/dev/null - Overig

Remote Desktop Verbinding

19-11-2014, 11:48 door Nitrix, 13 reacties
Beste,

Ik wil graag vanaf afstand een verbinding maken naar mijn thuis computer.
Nu heb ik ervoor gezord dat mijn Remote instellingen geactiveerd zijn via systeem settings > Remote etc.
Vervolgens heb ik opgezocht naar wat mijn IP adres is (www.watisminip.nl)
Vanaf school geprobeerd een verbinding te maken vanaf mijn laptop naar mijn thuisverbinding.

Hij geeft steeds die foutmelding aan met 3 opties. Doe ik wat verkeerds?
Reacties (13)
19-11-2014, 12:00 door Anoniem
Waarschijnlijk zit je achter een router, het IP-adres dat je op watismijnip.nl ziet komt bij je router uit (je "externe" ip-adres).

Je moet nu nog aan je router vertellen wat hij met deze signalen moet doen. Dit doe je via port-forwarding. RDP werkt op TCP poort 3389, deze moet je forwarden naar het (interne) ip-adres van je computer.

Ik vind het overigens geen goed idee om je computer extern benaderbaar te maken via RDP, een betere oplossing zou zijn van VPN gebruik te maken.
19-11-2014, 12:19 door Anoniem
Beste Nitrix,


Start hier:
http://windows.microsoft.com/en-us/windows/connect-using-remote-desktop-connection#connect-using-remote-desktop-connection=windows-7

Indien het je dan nog steeds niet lukt om een verbinding op te zetten met een ander systeem, meldt dan even wat voor foutmelding je EXACT krijgt. Ik vermoed dat je router-modem (kastje aan de muur van je ISP) het probleem is overigens, maar dat is lastig te beoordelen vanuit mijn positie.


En niet om te zeuren, maar als je toch op school zit, vraag een docent even om wat informatie over voorzetsels.
Verbinding maken MET, opzoeken VAN, een verbinding opzetten TUSSEN.
Ik snap wel wat je bedoelt, maar ik ben ervan overtuigt dat correct taalgebruik je enkel zal helpen in de toekomst, wat je ook doet verder.
19-11-2014, 16:02 door Anoniem
als je school het digitaal toestaat dat je een RDP verbinding maakt met je thuiscomputer, vanaf het schoolnetwerk, dan moeten ze op zoek gaan naar een nieuwe systeembeheerder, of er een of 2 extra aannemen om de overwerkte arme ziel die het nu doet te helpen.

als je via een wifi verbinding met je laptop vrij aan het internet hangt, installeer dan Teamviewer (.com) op je thuisbak, en verbind er op die manier mee. snel, safe, en simpel. en via een amerikaans bedrijf, dat daarmee wellicht ook toegang heeft tot je thuisbak, maar ja, waar is windows ook al weer gebouwd?
19-11-2014, 18:57 door Anoniem
@Anoniem van vandaag 16:02

Hoe Safe is Teamviewer nou eigenlijk???
Het is inderdaad zeer handig... maar zolang het netwerkverkeer over een externe server verloopt (Niemand weet wat hierop wordt gemonitord) adviseer ik toch een andere opplossing.

Ontopic:
De default poort 3389 openzetten is iets wat je absoluut niet wil... Ik garandeer dat dit vragen is om problemen, binnen een dag heb je een stuk of 10 chinese ipadressen die constant aan het aankloppen zijn ;).
Er zijn genoeg oplossingen om dit "Veilig" te doen... Ik betwijfel alleen of dit ook te doen is voor beginners...
Denk bijvoorbeeld eens aan een SSH tunnel hiermee kun je lokale poorten over een encrypted tunnel forwarden.
19-11-2014, 23:22 door SAW
Door Anoniem:
Ik vind het overigens geen goed idee om je computer extern benaderbaar te maken via RDP, een betere oplossing zou zijn van VPN gebruik te maken.

RDP is best stevig encrypted.
20-11-2014, 09:09 door Anoniem
Door Anoniem: als je school het digitaal toestaat dat je een RDP verbinding maakt met je thuiscomputer, vanaf het schoolnetwerk, dan moeten ze op zoek gaan naar een nieuwe systeembeheerder, of er een of 2 extra aannemen om de overwerkte arme ziel die het nu doet te helpen.

als je via een wifi verbinding met je laptop vrij aan het internet hangt, installeer dan Teamviewer (.com) op je thuisbak, en verbind er op die manier mee. snel, safe, en simpel. en via een amerikaans bedrijf, dat daarmee wellicht ook toegang heeft tot je thuisbak, maar ja, waar is windows ook al weer gebouwd?
Ik zou bijna denken dat je aan het trollen bent, maar omdat je toch echt serieus lijkt te zijn, haak ik even in:

1] RDP is, mits correct gebruikt, een stuk veiliger dan Teamviewer. Niet vanwege encryptie, dat is namelijk helemaal niet zo boeiend in dit geval, maar wel omdat het protocol beter gecontroleerd & geconfigureerd kan worden.
Tevens gaat het om een directe verbinding, waarmee je MitM-risico's verder verkleint.
Dat er geen 3rd-party software nodig is, is een extra bonus.
Tot slot is Teamviewer helemaal niet on-topic; het gaat hier om het opzetten van RDP, dus niet om 'n VPN, proxy, Tor, i2p, webserver, RAT of nóg wat anders.

