Virtuelle Server und Sicherheit

[Joh]

Moin,

jetzt hatte ich gerade eine Anfrage eines Kunden, ob meine Anwendung auch auf einem Server im Netz installiert werden kann...
Also zum Test bei Strato einen vServer gemietet und eingerichtet: https://www.strato.de/server/windows-vserver/
Ok, funktioniert; zwar langsamer als erwartet aber noch ok.

Was mich jetzt wundert: der Server hängt direkt am Netz, ich kannn mich per Remotedesktop direkt mit dem Server verbinden; ohne VPN oder sonstige Zwischenschicht. Klar heißt der Administrator nicht Administrator und das Passwort ist nicht 1234 (sondern 12345 )
Aber ist so eine Konfiguration nicht per Definition böse? Oder bin ich zu alt und das macht man heute (wieder) so?

[af0815]

Normalerweise nagelt man den Server selbst zu und lässt die Applikation in einem Dockercontainer laufen.

Security ist mehr denn je ein Thema, 2FA fast schon Standard und VPN meistens auch.

[Mathias]

Security ist mehr denn je ein Thema, 2FA fast schon Standard und VPN meistens auch.

Wen ich 2FA lese, dies nervt nur noch. Mit diesem Mist geht einem sehr viel Komfort verloren.

[af0815]

Wen ich 2FA lese, dies nervt nur noch. Mit diesem Mist geht einem sehr viel Komfort verloren.

Komfort geht verloren, weil auch der gesunde Menschenverstand flöten gegangen ist.
Den Geldbeutel hält jeder automatisch fest, aber wenn wer anruft und sich als Polizei ausgibt, werden ungefragt die Kontodaten oder der Schmuck/Bargeld rausgerückt.

Bei mir hat auch schon der MS-Support angerufen und mir erklärt das ich ein Problem habe. Mehr als ein "geht sche...en" haben die von mir nicht gehört.

Vergiss das nicht 2FA und andere Sachen sind aktuell der Schutz der die Leute vor sich selbst schützt

[Mathias]

Vergiss das nicht 2FA und andere Sachen sind aktuell der Schutz der die Leute vor sich selbst schützt

Mich nervt es einfach, wen alles nur noch mit dem sche*** Handy geht.
Einzig was wirklich gut ist, sind TAN-Generatoren, sowas wie ich von meiner Hausbank habe. Ohne dieses Kästlein kommt niemand rein.

[Joh]

Einzig was wirklich gut ist, sind TAN-Generatoren, sowas wie ich von meiner Hausbank habe. Ohne dieses Kästlein kommt niemand rein.

Gerade die sind mehr Schein als sein.
Bei diesen TAN-Generatoren liest du die Zahlen von dem Display ab und gibst es über die manipulierbare Tastatur ein.
Hast du einen SmartCard-Reader, dann gibst du die PIN nur auf der Tastatur des Readers ein. Die eigentliche Verschlüsselung findet im Gerät statt und nur der generierte Schlüssel geht zum PC.

[theo]

Gerade die sind mehr Schein als sein.
Bei diesen TAN-Generatoren liest du die Zahlen von dem Display ab und gibst es über die manipulierbare Tastatur ein.
Hast du einen SmartCard-Reader, dann gibst du die PIN nur auf der Tastatur des Readers ein. Die eigentliche Verschlüsselung findet im Gerät statt und nur der generierte Schlüssel geht zum PC.

Bei der Bank die Mathias wahrscheinlich meint, bekommt man eine photoTAN von der Website der Bank, die dann mit dem Gerätchen gelesen und decodiert wird.
Ich denke, dass dieser Code nur einmal und für eine kurze Zeit gültig ist.
Auch Überweisungen an neue Empfänger muss man mit dem Gerät noch einmal extra bestätigen (mit IBAN und Betrag).
Wahrscheinlich kommt man da mit einem Logger nicht weit. Aber ich habe eigentlich keine Ahnung davon.

[Joh]

Normalerweise nagelt man den Server selbst zu und lässt die Applikation in einem Dockercontainer laufen.

Security ist mehr denn je ein Thema, 2FA fast schon Standard und VPN meistens auch.

Das heißt was zum konkreten Sachverhalt?
VPN gibts bei Strato nicht. Gibt es einen Anbieter, bei dem ich mir eine Windows-Instanz im Web mit VPN-Zugang mieten kann?
Eigentlich könnte es allerdings auch Linux sein. Ist ja eine Lazarus-Anwendung.
Aber alleine die Firebird 4-Datenbank aufzusetzen ist bei einigen Distributionen ein Abenteuer.
Wie siehts da mit dem Drucken auf lokale Drucker aus?

