisk. :)
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Software
Gå til bund