Ergebnis 1 bis 13 von 13

Thema: KVM Server - VNC Viewer -> VNC Session nicht verschlüsselt!

  1. #1

    Registriert seit
    03.07.15
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    1

    Exclamation KVM Server - VNC Viewer -> VNC Session nicht verschlüsselt!

    Anzeige
    Hallo,

    Ich habe kürzlich einen KVM Server gemietet auf den ich OpenBSD installieren will.
    Die Bedienung (Power On/Off, ISO einlegen, usw.) ist über ein Webinterface möglich.
    Für die Installation kann eine VNC-Verbindung aktiviert werden.

    Aber bei der VNC-Verbindung besteht ein "kleines" Problem, das mich etwas stutzig
    macht. Wenn ich den VNC Viewer (Windows) verwende dann kommt die Warnmeldung, dass
    die Authentifizierung zwar verschlüsselt ist, aber nicht die eigentliche Kommunikation.

    KDE's Remote Desktop Client (KRDC) zeigt keine Warnung. Mit tigervnc kommt keine
    Verbindung zustande wenn ich unter Optionen->Sicherheit->Verschlüsslung ->Keine
    deaktiviere. Also bei "Keine" das Häkchen entferne.

    Ich nenne jetzt nicht meinen ISP. Aber sollte ich eventuell meinen ISP das besagte
    Problem mitteilen? Was meint Ihr dazu?

    Falls dieser Thread in einem falschen Bereich ist, bitte verschieben.

    Edit:
    Habe in der Zwischenzeit die Maschine abgeschaltet. Hat keinen Sinn weiter zu machen.
    Also das Betriebssystem zu installieren. Wäre zwar nachträglich möglich VNC zu
    deaktivieren und dann beim laufenden Server die Passwörter per SSH zu ändern und
    die Konfiguration fortsetzen...

    Edit(2):
    So, habe jetzt beim VNC Viewer von RealVNC unter Optionen->Experte den Wert
    Encryption auf "AlwaysOn" (Default: Server) gestellt. Das Ergebnis ist gleich
    wie bei tigervnc: Es kann keine Verbindung hergestellt werden.
    Geändert von fork(Agent Smith) (11.09.17 um 22:25 Uhr)
    /* Beware of bugs in the above code;
    I have only proved it correct, not tried it. */


    Original quote by Donald E. Knuth

  2. #2
    Moderator Avatar von bitmuncher
    Registriert seit
    30.09.06
    Danke (erhalten)
    134
    Gefällt mir (erhalten)
    1616

    Standard

    Ich würde empfehlen zu einem Hoster zu wechseln, wo du entweder über ein sogenanntes Rettungssystem ein neues Image aufspielen kannst, oder der dir eine serielle Konsole anbietet, die du via SSH erreichen kannst. Meine Erfahrung mit Hostern, die nur VNC für sowas anbieten, ist eher schlecht. Es zeugt auf jeden Fall nicht gerade von einem professionellen Hosting, wenn dort dann nichtmal die übertragenen Eingaben verschlüsselt werden.

    Oder du greifst gleich zu einem Hoster wie Serveraptor, die auch verschiedene BSD-Derivate im Angebot haben.

    Bitmuncher's TechBlog - My Homepage
    Denken ist manchmal so, als würde man wissen auskotzen.

    Neue Beiträge im Habo via Twitter - Das HaBo auf FB

  3. Danke fork(Agent Smith) thanked for this post
  4. #3

    Registriert seit
    03.07.15
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    1

    Standard

    Zitat Zitat von bitmuncher Beitrag anzeigen
    [...] Oder du greifst gleich zu einem Hoster wie Serveraptor, die auch verschiedene BSD-Derivate im Angebot haben.
    Danke werde mich mal über Serveraptor informieren.

    Habe jetzt meinen Hoster kontaktiert. Laut Support ist eine verschlüsselte VNC-Verbindung nicht machbar.

