Virtuelle Server und Sicherheit
-
- Lazarusforum e. V.
- Beiträge: 191
- Registriert: Sa 26. Mai 2012, 17:31
- OS, Lazarus, FPC: Win 10 (L 2.2.6 x64 FPC 3.2.2)
- CPU-Target: 64Bit
Virtuelle Server und Sicherheit
Moin,
jetzt hatte ich gerade eine Anfrage eines Kunden, ob meine Anwendung auch auf einem Server im Netz installiert werden kann...
Also zum Test bei Strato einen vServer gemietet und eingerichtet: https://www.strato.de/server/windows-vserver/
Ok, funktioniert; zwar langsamer als erwartet aber noch ok.
Was mich jetzt wundert: der Server hängt direkt am Netz, ich kannn mich per Remotedesktop direkt mit dem Server verbinden; ohne VPN oder sonstige Zwischenschicht. Klar heißt der Administrator nicht Administrator und das Passwort ist nicht 1234 (sondern 12345 )
Aber ist so eine Konfiguration nicht per Definition böse? Oder bin ich zu alt und das macht man heute (wieder) so?
jetzt hatte ich gerade eine Anfrage eines Kunden, ob meine Anwendung auch auf einem Server im Netz installiert werden kann...
Also zum Test bei Strato einen vServer gemietet und eingerichtet: https://www.strato.de/server/windows-vserver/
Ok, funktioniert; zwar langsamer als erwartet aber noch ok.
Was mich jetzt wundert: der Server hängt direkt am Netz, ich kannn mich per Remotedesktop direkt mit dem Server verbinden; ohne VPN oder sonstige Zwischenschicht. Klar heißt der Administrator nicht Administrator und das Passwort ist nicht 1234 (sondern 12345 )
Aber ist so eine Konfiguration nicht per Definition böse? Oder bin ich zu alt und das macht man heute (wieder) so?
just my two Beer
- af0815
- Lazarusforum e. V.
- Beiträge: 6219
- Registriert: So 7. Jan 2007, 10:20
- OS, Lazarus, FPC: FPC fixes Lazarus fixes per fpcupdeluxe (win,linux,raspi)
- CPU-Target: 32Bit (64Bit)
- Wohnort: Burgenland
- Kontaktdaten:
Re: Virtuelle Server und Sicherheit
Normalerweise nagelt man den Server selbst zu und lässt die Applikation in einem Dockercontainer laufen.
Security ist mehr denn je ein Thema, 2FA fast schon Standard und VPN meistens auch.
Security ist mehr denn je ein Thema, 2FA fast schon Standard und VPN meistens auch.
Blöd kann man ruhig sein, nur zu Helfen muss man sich wissen (oder nachsehen in LazInfos/LazSnippets).
-
- Beiträge: 6214
- Registriert: Do 2. Jan 2014, 17:21
- OS, Lazarus, FPC: Linux (die neusten Trunk)
- CPU-Target: 64Bit
- Wohnort: Schweiz
Re: Virtuelle Server und Sicherheit
Wen ich 2FA lese, dies nervt nur noch. Mit diesem Mist geht einem sehr viel Komfort verloren.Security ist mehr denn je ein Thema, 2FA fast schon Standard und VPN meistens auch.
Mit Lazarus sehe ich grün
Mit Java und C/C++ sehe ich rot
Mit Java und C/C++ sehe ich rot
- af0815
- Lazarusforum e. V.
- Beiträge: 6219
- Registriert: So 7. Jan 2007, 10:20
- OS, Lazarus, FPC: FPC fixes Lazarus fixes per fpcupdeluxe (win,linux,raspi)
- CPU-Target: 32Bit (64Bit)
- Wohnort: Burgenland
- Kontaktdaten:
Re: Virtuelle Server und Sicherheit
Komfort geht verloren, weil auch der gesunde Menschenverstand flöten gegangen ist.Mathias hat geschrieben: ↑ Wen ich 2FA lese, dies nervt nur noch. Mit diesem Mist geht einem sehr viel Komfort verloren.
Den Geldbeutel hält jeder automatisch fest, aber wenn wer anruft und sich als Polizei ausgibt, werden ungefragt die Kontodaten oder der Schmuck/Bargeld rausgerückt.
Bei mir hat auch schon der MS-Support angerufen und mir erklärt das ich ein Problem habe. Mehr als ein "geht sche...en" haben die von mir nicht gehört.
Vergiss das nicht 2FA und andere Sachen sind aktuell der Schutz der die Leute vor sich selbst schützt
Blöd kann man ruhig sein, nur zu Helfen muss man sich wissen (oder nachsehen in LazInfos/LazSnippets).
-
- Beiträge: 6214
- Registriert: Do 2. Jan 2014, 17:21
- OS, Lazarus, FPC: Linux (die neusten Trunk)
- CPU-Target: 64Bit
- Wohnort: Schweiz
Re: Virtuelle Server und Sicherheit
Mich nervt es einfach, wen alles nur noch mit dem sche*** Handy geht.Vergiss das nicht 2FA und andere Sachen sind aktuell der Schutz der die Leute vor sich selbst schützt
Einzig was wirklich gut ist, sind TAN-Generatoren, sowas wie ich von meiner Hausbank habe. Ohne dieses Kästlein kommt niemand rein.