2] Als je een systeem op afstand gebruikt, ben je veel beter af met een kabel. Niet alleen vermijd je zo weer die vervelende MitM / sniffers, verder is het ook onmogelijk dat de buurman je signaal wegdrukt e/o overneemt e.d.

3] Ik kan me vergissen, maar volgens mijn browser zit ik hier op security.nl, niet op gemakkelijk.nl...


gr anon 12:19
20-11-2014, 10:08 door BaseMent
Als aanvulling op topic van "Gisteren, 12:00 door Anoniem". Het ip adres dat je ziet op watismijnipadres is inderdaad het ip adres van jouw router thuis (of modem of ip&bellen modem).
Maar nu dat modem die verbinding nog doorzetten naar jouw computer. Immers weet jouw modem niet naar welk apparaat het rdp verkeer doorgezet moet worden.
Dat doe je door een NAT entry te maken in je modem. Hoe je dat doet lees je in de gebruiksaanwijzing van je modem.
20-11-2014, 10:09 door Vandy - Bijgewerkt: 20-11-2014, 10:10
Door Anoniem 19-11 12:19:
Ik snap wel wat je bedoelt, maar ik ben ervan overtuigt dat correct taalgebruik je enkel zal helpen in de toekomst, wat je ook doet verder.
Als je dan toch mensen corrigeert, moet je "overtuigd" zelf ook correct schrijven.
20-11-2014, 14:57 door Anoniem
Door Vandy:
Door Anoniem 19-11 12:19:
Ik snap wel wat je bedoelt, maar ik ben ervan overtuigt dat correct taalgebruik je enkel zal helpen in de toekomst, wat je ook doet verder.
Als je dan toch mensen corrigeert, moet je "overtuigd" zelf ook correct schrijven.
Ja ik weet het, schandalig inderdaad, ik zag het helaas pas ná het posten.

Ach ja.., de intentie is goed verder ;)
20-11-2014, 15:01 door Anoniem
Door Anoniem:
Door Anoniem: als je school het digitaal toestaat dat je een RDP verbinding maakt met je thuiscomputer, vanaf het schoolnetwerk, dan moeten ze op zoek gaan naar een nieuwe systeembeheerder, of er een of 2 extra aannemen om de overwerkte arme ziel die het nu doet te helpen.

als je via een wifi verbinding met je laptop vrij aan het internet hangt, installeer dan Teamviewer (.com) op je thuisbak, en verbind er op die manier mee. snel, safe, en simpel. en via een amerikaans bedrijf, dat daarmee wellicht ook toegang heeft tot je thuisbak, maar ja, waar is windows ook al weer gebouwd?
Ik zou bijna denken dat je aan het trollen bent, maar omdat je toch echt serieus lijkt te zijn, haak ik even in:

1] RDP is, mits correct gebruikt, een stuk veiliger dan Teamviewer. Niet vanwege encryptie, dat is namelijk helemaal niet zo boeiend in dit geval, maar wel omdat het protocol beter gecontroleerd & geconfigureerd kan worden.
Tevens gaat het om een directe verbinding, waarmee je MitM-risico's verder verkleint.
Dat er geen 3rd-party software nodig is, is een extra bonus.
Tot slot is Teamviewer helemaal niet on-topic; het gaat hier om het opzetten van RDP, dus niet om 'n VPN, proxy, Tor, i2p, webserver, RAT of nóg wat anders.

2] Als je een systeem op afstand gebruikt, ben je veel beter af met een kabel. Niet alleen vermijd je zo weer die vervelende MitM / sniffers, verder is het ook onmogelijk dat de buurman je signaal wegdrukt e/o overneemt e.d.

3] Ik kan me vergissen, maar volgens mijn browser zit ik hier op security.nl, niet op gemakkelijk.nl...


gr anon 12:19
Hey, hier de best wel serieuze anoniem. ;-)
RDP is net als elke end to end oplossing ongetwijfeld erg goed beveiligd tegen meeluisteren en zo, maar als ik een portscan doe, en toevallig jouw pc op de RDP poort tegen kom (of op een andere poort met iets meer scan effort) dan kan ik vervolgens ongestoord een miljard wachtwoorden proberen. Meestal levert dat een wat overstressesde eventviewer op.
Als ik een botnet beheer, kan ik ook jouw machine van een miljard pogingen voorzien vanuit duizenden pc's, in een blitz attack, of veel erger, gedurende maanden. dat ziet bijna niemand.
Ja, rare username, en extreem lastig wachtwoord helpt. ip restrictie niet, of je school moet een vast IP hebben en RDP toestaan.

teamviewer stelt jouw pc alleen voor jou open, en iedereen die jouw unieke code en wachtwoord kent, en de medewerkers van Teamviewer en de NSA. Maar als je al windows hebt, zit de NSA toch al wel binnen. of in ieder geval net zo erg als bij TV. lijkt me ook niet dat je je tegen de NSA wilt beveiligien, maar wel tegen botnets en scanners, dan maak je in ieder geval nog kans.
NSA is bij gewone gebruikers ook alleen nieuwsgierig, maar zal geen bitcoin vragende trojan op je bakje plaatsen.
of jearen later alsnog je nudiepics publiceren.
of wel. wie weet. ;-)
20-11-2014, 17:28 door Dick99999
Door 09:09 door Anoniem:
[.......]
Dat er geen 3rd-party software nodig is, is een extra bonus.
Tot slot is Teamviewer helemaal niet on-topic; het gaat hier om het opzetten van RDP, dus niet om 'n VPN, proxy, Tor, i2p, webserver, RAT of nóg wat anders.
[.........]
Merkwaardige argumenten. Is 3-rd party automatisch een handicap? Ik dacht van niet. Ik ben zelfs geneigd te zeggen dat 3-rd party een voordeel is (focus van de onderneming etc.)
Off-topic? Als je iemand adviseert hoort daarbij dat je eventuele betere alternatieven meeneemt volgens mij.
20-11-2014, 20:54 door Anoniem
Door Anoniem: Hey, hier de best wel serieuze anoniem. ;-)
RDP is net als elke end to end oplossing ongetwijfeld erg goed beveiligd tegen meeluisteren en zo, maar als ik een portscan doe, en toevallig jouw pc op de RDP poort tegen kom (of op een andere poort met iets meer scan effort) dan kan ik vervolgens ongestoord een miljard wachtwoorden proberen. Meestal levert dat een wat overstressesde eventviewer op.
Als ik een botnet beheer, kan ik ook jouw machine van een miljard pogingen voorzien vanuit duizenden pc's, in een blitz attack, of veel erger, gedurende maanden. dat ziet bijna niemand.
Ja, rare username, en extreem lastig wachtwoord helpt. ip restrictie niet, of je school moet een vast IP hebben en RDP toestaan.

teamviewer stelt jouw pc alleen voor jou open, en iedereen die jouw unieke code en wachtwoord kent, en de medewerkers van Teamviewer en de NSA. Maar als je al windows hebt, zit de NSA toch al wel binnen. of in ieder geval net zo erg als bij TV. lijkt me ook niet dat je je tegen de NSA wilt beveiligien, maar wel tegen botnets en scanners, dan maak je in ieder geval nog kans.
NSA is bij gewone gebruikers ook alleen nieuwsgierig, maar zal geen bitcoin vragende trojan op je bakje plaatsen.
of jearen later alsnog je nudiepics publiceren.
of wel. wie weet. ;-)
OK, ik begrijp je standpunt ongeveer. Maar daar ben ik het niet mee eens, en dan niet alleen vanwege het aluminium.

Om een goed geconfigureerde RDP te kraken, moet je heel veel netwerkverkeer generen.
Aanvallers doen dat niet graag, niet alleen omdat het opvalt, maar vooral omdat het tijd (=geld) kost.
Ik acht de kans groter voor de TS, dat TV gekraakt wordt e/o ergens een slippertje maakt.
En als dat gebeurt, staat iedereen met TV wagenwijd open.

Portscans? Not impressed.
Scriptkids en botnets werken met rainbowtabellen, dus als je een unieke pass hebt.

Daarnaast heeft mijn mening te maken met patch-beleid, en het feit dat iedere extra vector er één te veel is.
Maar nogmaals, het feit dat de verbinding via servers van TS loopt, is voor mij de belangrijkste reden.


Door Dick99999: Merkwaardige argumenten. Is 3-rd party automatisch een handicap? Ik dacht van niet. Ik ben zelfs geneigd te zeggen dat 3-rd party een voordeel is (focus van de onderneming etc.)
Off-topic? Als je iemand adviseert hoort daarbij dat je eventuele betere alternatieven meeneemt volgens mij.
In dit geval is dat wel een nadeel, de volledige verbinding loopt namelijk via de servers van TV.

Dat geldt natuurlijk niet voor alle 3rd-party software, dat interpreteer jij anders dan dat ik dat bedoelde.
Overigens heeft die "focus" meer betrekking op functionaliteit dan veiligheid, over het algemeen. Tenzij security het verdienmodel is natuurlijk, wat hier niet het geval is.

Ook is het zo, dat iedere extra applicatie meer beheer (instelling / patches / controle) vraagt, wat weer een extra factor op zich is. Maar dat is een algemeen standpunt, en hier niet direct van toepassing in de praktijk.
Alhoewel, ik ben toch ook al wat remote-exe vln's tegengekomen voor TV, net als voor RDP trouwens.

En wat betreft het off-topic heb je ergens wel gelijk. Behalve dat het genoemde alternatief beter is dan ;)
En dan zou ik ook Chrome Remote Desktop kunnen noemen, toch?
https://chrome.google.com/webstore/detail/chrome-remote-desktop/gbchcmhmhahfdphkhkmpfmihenigjmpp

Kijk, als het er echt om gaat zou ik een VPN-tunnel adviseren, maar de TS vraagt hoe hij een verbinding op moet zetten met RDP. Meer niet. Toch?
20-11-2014, 22:25 door Erik van Straten - Bijgewerkt: 20-11-2014, 23:02
2014-11-19 11:48 door Nitrix: Beste,

Ik wil graag vanaf afstand een verbinding maken naar mijn thuis computer.
Nu heb ik ervoor gezord dat mijn Remote instellingen geactiveerd zijn via systeem settings > Remote etc.
Vervolgens heb ik opgezocht naar wat mijn IP adres is (www.watisminip.nl)
Vanaf school geprobeerd een verbinding te maken vanaf mijn laptop naar mijn thuisverbinding.

Hij geeft steeds die foutmelding aan met 3 opties. Doe ik wat verkeerds?
Ja. Je moet het niet willen.

2014-11-20 20:54 door Anoniem: Om een goed geconfigureerde RDP te kraken, moet je heel veel netwerkverkeer generen.
En om een RDP goed te configureren, moet je heel veel moeite doen. En iets zegt mij dat Nitrix zich die moeite niet gaat getroosten.

Indien toch: lees eerst https://www.fishnetsecurity.com/6labs/blog/remote-desktop-protocol-security-creating-successful-implementation (en, aanvulling 2014-11-20 23:02 http://www.howtogeek.com/175087/how-to-enable-and-secure-remote-desktop-on-windows/). Zodra de aanvaller toegang heeft via een willekeurig account, en je hebt MS14-066 nog niet gedraaid, lees dan https://twitter.com/daveaitel/status/533064909387747328 (de eerste versie daarvan leek niet goed te werken, maar ik kan me niet voorstellen dat Daive Aitel et al daarna de handen in de lucht hebben gestoken en het hebben opgegeven).

Zorg ook dat je, bijvoorbeeld, MS12-020 gedraaid hebt (https://technet.microsoft.com/en-us/library/security/ms12-020.aspx). Oh ja, check ook MS11-065, MS12-035, MS14-030 en hou nieuwe updates scherp in de gaten.

Aanvulling 2014-11-20 22:43: Check ook even de tabel in http://msdn.microsoft.com/en-us/library/cc242016.aspx: zelfs Windows 8 vind het nog prima om te praten met een Server 2003 met een RSA certificaat met een 512 bits public key... (geheime tip voor MitM aanvallers)

Feitelijk is het aanvalsoppervlak te groot om RDP direct aan internet bloot te stellen. Microsoft heeft dat zelf ingezien en daar "Remote Desktop Gateway" voor ontwikkeld (zie http://technet.microsoft.com/en-us/library/cc731150.aspx).

Aanvullende tips voor implementatie (in dit geval voor wolkdiensten ;) van RD gateway vind je bijv. in http://blogs.technet.com/b/keithmayer/archive/2014/05/15/windows-azure-pack-configuring-a-remote-desktop-gateway-for-vm-console-access.aspx en [/url]https://s3.amazonaws.com/microsoft_windows/rdgateway/Deploy+Remote+Desktop+Gateway+on+the+AWS+Cloud-+Quick+Start+Reference+Deployment.pdf[/url].

Low-budget oplossingen bestaan ook, bijv. door RDP over SSH te tunnelen. Aan de clientzijde kun je dan bijv. putty gebruiken. Google: rdp ssh putty

RDP via 3389/tcp blootstellen aan internet is een deurmat met (in koeienletters) WELKOM erop. SSH is dat ook, maar als je dat goed configureert liggen de sleutels niet automatisch onder die mat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.