    Einziger Wermutstropfen. Wenigstens habe ich nur die billigste KVM-Lösung bezahlt...aber für ein Jahr.
    /* Beware of bugs in the above code;
    I have only proved it correct, not tried it. */


    Original quote by Donald E. Knuth

  5. #4
    Moderator Avatar von bitmuncher
    Registriert seit
    30.09.06
    Danke (erhalten)
    134
    Gefällt mir (erhalten)
    1616

    Standard

    Soweit ich weiss, kannst du auch bei Servern innerhalb von 14 Tagen vom Vertrag zurücktreten. Hast ja schliesslich gravierende Gründe dafür.

    Bitmuncher's TechBlog - My Homepage
    Denken ist manchmal so, als würde man wissen auskotzen.

    Neue Beiträge im Habo via Twitter - Das HaBo auf FB

  6. #5

    Registriert seit
    03.07.15
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    1

    Standard

    Werde mich noch zwecks Rücktritt/Widerrufsrecht bei meinem Rechtsanwalt erkundigen. Leider finde ich darüber keine Information in der AGB vom Hoster.

    Habe jetzt mich auf der der Seite von serveraptor umgesehen. Leider finde ich (habe mich noch nicht angemeldet) keine detaillierten Informationen zu den Produkten.
    Weiß hier jemand mehr?

    Kann wer noch andere Hoster empfehlen die ein ähnliches Angebot nur mit mehr Sicherheit wie das folgende haben?

    • 512 MB RAM
    • 1 virtueller Prozessorkern @2,5 GHz
    • 15 GB HDD Speicherplatz (auf RAID10 SAS Subsystem)
    • 1 IP-Adresse,1 /112 IPv6 Netz
    • Reverse Pointer Delegation
    • Verfügbare Betriebssysteme bzw. .iso Images: Archlinux, CentOS 5/6, Debian 5/6/7, Elastix, Fedora 17/18, FreeBSD, Gentoo, GRML, MikroTik, NetBSD, OpenBSD, openSUSE, Ubuntu, Zeroshell, Windows Server 2008/2012 (from KVM Advanced or larger)
    • Liste verfügbarer Distributionen mit Versionsnummern
    • Auto-Installer für Debian, CentOS und Ubuntu vorhanden
    • Auswahl der gewünschten Boot Option (Harddisk or ISO images from CD-ROM)


    • Power On, Power Off, Hard Reset über Webinterface
    • VNC Server für remote desktop On / Off über Webinterface
    • TUN/TAP enabled (ideal für Proxy Server)
    • 1 TB Traffic

      Vertragliches:
      Keine Einrichtungskosten
      Keine Mindestvertragslaufzeit
      Kündigung: keine Fristen
      Zahlungsweise: monatlich, quartalsmäßig oder jährlich


    Kosten (exklusive MwSt.): 5€ monatlich

    Was bei diesem Angebot gut war, dass man über VNC das Betriebssystem selber installieren konnte.
    Nur halt leider nicht verschlüsselt.
    /* Beware of bugs in the above code;
    I have only proved it correct, not tried it. */


    Original quote by Donald E. Knuth

  7. #6
    Moderator Avatar von bitmuncher
    Registriert seit
    30.09.06
    Danke (erhalten)
    134
    Gefällt mir (erhalten)
    1616

    Standard

    Wenn du mehr Infos zu den VServern von Serveraptor brauchst, als auf der Startseite stehen, dann kannst du einfach den Support anschreiben.

    Bitmuncher's TechBlog - My Homepage
    Denken ist manchmal so, als würde man wissen auskotzen.

    Neue Beiträge im Habo via Twitter - Das HaBo auf FB

  8. #7

    Standard

    Du jammerst über eine unverschlüsselte VNC Verbindung aber installierst Images, die dir der Hoster zur Verfügung stellt, auf einer virtuellen Maschine? Du musst wirklich ein Gottvertrauen in den Hoster haben. Und Feinde, die einen Angriff auf eine unverschlüsselte VNC Verbindung übers Internet als realistischer einstufen, als einen Angriff auf den Hoster und die darunter liegende Virtualisierungslösung.