Mit Lazarus sehe ich grün
Mit Java und C/C++ sehe ich rot
Mit Java und C/C++ sehe ich rot
-
- Lazarusforum e. V.
- Beiträge: 191
- Registriert: Sa 26. Mai 2012, 17:31
- OS, Lazarus, FPC: Win 10 (L 2.2.6 x64 FPC 3.2.2)
- CPU-Target: 64Bit
Re: Virtuelle Server und Sicherheit
Gerade die sind mehr Schein als sein.
Bei diesen TAN-Generatoren liest du die Zahlen von dem Display ab und gibst es über die manipulierbare Tastatur ein.
Hast du einen SmartCard-Reader, dann gibst du die PIN nur auf der Tastatur des Readers ein. Die eigentliche Verschlüsselung findet im Gerät statt und nur der generierte Schlüssel geht zum PC.
just my two Beer
Re: Virtuelle Server und Sicherheit
Bei der Bank die Mathias wahrscheinlich meint, bekommt man eine photoTAN von der Website der Bank, die dann mit dem Gerätchen gelesen und decodiert wird.Joh hat geschrieben: ↑Sa 20. Jan 2024, 16:59Gerade die sind mehr Schein als sein.
Bei diesen TAN-Generatoren liest du die Zahlen von dem Display ab und gibst es über die manipulierbare Tastatur ein.
Hast du einen SmartCard-Reader, dann gibst du die PIN nur auf der Tastatur des Readers ein. Die eigentliche Verschlüsselung findet im Gerät statt und nur der generierte Schlüssel geht zum PC.
Ich denke, dass dieser Code nur einmal und für eine kurze Zeit gültig ist.
Auch Überweisungen an neue Empfänger muss man mit dem Gerät noch einmal extra bestätigen (mit IBAN und Betrag).
Wahrscheinlich kommt man da mit einem Logger nicht weit. Aber ich habe eigentlich keine Ahnung davon.
-
- Lazarusforum e. V.
- Beiträge: 191
- Registriert: Sa 26. Mai 2012, 17:31
- OS, Lazarus, FPC: Win 10 (L 2.2.6 x64 FPC 3.2.2)
- CPU-Target: 64Bit
Re: Virtuelle Server und Sicherheit
Das heißt was zum konkreten Sachverhalt?
VPN gibts bei Strato nicht. Gibt es einen Anbieter, bei dem ich mir eine Windows-Instanz im Web mit VPN-Zugang mieten kann?
Eigentlich könnte es allerdings auch Linux sein. Ist ja eine Lazarus-Anwendung.
Aber alleine die Firebird 4-Datenbank aufzusetzen ist bei einigen Distributionen ein Abenteuer.
Wie siehts da mit dem Drucken auf lokale Drucker aus?
2FA könnte man als SmartCard oder als SmartKey zur Windows-Authentifikation nutzen. Aber ist das wirklich sicherer?
Oder ist das wie die blöde Windows-PIN: das Kennwort geht immer; ist nur einfacher einzugeben.
just my two Beer
-
- Beiträge: 6214
- Registriert: Do 2. Jan 2014, 17:21
- OS, Lazarus, FPC: Linux (die neusten Trunk)
- CPU-Target: 64Bit
- Wohnort: Schweiz
Re: Virtuelle Server und Sicherheit
Genau sowas meine ich. Von der einten Bank habe ich ein photoTAN und von der anderen ein chipTAN.theo hat geschrieben: ↑Sa 20. Jan 2024, 17:09Bei der Bank die Mathias wahrscheinlich meint, bekommt man eine photoTAN von der Website der Bank, die dann mit dem Gerätchen gelesen und decodiert wird.Joh hat geschrieben: ↑Sa 20. Jan 2024, 16:59Gerade die sind mehr Schein als sein.
Bei diesen TAN-Generatoren liest du die Zahlen von dem Display ab und gibst es über die manipulierbare Tastatur ein.
Hast du einen SmartCard-Reader, dann gibst du die PIN nur auf der Tastatur des Readers ein. Die eigentliche Verschlüsselung findet im Gerät statt und nur der generierte Schlüssel geht zum PC.
Ich denke, dass dieser Code nur einmal und für eine kurze Zeit gültig ist.
Auch Überweisungen an neue Empfänger muss man mit dem Gerät noch einmal extra bestätigen (mit IBAN und Betrag).
Wahrscheinlich kommt man da mit einem Logger nicht weit. Aber ich habe eigentlich keine Ahnung davon.
Und diese Kästli sind zuhause eingeschlossen. Die Handys werden überall mitgenommen. Und viele Handys liegen schutzlos herum.
Mit Lazarus sehe ich grün
Mit Java und C/C++ sehe ich rot
Mit Java und C/C++ sehe ich rot
-
- Beiträge: 834
- Registriert: Mi 3. Jun 2020, 07:18
- OS, Lazarus, FPC: L 2.0.8, FPC Trunk, OS Win/Linux
- CPU-Target: Aarch64 bis Z80 ;)
- Wohnort: München
Re: Virtuelle Server und Sicherheit
So lange die Webseite das normale Timebased One Time Password nutzt, kannst du ein Tool wie AuthPass nutzen, welches Open Source ist und auf dem Desktop installiert werden kann und die Daten noch dazu in einer lokalen kdbx-Datenbank speichert. Wir haben das auch in unserer Arbeit eingeführt, da GitHub mittlerweile 2FA benötigt, aber wir das weder auf unseren privaten Handys noch in der Cloud haben wollten.
FPC Compiler Entwickler
- Jorg3000
- Lazarusforum e. V.
- Beiträge: 174
- Registriert: So 10. Okt 2021, 10:24
- OS, Lazarus, FPC: Win64
- Wohnort: NRW
Re: Virtuelle Server und Sicherheit
Hi!
Soweit ich ein VPN verstehe, ist es lediglich eine passwortgeschützte, verschlüsselte Verbindung.
Remote-Desktop, z.B. RDP, ist ebenfalls eine passwortgeschützte, verschlüsselte Verbindung. Da/wenn der Fernzugriff aus dem öffentlichen Internet möglich ist, sollte das PW schon richtig gut sein.
Ich sehe aber nicht, dass ein VPN einen Vorteil hätte, wenn das Passwort zum Remote-Desktop die gleiche Komplexität hat. Ich lasse mich aber gerne eines besseren belehren.
Grüße, Jörg
-
- Lazarusforum e. V.
- Beiträge: 191
- Registriert: Sa 26. Mai 2012, 17:31
- OS, Lazarus, FPC: Win 10 (L 2.2.6 x64 FPC 3.2.2)
- CPU-Target: 64Bit
Re: Virtuelle Server und Sicherheit
Also ich verstehe das für mich so:Jorg3000 hat geschrieben: ↑Mo 22. Jan 2024, 17:47Hi!
Soweit ich ein VPN verstehe, ist es lediglich eine passwortgeschützte, verschlüsselte Verbindung.
Remote-Desktop, z.B. RDP, ist ebenfalls eine passwortgeschützte, verschlüsselte Verbindung. Da/wenn der Fernzugriff aus dem öffentlichen Internet möglich ist, sollte das PW schon richtig gut sein.
Ich sehe aber nicht, dass ein VPN einen Vorteil hätte, wenn das Passwort zum Remote-Desktop die gleiche Komplexität hat. Ich lasse mich aber gerne eines besseren belehren.
Grüße, Jörg
a) Windows-Kennwort: ich kann entweder das VPN-Kennwort knacken oder Windows-Schwachstellen finden
b) VPN in das Netzwerk => ich kann entweder das VPN-Kennwort knacken oder Netzwerk-Schwachstellen finden
Danach muß ich dann noch a) knacken
Also doppelte Sicherheit?
just my two Beer
- af0815
- Lazarusforum e. V.
- Beiträge: 6219
- Registriert: So 7. Jan 2007, 10:20
- OS, Lazarus, FPC: FPC fixes Lazarus fixes per fpcupdeluxe (win,linux,raspi)
- CPU-Target: 32Bit (64Bit)
- Wohnort: Burgenland
- Kontaktdaten:
Re: Virtuelle Server und Sicherheit
VPN Erklärungen gibt es hier:
https://www.bsi.bund.de/DE/Themen/Verbr ... _node.html
Das Windows Kennwort ist keine Sicherheit. Es geht immer um den/die Dienste.
Und einen richtig eingerichteten VPN Zugang knackst du nicht, da braucht es mehr als Profis und machen das ganze ganz anders. Da wird nicht der VPN geknackt/gehackt sondern der größte Unsicherheitsfaktor meistens verwendet und das ist das ist einmal das Problem vor dem Bildschirm. Sprich der Mensch. Und dann wird von innen nach außen eine Verbindung geschaffen.
Das sicherste ist immer noch ein Kondom über den Netzwerkstecker. Wenn es keine Verbindung nach außen gibt ist man sicher Ob mann das dann noch brauchen kann ist ein anderes Thema.
https://www.bsi.bund.de/DE/Themen/Verbr ... _node.html
Das Windows Kennwort ist keine Sicherheit. Es geht immer um den/die Dienste.
Und einen richtig eingerichteten VPN Zugang knackst du nicht, da braucht es mehr als Profis und machen das ganze ganz anders. Da wird nicht der VPN geknackt/gehackt sondern der größte Unsicherheitsfaktor meistens verwendet und das ist das ist einmal das Problem vor dem Bildschirm. Sprich der Mensch. Und dann wird von innen nach außen eine Verbindung geschaffen.
Das sicherste ist immer noch ein Kondom über den Netzwerkstecker. Wenn es keine Verbindung nach außen gibt ist man sicher Ob mann das dann noch brauchen kann ist ein anderes Thema.
Blöd kann man ruhig sein, nur zu Helfen muss man sich wissen (oder nachsehen in LazInfos/LazSnippets).