2FA könnte man als SmartCard oder als SmartKey zur Windows-Authentifikation nutzen. Aber ist das wirklich sicherer?
Oder ist das wie die blöde Windows-PIN: das Kennwort geht immer; ist nur einfacher einzugeben.

[Mathias]

Gerade die sind mehr Schein als sein.
Bei diesen TAN-Generatoren liest du die Zahlen von dem Display ab und gibst es über die manipulierbare Tastatur ein.
Hast du einen SmartCard-Reader, dann gibst du die PIN nur auf der Tastatur des Readers ein. Die eigentliche Verschlüsselung findet im Gerät statt und nur der generierte Schlüssel geht zum PC.

Bei der Bank die Mathias wahrscheinlich meint, bekommt man eine photoTAN von der Website der Bank, die dann mit dem Gerätchen gelesen und decodiert wird.
Ich denke, dass dieser Code nur einmal und für eine kurze Zeit gültig ist.
Auch Überweisungen an neue Empfänger muss man mit dem Gerät noch einmal extra bestätigen (mit IBAN und Betrag).
Wahrscheinlich kommt man da mit einem Logger nicht weit. Aber ich habe eigentlich keine Ahnung davon.

Genau sowas meine ich. Von der einten Bank habe ich ein photoTAN und von der anderen ein chipTAN.
Und diese Kästli sind zuhause eingeschlossen. Die Handys werden überall mitgenommen. Und viele Handys liegen schutzlos herum.

[PascalDragon]

Vergiss das nicht 2FA und andere Sachen sind aktuell der Schutz der die Leute vor sich selbst schützt

Mich nervt es einfach, wen alles nur noch mit dem sche*** Handy geht.

So lange die Webseite das normale Timebased One Time Password nutzt, kannst du ein Tool wie AuthPass nutzen, welches Open Source ist und auf dem Desktop installiert werden kann und die Daten noch dazu in einer lokalen kdbx-Datenbank speichert. Wir haben das auch in unserer Arbeit eingeführt, da GitHub mittlerweile 2FA benötigt, aber wir das weder auf unseren privaten Handys noch in der Cloud haben wollten.

[Jorg3000]

ich kannn mich per Remotedesktop direkt mit dem Server verbinden; ohne VPN oder sonstige Zwischenschicht.

Hi!
Soweit ich ein VPN verstehe, ist es lediglich eine passwortgeschützte, verschlüsselte Verbindung.
Remote-Desktop, z.B. RDP, ist ebenfalls eine passwortgeschützte, verschlüsselte Verbindung. Da/wenn der Fernzugriff aus dem öffentlichen Internet möglich ist, sollte das PW schon richtig gut sein.
Ich sehe aber nicht, dass ein VPN einen Vorteil hätte, wenn das Passwort zum Remote-Desktop die gleiche Komplexität hat. Ich lasse mich aber gerne eines besseren belehren.
Grüße, Jörg

[Joh]

Hi!
Soweit ich ein VPN verstehe, ist es lediglich eine passwortgeschützte, verschlüsselte Verbindung.
Remote-Desktop, z.B. RDP, ist ebenfalls eine passwortgeschützte, verschlüsselte Verbindung. Da/wenn der Fernzugriff aus dem öffentlichen Internet möglich ist, sollte das PW schon richtig gut sein.
Ich sehe aber nicht, dass ein VPN einen Vorteil hätte, wenn das Passwort zum Remote-Desktop die gleiche Komplexität hat. Ich lasse mich aber gerne eines besseren belehren.
Grüße, Jörg

Also ich verstehe das für mich so:
a) Windows-Kennwort: ich kann entweder das VPN-Kennwort knacken oder Windows-Schwachstellen finden
b) VPN in das Netzwerk => ich kann entweder das VPN-Kennwort knacken oder Netzwerk-Schwachstellen finden
Danach muß ich dann noch a) knacken

Also doppelte Sicherheit?

[af0815]

VPN Erklärungen gibt es hier:
https://www.bsi.bund.de/DE/Themen/Verbr ... _node.html

Das Windows Kennwort ist keine Sicherheit. Es geht immer um den/die Dienste.

Und einen richtig eingerichteten VPN Zugang knackst du nicht, da braucht es mehr als Profis und machen das ganze ganz anders. Da wird nicht der VPN geknackt/gehackt sondern der größte Unsicherheitsfaktor meistens verwendet und das ist das ist einmal das Problem vor dem Bildschirm. Sprich der Mensch. Und dann wird von innen nach außen eine Verbindung geschaffen.

Das sicherste ist immer noch ein Kondom über den Netzwerkstecker. Wenn es keine Verbindung nach außen gibt ist man sicher Ob mann das dann noch brauchen kann ist ein anderes Thema.