  9. Dislikes fork(Agent Smith) disliked this post
  10. #8

    Registriert seit
    03.07.15
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    1

    Standard

    Mag sein, dass ich etwas paranoid bin. Aber es ist das Erste mal, dass ich einen Server miete und ich muss hier halt Erfahrungen sammeln.
    Und ja du hast recht, auch die ISO-Images könnten beim Hoster korrumpiert sein. Nur das ist überprüfbar.

    Könnte hier zwar mehr schreiben...aber das hat keinen Sinn.

    Zu Serveraptor:
    Habe mittlerweile Serveraptor kontaktiert. Die Antworten zu meinen Fragen hören sich gut an.
    /* Beware of bugs in the above code;
    I have only proved it correct, not tried it. */


    Original quote by Donald E. Knuth

  11. Gefällt mir bitmuncher liked this post
  12. #9
    Moderator Avatar von bitmuncher
    Registriert seit
    30.09.06
    Danke (erhalten)
    134
    Gefällt mir (erhalten)
    1616

    Standard

    Zitat Zitat von fork(Agent Smith) Beitrag anzeigen
    Mag sein, dass ich etwas paranoid bin. Aber es ist das Erste mal, dass ich einen Server miete und ich muss hier halt Erfahrungen sammeln.
    Und ja du hast recht, auch die ISO-Images könnten beim Hoster korrumpiert sein. Nur das ist überprüfbar.
    Find ich persönlich ja den richtigen Ansatz. Wenn man das System kennt, sind Änderungen daran sehr schnell auffindbar. Und meiner Erfahrung nach investieren die wenigsten Hoster Zeit um in ihre Base-Images irgendwelche Backdoors einzubauen. Normalerweise bauen die einfach Default-Image vom Distributor und fertig. Im Optimalfall (leider sehr selten gegeben) kann man natürlich auch eigene Images hochladen. Da muss man sich dann allerdings im Cloud-Umfeld umschauen (Profitbricks, GCE, AWS etc.).

    Bitmuncher's TechBlog - My Homepage
    Denken ist manchmal so, als würde man wissen auskotzen.

    Neue Beiträge im Habo via Twitter - Das HaBo auf FB

  13. Danke fork(Agent Smith) thanked for this post
  14. #10

    Registriert seit
    03.07.15
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    1

    Standard

    Zitat Zitat von bitmuncher Beitrag anzeigen
    [...] Im Optimalfall (leider sehr selten gegeben) kann man natürlich auch eigene Images hochladen. [...]
    Das wäre bis diesem Hoster auch möglich gewesen. Deswegen fiel meine Entscheidung zuerst auf diesen Hoster.
    Was auch toll war, bis auf die nicht verschlüsselte VNC Verbindung: Das Rechenzentrum vom Hoster wäre in meiner näheren Umgebung (Graz)
    gestanden.

    Aber ich habe eh noch die Domain bei diesem Hoster. Und vielleicht bietet dieser Hoster ja in Zukunft eine verschlüsselte Verbindung an.
    Geändert von fork(Agent Smith) (14.09.17 um 12:40 Uhr)
    /* Beware of bugs in the above code;
    I have only proved it correct, not tried it. */


    Original quote by Donald E. Knuth

  15. #11

    Standard

    Zitat Zitat von fork(Agent Smith) Beitrag anzeigen
    Und ja du hast recht, auch die ISO-Images könnten beim Hoster korrumpiert sein. Nur das ist überprüfbar.
    Ich frage anders herum: Welches Risiko bereitet dir Kopfschmerzen?

    Du sagst, du wärst paranoid. Paranoia kann nachvollziehbar und begründet sein. Die meiste Zeit ist es einfach nur eine Einbildung und damit eine Krankheit. Lass letzteres nicht dein Leben beeinflussen, sonst kommst du niemals zum Ziel.

