VNC kao kroz sir

[Suvi]

Na poslu, javna staticka IP kod euneta. Sa Routera forvardovani portovi za VNC MDaemon... Ponekad, kad nisam na poslu potrebno je da pristupim tom kompu preko VNC-a. Danas sedim za drugim racunarom koji je pored navedenog. Monitor se ukljuci i mis se pomera. Au, sta bi? Neko je ladno provalio sifru VNC-a. Ali je komp bio izlogovan. Gledam sta se desava. Covek pokusava da upise sifru za logovanje. Jednom, dvaput, malo je pravio pauze... kad je pokusao treci put ja mrdnem misa, on je to naravno video i odmah odustao. Bar mislim da jeste. Kako je mogao da provali sifru? U firewallu nisam ukljucio log da vidim odakle je dosao.
Da li postoji neko bolje resenje od VNC-a?

 

[Cwelle]

Remote administrator.

 

[Filo]

ili remote desktop
ili pcanywhere
ili promeni port na kom radi vnc pa ces samo ti znati gde je
ili nadji realvnc enterprise edition (nazalost placa se) koja moze da koristi i windows autentifikaciju
ili instaliraj ultravnc koji ima i windows autentifikaciju a besplatan je
a u svakom slucaju ako bas mora vnc promeni i port na kom radi

 

[Suvi]

ili promeni port na kom radi vnc pa ces samo ti znati[/QUOTE]

Pazi, to sam probao. Onda zbog testa se zakacim na dial-up, pokrenem nmap i on provali da je recimo port 2000 otvoren, i da je na njemu vnc. Znaci nema svrhe menjati port, zar ne?

 

[Suvi]

ili instaliraj ultravnc koji ima i windows autentifikaciju a besplatan je


Probacu njega.

Hvala.

 

[Filo]

a zasto ne remote desktop?

 

[Suvi]

a zasto ne remote desktop?

Ne znam. Probao sam njega. Ali mi se cini da je VNC brzi? VNC koristim kroz lokalnu mrezu. Ljudi vide sta radim. Zato sam njega koristio i da spolja pristupim.

 

[jaksa]

Vec je bilo reci o ovome:
Remote desktop apsolutno najbrze radi od remote access programa.

Negde na internetu ima i test i analiza protokola, kog ne mrzi neka potrazi.
Ili neka instalira u LAN-u VNC i neka vidi kojom brzinom radi remotedesktop a kojom VNC

 

[Filo]

a ljudi spolja mogu da vide sta radis i sa remote assistance
ako vec moras nekom da pomognes

 

[acatheking]

Zašto na VNC ne koristiš Access Control? Zadaš opseg ip adresa sa kojih pristupaš.

 

[Sgi]

Suvi, koliko karaktera je sadrzala prvobitna sifra? Da li su bila samo slova, ili je bilo i borjeva, specijalnih karaktera...
Nema mnogo znacaja sad, ali me cisto zanima.

 

[Suvi]

Suvi, koliko karaktera je sadrzala prvobitna sifra? Da li su bila samo slova, ili je bilo i borjeva, specijalnih karaktera...
Nema mnogo znacaja sad, ali me cisto zanima.

5 slova i tri cifre. U tom rasporedu. Nije mi jasno kako je mogao da provali. Sa tom sifrom sam se logovao od kuce,(BGWireless) i sa dial-up, nije bilo enkripcije sifre. Znaci jedino sto je moguce da je neko uhvatio sifru kad sam kucao i poslao je koroz mrezu. Sifra je stara oko 15 dana.

 

[Suvi]

Zašto na VNC ne koristiš Access Control? Zadaš opseg ip adresa sa kojih pristupaš.

Kako da znam opseg IP? Od kuce idem preko BGWireless-a i Dial-up. Koji opseg da upisem?

 

[Falcon]

Oba

 

[zxxy]

Neko ti snifuje saobracaj. Najverovatnije ti snima wireless saobracaj. I totalno je nebitno koliki i kakav password imas ako ti ide preko neta u plain tekstu.

Moras da svatis da je wireless konekcija jedna velika rupetina ako ne ides preko VPN-a.

Ima dosta dokonih ljudi koji u svojim gepecima setaju compove i snifuju wireless

Elem reci sta ti tacno treba (svrha konektovanja od kuce na posao), i koji OS je na kompu na koji se kacis.

 

[Sgi]

Mozda je snifovao saobracaj, a mozda je iskoristio i exploit. RealVNC narocito ima nekoliko rupa.

 

[zxxy]

Ma znam ja to, samo sam pokusao da mu skrenem paznju da je kod wireless-a bez VPN-a sve na izvol'te. Pa da zna za ubuduce.

 

[Suvi]

Neko ti snifuje saobracaj. Najverovatnije ti snima wireless saobracaj. I totalno je nebitno koliki i kakav password imas ako ti ide preko neta u plain tekstu.

Moras da svatis da je wireless konekcija jedna velika rupetina ako ne ides preko VPN-a.

Ima dosta dokonih ljudi koji u svojim gepecima setaju compove i snifuju wireless

Elem reci sta ti tacno treba (svrha konektovanja od kuce na posao), i koji OS je na kompu na koji se kacis.

Racunar na koji se kacim je mail server, (MDaemon 6.8.5, winxp_sp2) . Vecinu stvari vezanih za mail mogu da odradim preko webadmina. Ne znam da li u tom slucaju postoji nacin da se provali sifra? Ali kad pristupim preko VNC-a imam pristup i ostalim racunarima u mrezi. To mi nije nepohodno, jer ne mogu na tim racunarima nista da odradim, osim da im pristupim, pogledam sadrzaj diska i posaljem poruku korisnicima. Da li bi verzija VNC-a koja ima kriptovanu sifru resila problem?

 

[Suvi]

Neko ti snifuje saobracaj. Najverovatnije ti snima wireless saobracaj. I totalno je nebitno koliki i kakav password imas ako ti ide preko neta u plain tekstu.

A ako bi u VNC-u podesio da prihvata konekciju samo sa odredjene IP? Da li bi onda bio siguran?

 

[zxxy]

Naravno da ne bi. Tu na scenu stupa spoofing

 

[Filo]

ali zato remote desktop....

 

[Crash Owerride]

Ma, samo stavi pass na VNC-u i problem resen

 

[zxxy]

Kako to pass na vnc-u resava problem.

Jedino sigurno resenje na win-u je VPN konekcija.

 

[Suvi]

Kako to pass na vnc-u resava problem.

Jedino sigurno resenje na win-u je VPN konekcija.

Smislio sam seljacki nacin da budem siguran.
Ako nesto treba da odradim, jednostavno, javim nekome da me propusti kad Firewall zaustavi pristup.

 

[Filo]

i jos jednom: zasto ne probati remote desktop ili ultravnc
pa nek razbijaju windows sifru a ne vnx

 

[zxxy]

Ajd poslusajte Fila kad vec necete mene, on barem ima veci staz na Benchu.

@Suvi
Resenje ti je...

 

[Filo]

mozda na taj nacin hoce da zaposle jos jednog administratora- firewall administrator

 

[Suvi]

i jos jednom: zasto ne probati remote desktop ili ultravnc
pa nek razbijaju windows sifru a ne vnx

Dobro. Kako ide postupak? Ne treba mi ultravnc. Procitao si kako je islo. Covek je provalio, ili zaobisao VNC sifru, ali je stao na sifri za logovanje, srecom da je komp bio izlogovan. Dalje, ako uspe da uvati sifru za VNC onda ce i za logovanje, zar ne? Probao sam ultra VNC, od kuce kucam sifru za logovanje, ne znam da li se onda salje kao obican teskt ili se kriptuje, tu opciju nisam pronasao na Ultra VNC-u. Ili gresim?

 

[Filo]

http://forum.ultravnc.net/viewtopic.php?t=3049
ili malo stariji ali koristan dokument
http://www.shebeen.com/vnc_ssh/
uz napomenu

Remote desktop is encrypted, which makes it more secure than many simplistic VNC implementations

 

[salac]

Steta sto nisi o security-ju mislio pre nego sto ti se desio ovaj incident.....

VNC nije siguran protokol ukoliko se ne tunneluje preko SSH - tada nema sanse da ti bilo ko sniffuje/spoofuje saobracaj (ako sniffuje trebace mu nekoliko desetina godina da dekriptuje pakete, a ako proba da spoofuje ssh enabled klijent lepo javi upozorenje da je doslo do promene sertifikata i ostavlja useru da odluci hoce li ipak da se konektuje ili ne).

Isto vazi i za ftp/telnet/pop3/http -> ovi protokoli takodje salju passworde u plaintext formatu, pa jos ako si na wirelessu gde svaki 10-godisnji klinac moze da hvata pakete ukoliko zna da instalira ethereal ili nesto slicno.....

Resenje - koristi VNC via SSH, jos bolje remote desktop jer radi out-of-the-box. Posto si na wirelessu zaboravi na telnet/ftp (koristi ssh/sftp), pop3 server u firmi podesi da radi i sa pop3s (ako to mdaemon moze), web mail na https umesto http.