    Ich kann es auch nochmal anders formulieren: Du betreibst einen virtuellen Server. Dein Problem ist nicht die unverschlüsselte Verbindung während der Installation, sondern der Hypervisor und dessen Hostsystem. Die Wahrscheinlichkeit, dass ein Angreifer dort zuschlägt, ist statistisch höher (vgl. 70% aller Angriffe erfolgen von Innen!), allein schon aufgrund der Tatsache, dass man mehrer VMs auf einmal pwnen könnte, anstatt nur eine einzige, die vielleicht völlig uninteressant ist. Das Risiko hast du auch bei Serverraptor oder einem der anderen 100.000 Hoster weltweit.

    Oder ich formuliere es nochmal anders: Du kannst auch ein System aus einem anderen System heraus installieren. Das ist nicht besonders schwer und du lernst, wie Systeme grundlegend aufgebaut sind und wie der Startprozess funktioniert. Dazu brauchst du auch keine VNC Verbindung.

    Aber ok. Wenn du ein besseres Gefühl bei Serverraptor hast, geh zu Serverraptor. Am Ende ist es jedoch nichts anderes als ein Gefühl gewesen, dass dich hat Geld ausgeben lassen. Mit IT Sicherheit hat das nichts zu tun.

  16. #12

    Registriert seit
    03.07.15
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    1

    Standard

    Zitat Zitat von SchwarzeBeere Beitrag anzeigen
    Ich frage anders herum: Welches Risiko bereitet dir Kopfschmerzen?
    Das Problem das mir Kopfscherzen bereitet ist, dass ich gerne bei OpenBSD eine Full Disk Encryption einsetzen möchte.
    Und wenn ich den Server, sei es wegen Wartungsarbeiten (oder was auch immer), neu starten will, ein Kennwort eingeben muss.
    Und hier wäre mir persönlich eine verschlüsselte Verbindung lieber. Über welche Verbindung (ob VNC oder was anderes) das möglich ist,
    ist mir eigentlich egal.

    Wenn du hier eine Alternative nennen kannst, dann wäre ich sehr dankbar.
    Du sagst, du wärst paranoid. Paranoia kann nachvollziehbar und begründet sein. Die meiste Zeit ist es einfach nur eine Einbildung und damit eine Krankheit. Lass letzteres nicht dein Leben beeinflussen, sonst kommst du niemals zum Ziel.
    Ich habe das (paranoid) eher ironisch gemeint. Was ich wirklich als paranoid bezeichnen würde ist, wenn ich als Elektroniker
    (das bin ich beruflich und privat) auch der Software und der Hardware nicht vertrauen würde:

    So in etwa zur Software:
    Schön, dass die Software (BIOS, Hypervisor, Betriebsystem, etc.) großteils OpenSource ist, ich aber aufgrund der Menge des Quellcodes und auch da man
    bei einem fremden Code einige Einarbeitungszeit benötigt, nicht einsetzen möchte. Ich also als unsicher einstufe.

    Und so zur Hardware:
    Da ich keine ausführliche Dokumentation und Schaltplan vom Mainboard und vom Prozessor habe. Und deswegen eigene entwickelte Hardware mehr
    vertrauen schenke. Nur hier müsste ich schon einen Hoster haben, bei dem ich nur einen Platz im 19''-Rack miete.

    Das würde ich wirklich als paranoid bezeichnen.

    Und zu Thema Zeit: Da mein Projekt privat ist, gilt der Satz: "It's done when it's done."
    Und außerdem ist das Projekt auch zu Lernzwecken gedacht.
    Ich kann es auch nochmal anders formulieren: Du betreibst einen virtuellen Server. Dein Problem ist nicht die unverschlüsselte Verbindung während der Installation, sondern der Hypervisor und dessen Hostsystem. Die Wahrscheinlichkeit, dass ein Angreifer dort zuschlägt, ist statistisch höher (vgl. 70% aller Angriffe erfolgen von Innen!), allein schon aufgrund der Tatsache, dass man mehrer VMs auf einmal pwnen könnte, anstatt nur eine einzige, die vielleicht völlig uninteressant ist. Das Risiko hast du auch bei Serverraptor oder einem der anderen 100.000 Hoster weltweit.
    Oder ich formuliere es nochmal anders: Du kannst auch ein System aus einem anderen System heraus installieren. Das ist nicht besonders schwer und du lernst, wie Systeme grundlegend aufgebaut sind und wie der Startprozess funktioniert. Dazu brauchst du auch keine VNC Verbindung.
    Das ist mir durchaus klar. Brauchst du mir als Hardware'ler und Software'ler nicht erklären.
    Aber ok. Wenn du ein besseres Gefühl bei Serverraptor hast, geh zu Serverraptor. Am Ende ist es jedoch nichts anderes als ein Gefühl gewesen, dass dich hat Geld ausgeben lassen. Mit IT Sicherheit hat das nichts zu tun.
    Ja, bei serveraptor habe ich ein besseres Gefühl.
    Tja, Stichwort "IT-Sicherheit", liest man eh fast täglich was darüber in den Medien...
    /* Beware of bugs in the above code;
    I have only proved it correct, not tried it. */


    Original quote by Donald E. Knuth

  17. #13

    Standard

    Anzeige
    Ja, bei serveraptor habe ich ein besseres Gefühl.
    Das große Problem der IT Sicherheit ist, dass dieser Ansatz, der in der Wissenschaft und im Marketing auch als FUD (Fear, Uncertainty and Doubt) Ansatz bezeichnet wird, oftmals als Begründung für Ausgaben, sei es Zeit oder Geld, herangezogen wird. Gefühle dürfen jedoch nicht (immer) unsere Handlungen und Aktivitäten leiten, im Gegenteil, häufig führen sie sogar zu einer Verschlimmerung der Situation.

    In der IT und Informationssicherheit gibt es unzählige Beispiele. Als Resultat folgt (paradoxerweise) meistens ein geringeres Sicherheitslevel. In Unternehmen trifft man beispielsweise in solchen Situation häufig auf Schatten-IT. Bei Privatpersonen läuft es auch meistens auf eine Unbenutzbarkeit des Systems heraus (z.B. mehrere Virenscanner auf einem System), oder auf mittelfristige Sicht auf eine Ignoranz gegenüber den Mechanismen, die sich z.B. beim stupiden Wegklicken von Sicherheitsmeldungen äußert.

    Meiner Ansicht haben Gefühle in der IT- und Informationssicherheit nichts zu suchen. Sicherheit orientiert sich immer an Schutzzielen, die im Hinblick auf bestimmte "Assets" definiert werde. Daran solltest auch du dich orientieren.

    Zitat Zitat von fork(Agent Smith) Beitrag anzeigen
    Wenn du hier eine Alternative nennen kannst, dann wäre ich sehr dankbar.
    Es kommt darauf an, welche Informationen du vor wem schützen möchtest. Ich kenne dein Vorhaben leider nicht, daher kann ich deine Schutzziele nicht bestimmen. Nehmen wir aber einfach mal, du willst, dass deine Daten - aus welchem Grund auch immer - vertraulich bleiben sollen:

    1. Interner Angreifer, z.B. Mitarbeiter des Hostingsanbieters
      • Kopieren des Mediums -> Mitigierung: FDE
      • Auslesen des Passworts aus der VNC Verbindung -> Mitigierung: Verschlüsselte VNC Verbindung
        • Offene Fragen: Wo endet die VNC Verbindung? Auf einem zentralen Host im Netzwerk? Auf dem Hostsystem (das damit Angriffsfläche nach außen böte)? Wie vertrauenswürdig ist die VNC Software? Wer hat Zugriff auf das Schlüsselmaterial? Gibt es ein Logging (siehe z.B. https://jon.oberheide.org/vnclogger/)? usw..
        • Solange diese Fragen nicht geklärt sind, ist eine verschlüsselte Verbindung aus deiner Sicht nicht viel mehr wert als eine unverschlüsselte Verbindung.
        • Für den Betreiber geht es eher um die Verfügbarkeit, als um die Vertraulichkeit. Hier werden sich eure Ziele also möglicherweise nicht vereinbaren lassen, weshalb auch die VNC Verbindung vermutlich eher Schein als Sein ist. Dies wäre grundsätzlich zu prüfen.

      • Allgemeiner Lösungsansatz: Du könntest Daten beispielsweise unabhängig der FDE verschlüsseln. Oder du lagerst die Verarbeitung der Daten grundsätzlich auf ein sicheres System aus, d.h. einem System, dass deinen Sicherheitsanforderungen an Hard- und Software, genügt und speicherst nur die verschlüsselten Kopien der Daten und siehst das System ansonsten als unsicher an.

    2. "Interner Man in the Middle", z.B. RZ Betreiber
      • Kopieren des Mediums -> FDE
      • Auslesen des Passworts aus der VNC Verbindung -> Analog interner MA (mit Ausnahmen/Erweiterungen)

    3. "Externer Mitm", z.B. ISP
      • Kopieren des Mediums -> Nicht möglich, da kein Zugriff auf das Hostsystem
      • Auslesen des Passworts aus der VNC Verbindung -> Verschlüsselte Verbindung -> Nicht möglich, allerdings auch wenig sinnvoll, da kein Zugriff auf das Medium.
      • Annahme: Angreifer hackt sich in das RZ bzw. die Infrastruktur des Anbieters -> Dann wie (1) und (2).

    4. Der Feind im eigenen Netzwerk, z.B. Trojaner, Malware auf dem eigenen System
      • Die Sicherheit hängt grundsätzlich am eigenen Secret Management, d.h. wie gehe ich mit Passwörtern um? Wie verbinde ich mich zum Server? usw.. Ob die VNC Verschlüsselung verschlüsselt ist oder nicht ist mehr oder minder zweitrangig, da ein Angriff auf dich vermutlich eher zum Erfolg führen wird, als gegen den Betreiber.


    Geht es dir um Integrität der Daten, so könntest du beispielsweise das Passwort der FDE nach jedem Restart über eine verschlüsselte SSH Verbindung ändern. Das würde dazu führen, dass ein Angreifer nur in der Zeit zwischen der Eingabe und der Änderung des Secrets Änderungen am System vornehmen kann - und auch nur, wenn der direkte Zugriff auf das Medium möglich ist. Die Angriffsfläche wird also verringert, verschwindet aber nicht ganz.

    Die Verfügbarkeit der Dienstleistungen wird üblicherweise über SLAs abgesichert und wird hier jetzt nicht weiter betrachtet.

    Wie du siehst, gibt es unterschiedliche Lösungen für unterschiedliche Probleme. Ohne letzteres ist ersteres aber wertlos, daher gilt: Solange du deine Probleme nicht kennst, solange brauchst du keine Lösungen

    (btw: Viel wichtiger als FDE und Co. sind gute Passwörter und aktuelle Software. Damit schützt du dich gegen 95% aller Angreifer.)

Ähnliche Themen

  1. LUA-XML. Verschlüsselt? Oder nicht?
    Von manuforti im Forum Cryptography & Encryption
    Antworten: 2
    Letzter Beitrag: 02.07.15, 15:00
  2. Verschlüsselt oder nicht?
    Von NightMareG im Forum Cryptography & Encryption
    Antworten: 3
    Letzter Beitrag: 03.06.15, 11:06
  3. Firefox - Verbindung nicht verschlüsselt
    Von Alfred im Forum Applikationen
    Antworten: 6
    Letzter Beitrag: 17.01.10, 21:44
  4. wget speichert session cookies nicht
    Von blueflash im Forum Linux/UNIX
    Antworten: 3
    Letzter Beitrag: 13.04.06, 08:40
  5. Pw Viewer
    Von Dominik2003 im Forum Downloads
    Antworten: 7
    Letzter Beitrag: 13.07.04, 19:19

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •