|
| En LET måde at lave en "secure tunnel"? Fra : Morten |
Dato : 25-06-04 03:39 |
|
Jeg supporter en del forskellige folk via en variant af VNC (ultravnc).
Mit problem er med hensyn til sikkerheden.
Jeg søger en let måde hvorpå jeg kan tilbyde fuld "sikkerhed" til folk
(altså at datastrømmen mellem min og kundens computer er krypteret).
Mit spørgsmål er så om der findes en måde hvorpå jeg kan gøre dette, på en
måde som IKKE kræver nogen indblanding fra kunden.
Det skal siges at jeg selv bruger Win XP og kundernes computer er alt
mellem Win98 frem til Win XP.
Uden ellers at vide noget om det, tænkte jeg at løsningen måske var at
finde i noget SSH eller VPN ...
Det ideelle ville være et program/script som helt automatisk blev sat op på
kundens og min computer, som gjorde vnc-forbindelsen helt sikker.
Men jeg ved ikke om det kan lade sig gøre at lave det så simpelt.
Nogen ideer eller forslag til i hvilke retninger jeg bør lede efter en
løsning? Eller måske nogle har nogle direkte løsninger?
På forhånd tak.
Morten
| |
Martin Schultz (25-06-2004)
| Kommentar Fra : Martin Schultz |
Dato : 25-06-04 09:54 |
|
Morten <mmmmorten@hotmail.com> writes:
> Jeg supporter en del forskellige folk via en variant af VNC (ultravnc).
>
> Mit problem er med hensyn til sikkerheden.
>
> Jeg søger en let måde hvorpå jeg kan tilbyde fuld "sikkerhed" til folk
> (altså at datastrømmen mellem min og kundens computer er krypteret).
>
> Mit spørgsmål er så om der findes en måde hvorpå jeg kan gøre dette, på en
> måde som IKKE kræver nogen indblanding fra kunden.
>
> Det skal siges at jeg selv bruger Win XP og kundernes computer er alt
> mellem Win98 frem til Win XP.
Fx. en ssh server. Se fx. winsshd.
Martin
--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel routere.
| |
Morten (25-06-2004)
| Kommentar Fra : Morten |
Dato : 25-06-04 13:38 |
|
Martin Schultz <di030007@NO.SPAM.diku.dk> wrote in
news:ri84qp0ow5m.fsf@brok.diku.dk:
> Morten <mmmmorten@hotmail.com> writes:
>
>> Jeg supporter en del forskellige folk via en variant af VNC
>> (ultravnc).
>>
>> Mit problem er med hensyn til sikkerheden.
>>
>> Jeg søger en let måde hvorpå jeg kan tilbyde fuld "sikkerhed" til
>> folk (altså at datastrømmen mellem min og kundens computer er
>> krypteret).
>>
>> Mit spørgsmål er så om der findes en måde hvorpå jeg kan gøre dette,
>> på en måde som IKKE kræver nogen indblanding fra kunden.
>>
>> Det skal siges at jeg selv bruger Win XP og kundernes computer er alt
>> mellem Win98 frem til Win XP.
>
> Fx. en ssh server. Se fx. winsshd.
Hvis den virkelig er i stand til det, så kan det jo ikke være bedre.
Men lad mig lige spørge; behøves winsshd kun at blive installeret på MIN
computer, og ikke kundens? Fordi skal det også installeres på kundens,
eller bare dele af programmet, så kunne det hurtigt blive dyrt med
licenser.
Men som sagt, jeg skal have læst mere grundlæggende om alt det her først
tyder det på
Meningen med at høre jer "netværksfolk" om det, har hovedsageligt været
for at finde ud af hvor jeg skulle starte henne. Og jeg kan forstå at det
i hvertfald er noget SSH jeg skal have læst mere om
Morten
| |
Martin Schultz (26-06-2004)
| Kommentar Fra : Martin Schultz |
Dato : 26-06-04 09:34 |
|
Morten <mmmmorten@hotmail.com> writes:
> Martin Schultz <di030007@NO.SPAM.diku.dk> wrote in
> news:ri84qp0ow5m.fsf@brok.diku.dk:
>
> > Morten <mmmmorten@hotmail.com> writes:
> >
> >> Jeg supporter en del forskellige folk via en variant af VNC
> >> (ultravnc).
> >>
> >> Mit problem er med hensyn til sikkerheden.
> >>
> >> Jeg søger en let måde hvorpå jeg kan tilbyde fuld "sikkerhed" til
> >> folk (altså at datastrømmen mellem min og kundens computer er
> >> krypteret).
> >>
> >> Mit spørgsmål er så om der findes en måde hvorpå jeg kan gøre dette,
> >> på en måde som IKKE kræver nogen indblanding fra kunden.
> >>
> >> Det skal siges at jeg selv bruger Win XP og kundernes computer er alt
> >> mellem Win98 frem til Win XP.
> >
> > Fx. en ssh server. Se fx. winsshd.
>
> Hvis den virkelig er i stand til det, så kan det jo ikke være bedre.
Ja, via SSH tunneler.
>
> Men lad mig lige spørge; behøves winsshd kun at blive installeret på MIN
> computer, og ikke kundens? Fordi skal det også installeres på kundens,
> eller bare dele af programmet, så kunne det hurtigt blive dyrt med
> licenser.
Det skal isntalleres hos kunden. Hvis det skal være gratis så kan du
installere cygwin men det er ikke helt så nemt.
Du kommer ikke uden om at installere noget hos kunden for at få dine
behov opfyldt.
Martin
--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel routere.
| |
Niels Dybdahl (25-06-2004)
| Kommentar Fra : Niels Dybdahl |
Dato : 25-06-04 10:58 |
|
> Nogen ideer eller forslag til i hvilke retninger jeg bør lede efter en
> løsning? Eller måske nogle har nogle direkte løsninger?
Så vidt jeg husker var der et projekt som gik ud på at integrere VNC og SSH
i et program. Men om det blev til noget ved jeg ikke. Jeg bruger selv VNC
over SSH en gang imellem for at komme igennem en firewall.
Niels Dybdahl
| |
Morten (25-06-2004)
| Kommentar Fra : Morten |
Dato : 25-06-04 13:28 |
|
"Niels Dybdahl" <ndy@fjern.detteesko-graphics.com> wrote in
news:40dbf727$0$157$edfadb0f@dtext02.news.tele.dk:
> Så vidt jeg husker var der et projekt som gik ud på at integrere VNC
> og SSH i et program. Men om det blev til noget ved jeg ikke. Jeg
> bruger selv VNC over SSH en gang imellem for at komme igennem en
> firewall.
Interessant, jeg vidste ikke at man kunne bruge SSH til at komme igennem
firewalls (og routers går jeg ud fra). Alene af den årsag har jeg brugt
UltraVNC indtil nu, da den netop giver mig mulighed for det med at komme
igennem firewalls.
Jeg burde nok finde mig et sted hvor jeg kan læse mere grundlæggende om det
hersens SSH-sjov :)
Morten
| |
SonnyBoy (25-06-2004)
| Kommentar Fra : SonnyBoy |
Dato : 25-06-04 13:46 |
|
On Fri, 25 Jun 2004 12:27:47 +0000 (UTC), Morten
<mmmmorten@hotmail.com> wrote:
>Interessant, jeg vidste ikke at man kunne bruge SSH til at komme igennem
>firewalls (og routers går jeg ud fra). Alene af den årsag har jeg brugt
>UltraVNC indtil nu, da den netop giver mig mulighed for det med at komme
>igennem firewalls.
igennem og igennem - det er vel et definitions spørgsmål.
Du er nødt til at kalde op fra en SSH klient bag routeren til en SSH
server uden for routeren. Herefter kan du forwarde og reverse forwarde
porte som du lyster....
<mlr>
| |
SonnyBoy (25-06-2004)
| Kommentar Fra : SonnyBoy |
Dato : 25-06-04 13:38 |
|
On Fri, 25 Jun 2004 02:39:25 +0000 (UTC), Morten
<mmmmorten@hotmail.com> wrote:
>Mit spørgsmål er så om der findes en måde hvorpå jeg kan gøre dette, på en
>måde som IKKE kræver nogen indblanding fra kunden.
Løsningen er en kombination af VNC og SSH - og det løses på flere
måder:
1) Opsætning af SSH og VNC servere på kundens maskine som du så kan
kalde op til SSH / VNC klienter - Kan være besværlig i opsætning da
mange af kunderne formentlig har router / firewall der kræver
opsætning af 'virtuel server' for at du kan 'se' den aktuelle maskine.
2) Med 'reverse port forwarding' dvs kundens SSH klient kalder din SSH
server når der er behov for support. Du kalder så kundens VNC server
gennem den krypterede SSH tunnel.
VNC har du åbenbart allerede - SSH er godt dokumenteret her:
http://www.openssh.org/. Selv bruger jeg cygwin implementeringen:
http://www.cygwin.com, men ellers er microsofts egen implementering en
løsning: http://www.microsoft.com/windows/sfu/downloads/default.asp
<mlr>
| |
Morten (25-06-2004)
| Kommentar Fra : Morten |
Dato : 25-06-04 13:58 |
|
SonnyBoy <Sonny@i.live.nowhere> wrote in
news:sb6od0d9app66hrboi2vquai4cnakjnjf0@4ax.com:
> 2) Med 'reverse port forwarding' dvs kundens SSH klient kalder din SSH
> server når der er behov for support. Du kalder så kundens VNC server
> gennem den krypterede SSH tunnel.
Aha, det er DET, det hedder, "reverse port forwarding". Det er den teknik
UltraVnc bruger, og derfor alene af den grund jeg har klamret mig til det
program.
Men altså det du siger her, er at kunden faktisk bare skal have VNC (eller
en variant deraf) installeret samt en SSH klient. Det lyder jo nogenlunde
til at overskue
> VNC har du åbenbart allerede - SSH er godt dokumenteret her:
> http://www.openssh.org/. Selv bruger jeg cygwin implementeringen:
> http://www.cygwin.com, men ellers er microsofts egen implementering en
> løsning: http://www.microsoft.com/windows/sfu/downloads/default.asp
Glæder mig til at læse mere!
Tak.
Morten
| |
Jeppe Seidelin Dam (25-06-2004)
| Kommentar Fra : Jeppe Seidelin Dam |
Dato : 25-06-04 17:41 |
|
SonnyBoy skrev:
>> Mit spørgsmål er så om der findes en måde hvorpå jeg kan gøre dette,
>> på en måde som IKKE kræver nogen indblanding fra kunden.
>
> Løsningen er en kombination af VNC og SSH - og det løses på flere
> måder:
Alternativt kan man også bruge Zebeedee, som er en kombination af Zlib
(datakomprimering), Blowfish (enkryptering) og Diffie-Hellman key agreement.
Jeg har ikke prøvet det, men det burde virke.
mvh
Jeppe Seidelin Dam
| |
Tomas Christiansen (27-06-2004)
| Kommentar Fra : Tomas Christiansen |
Dato : 27-06-04 22:12 |
|
Jeppe Seidelin Dam skrev:
> Alternativt kan man også bruge Zebeedee, som er en kombination af Zlib
> (datakomprimering), Blowfish (enkryptering) og Diffie-Hellman key
agreement.
> Jeg har ikke prøvet det, men det burde virke.
Har prøvet det, og det virker som en drøm
-------
Tomas
| |
Morten (29-06-2004)
| Kommentar Fra : Morten |
Dato : 29-06-04 18:13 |
|
"Tomas Christiansen" <toc-01-nospam@blikroer.dk> wrote in news:cbnd5g$9gp
$1@news.cybercity.dk:
> Jeppe Seidelin Dam skrev:
>> Alternativt kan man også bruge Zebeedee, som er en kombination af Zlib
>> (datakomprimering), Blowfish (enkryptering) og Diffie-Hellman key
>> agreement.
>> Jeg har ikke prøvet det, men det burde virke.
>
> Har prøvet det, og det virker som en drøm
Ok, det lyder jo alle tiders. Efter at have overvejet de forskellige
muligheder, lader denne Zebedee-løsning til at være blandt de bedste (i
forhold til mine beskedne behov .
Selvom den angiveligt skulle være meget simpel at sætte op, har jeg
alligevel problemer dermed.
Jeg vil som sagt have den til at køre VNC (til en start er jeg ligeglad
hvilken version).
Men jeg vil også meget gerne have den til at køre 'reverse port
forwarding' (kommandoen hedder 'listenmode' i Zebedee).
Altså, vil du Tomas (eller andre) venligst skrive præcis hvilke
kommandoer du skriver på både server- og klientcomputeren, for at starte
en VNC-session. Og MEGET gerne også de kommandoer der skal til for at
køre VNC over Zebedee i 'listenmode'.
På forhånd mange tak.
Mvh.
Morten
| |
Tomas Christiansen (29-06-2004)
| Kommentar Fra : Tomas Christiansen |
Dato : 29-06-04 21:27 |
|
Morten skrev:
> Jeg vil som sagt have den til at køre VNC (til en start er jeg ligeglad
> hvilken version).
Jeg har prøvet at sætte det op på en Windows XP maskine, så man kan Remote
Deskop'e til den.
Den eneste som kræves for at få adgang til Windows XP maskinens (Remote)
Desktop er blot at man tager en diskette/cdrom/USB-key med sig hvorpå der
ligger et lille script, Zebedee og en fil med klient-nøglen. Zebedee er sat
op til at lytte på en anden port end 3389 som er standard-porten til Remote
Desktop.
> Men jeg vil også meget gerne have den til at køre 'reverse port
> forwarding' (kommandoen hedder 'listenmode' i Zebedee).
Ja og nej. Hvis du læser dokumentationen så står der ganske tydeligt under
"clienthost" at den forsøger at connecte sig til klienten, som så skal være
i "listenmode" og være klar til at lytte når serveren starter. Der står
yderligere: 'Note that Zebedee does not itself provide a mechanism for
co-ordinating the starting of client and server to set up a "reverse"
tunnel. That must be handled by some "out-of-band" mechanism.'
Jeg ved ikke om det var det, som du havde tænkt dig, altså at ingen behøver
røre ved serven for at du kan få adgang. Den metode Zebedee benytter, kræver
at en "out-of-band" mekanisme (f.eks. et menneske) starter Zebedee (+ VNC
server) op på serveren, hvorefter den straks (hvis du har sat den rigtigt op
og startet Zebedee-klienten på din egen maskine) vil forbinde sig til din
maskine, og du har en sikker tunnel som kan bruges til f.eks. VNC - eller
andet som måtte ønskes.
> Altså, vil du Tomas (eller andre) venligst skrive præcis hvilke
> kommandoer du skriver på både server- og klientcomputeren, for at starte
> en VNC-session. Og MEGET gerne også de kommandoer der skal til for at
> køre VNC over Zebedee i 'listenmode'.
Jeg har ikke noget liiige ved hånden. Men hvis du er i tvivl om noget, så
post (evt. e-mail) det du er nået frem til, så ser vi da på det!
-------
Tomas
| |
Tomas Christiansen (29-06-2004)
| Kommentar Fra : Tomas Christiansen |
Dato : 29-06-04 21:31 |
|
Tomas Christiansen skrev:
> Den eneste som kræves for at få adgang til Windows XP maskinens (Remote)
> Desktop er blot at man tager en diskette/cdrom/USB-key med sig hvorpå der
> ligger et lille script, Zebedee og en fil med klient-nøglen.
En lille bemærkning: Der er intet til hinder for at serverens
Zebedee-opsætning (inkl. VNC server?) ligger på en CDROM, så kunden blot
skal indsætte den CDROM, som du har leveret og klikke på en enkelt fil for
at gøre den klar til at du kan overtage den. Det er en af styrkerne ved
Zebedee!
-------
Tomas
| |
Morten (30-06-2004)
| Kommentar Fra : Morten |
Dato : 30-06-04 09:19 |
|
"Tomas Christiansen" <toc-01-nospam@blikroer.dk> wrote in
news:cbsjgm$2gq1$1@news.cybercity.dk:
> Tomas Christiansen skrev:
>> Den eneste som kræves for at få adgang til Windows XP maskinens
>> (Remote) Desktop er blot at man tager en diskette/cdrom/USB-key med
>> sig hvorpå der ligger et lille script, Zebedee og en fil med
>> klient-nøglen.
>
> En lille bemærkning: Der er intet til hinder for at serverens
> Zebedee-opsætning (inkl. VNC server?) ligger på en CDROM, så kunden
> blot skal indsætte den CDROM, som du har leveret og klikke på en
> enkelt fil for at gøre den klar til at du kan overtage den. Det er en
> af styrkerne ved Zebedee!
Det lyder meget positivt. Hvis jeg forstår dig rigtigt, så slipper kunden
simpelthen for at installere noget på sin computer?
Det ville vel også være det samme hvis kunden havde mulighed for at
downloade Zebedee (med den korrekte opsætning).
(det er nemlig desværre ikke alle jeg har mulighed for at give en cd-rom
sådan lige).
Men appropos; ville det egentligt være sikkert at sende Zebedee (samt
opsætning) over nettet til kunden, da der vel er en noget størrere risiko
for at det skulle blive nappet, frem for hvis man afleverer det
personligt på cd-rom (der er chancen for misbrug, vel nærmest lig nul).
Tak igen.
Mvh.
Morten
| |
Tomas Christiansen (30-06-2004)
| Kommentar Fra : Tomas Christiansen |
Dato : 30-06-04 21:13 |
|
Morten skrev:
> Det lyder meget positivt. Hvis jeg forstår dig rigtigt, så slipper kunden
> simpelthen for at installere noget på sin computer?
Ja, hvis man kan køre VNC uden at installere det først (ved ikke med
sikkerhed om det er muligt).
> Men appropos; ville det egentligt være sikkert at sende Zebedee (samt
> opsætning) over nettet til kunden, da der vel er en noget størrere risiko
> for at det skulle blive nappet, frem for hvis man afleverer det
> personligt på cd-rom (der er chancen for misbrug, vel nærmest lig nul).
Tjaaa. Risikoen afhænger lidt af dit eget setup. Du sender nogle oplysninger
om hvordan man kan lave en tunnel ind i dit system, men hvis du i din router
NAT'er til en IP-adresse på dit net som IKKE er i brug, så der risikoen for
misbrug minimal.
Når du så vil overtage en kundes computer, giver du din egen PC denne
IP-adresse og får kunden til at starte hele molevitten op (evt. først
downloader det). Efter brug husker du at fjerne IP-adressen fra din PC igen.
Man kan selvfølgelig også bare sige at når din Zebedee-klient ikke kører, så
er der ingen fare, og derfor behøver du ikke at tildele/fratage din PC
IP-adressen. Men så vil angreb rent faktisk nå helt frem til din PC, og det
er måske ikke så rart
-------
Tomas
| |
Morten (03-07-2004)
| Kommentar Fra : Morten |
Dato : 03-07-04 04:47 |
|
"Tomas Christiansen" <toc-01-nospam@blikroer.dk> wrote in
news:cbv6r3$27kr$1@news.cybercity.dk:
>> Men appropos; ville det egentligt være sikkert at sende Zebedee (samt
>> opsætning) over nettet til kunden, da der vel er en noget størrere
>> risiko for at det skulle blive nappet, frem for hvis man afleverer
>> det personligt på cd-rom (der er chancen for misbrug, vel nærmest lig
>> nul).
>
> Tjaaa. Risikoen afhænger lidt af dit eget setup. Du sender nogle
> oplysninger om hvordan man kan lave en tunnel ind i dit system, men
> hvis du i din router NAT'er til en IP-adresse på dit net som IKKE er i
> brug, så der risikoen for misbrug minimal.
> Når du så vil overtage en kundes computer, giver du din egen PC denne
> IP-adresse og får kunden til at starte hele molevitten op (evt. først
> downloader det). Efter brug husker du at fjerne IP-adressen fra din PC
> igen.
Det lyder som en god ide, hvilket gav mig følgende ide (afledt af din):
ville det bedste så ikke være en løsning hvor man havde en computer i ens
netværk som KUN blev brugt til vnc/zebedee ? (alle andre opgaver, private
sager m.m. lavede man på en anden computer).
Og nu spørger jeg måske dumt: er det kun den computer i netværket man
NAT'er til som er i en potentiel farezone?
Mere overordnet må jeg indrømme at jeg havde regnet med at
sikkerhedsproblemet nærmest var lige omvendt. Altså at det faktisk var
kunden og ikke mig som var i farezonen.
Jeg laver eksempelvis et lille program/script som har min ip-adresse m.m.
"indbygget", som gør kunden i stand til at få sin computer styret af mig,
med et enkelt klik.
Kunden downloader så dette program(som er integreret med zebedee/vnz i en
stor pakke, så det er lettest for kunden).
Jeg tænker så, hvis nogle ondsindede personer downloader selvsamme
program, vil de så ikke kunne gøre alt muligt for at styre mine kunders
computere?
(måske på en eller anden måde "udgive sig for mit ip-nummer", så det rent
faktisk er dem som styrer kundens computer og ikke mig. )
Beklager hvis det lyder som den rene paranoia, men det er faktisk meget
seriøst ment!
OG ja, jeg kan godt se at jeg bevæger mig en del væk fra det oprindelige
spm. og nu mere fokuserer på generel sikkerhed/netværk, men dette var
også mit sidste følge-op-spm. Promise!
Tak igen.
Mvh.
Morten
| |
Tomas Christiansen (05-07-2004)
| Kommentar Fra : Tomas Christiansen |
Dato : 05-07-04 22:34 |
|
Morten skrev
> Det lyder som en god ide, hvilket gav mig følgende ide (afledt af din):
> ville det bedste så ikke være en løsning hvor man havde en computer i ens
> netværk som KUN blev brugt til vnc/zebedee ? (alle andre opgaver, private
> sager m.m. lavede man på en anden computer).
Det vil naturligvis øge sikkerheden.
> Og nu spørger jeg måske dumt: er det kun den computer i netværket man
> NAT'er til som er i en potentiel farezone?
Tja. Så længe ingen udefra kan ændre på din router/firewall's opsætning kan
jeg ikke se nogen problemer. Det er normalt den måde Internetudbydere
konfigurerer kundernes routere, hvis det kun skal være åbnet for nogle få
porte. Hvis man så vil opstille f.eks. en web-server, skal den blot gives
den IP-adresse, som port 80 på ydersiden af routeren (den offentlige
IP-adresse) er NAT 'et til.
> Mere overordnet må jeg indrømme at jeg havde regnet med at
> sikkerhedsproblemet nærmest var lige omvendt. Altså at det faktisk var
> kunden og ikke mig som var i farezonen.
Hvis kunden starter Zebedee i server-tilstand med "clienthost" angivet, og
den prøver at forbinde sig til _din_ IP-adresse, er risikoen ret minimal (og
teoretisk). Naturligvis kan enhver, som bryder ind på den telefoncentral,
som din kunde er tilsluttet, udgive sig for at være din IP-adresse og
foregive at være dig.
Sikkerheden i Zebedee bliver principielt brudt, hvis nogen kender ens
private nøgle, og den bliver kendt, hvis du lægger dit Zebedee-server-setup
ud på dit website.
Jeg kan ikke lige nu se hvordan det skal løses, men undersøger lige nærmere
og vender frygteligt tilbage.
-------
Tomas
| |
Tomas Christiansen (05-07-2004)
| Kommentar Fra : Tomas Christiansen |
Dato : 05-07-04 22:45 |
|
Tomas Christiansen skrev:
> Sikkerheden i Zebedee bliver principielt brudt, hvis nogen kender ens
> private nøgle, og den bliver kendt, hvis du lægger dit
Zebedee-server-setup
> ud på dit website.
Det var da vist noget vrøvl jeg fik skrevet!
Hvis du sætter serveren op til kun at ville tale med en klient som har én
bestemt privat nøgle, skal kun nøglens "fingerprint" ligge i
server-setup'et. Hvis det ikke er muligt at generere den private nøgle ud
fra fingerprintet (og _det_ burde ikke være muligt), så er løsningen "sikker
nok" - til de fleste formål.
-------
Tomas
| |
Morten (30-06-2004)
| Kommentar Fra : Morten |
Dato : 30-06-04 09:07 |
|
"Tomas Christiansen" <toc-01-nospam@blikroer.dk> wrote in
news:cbsjad$2gka$1@news.cybercity.dk:
> Morten skrev:
>> Jeg vil som sagt have den til at køre VNC (til en start er jeg
>> ligeglad hvilken version).
>
> Jeg har prøvet at sætte det op på en Windows XP maskine, så man kan
> Remote Deskop'e til den.
>
> Den eneste som kræves for at få adgang til Windows XP maskinens
> (Remote) Desktop er blot at man tager en diskette/cdrom/USB-key med
> sig hvorpå der ligger et lille script, Zebedee og en fil med
> klient-nøglen. Zebedee er sat op til at lytte på en anden port end
> 3389 som er standard-porten til Remote Desktop.
Jeg vil ikke udelukke Remote Desktop kunne blive aktuelt, men p.t. går
det nok ikke, da det ikke er indbygget i hverken Windows 2000 eller
Windows 98.
>> Men jeg vil også meget gerne have den til at køre 'reverse port
>> forwarding' (kommandoen hedder 'listenmode' i Zebedee).
>
> Ja og nej. Hvis du læser dokumentationen så står der ganske tydeligt
> under "clienthost" at den forsøger at connecte sig til klienten, som
> så skal være i "listenmode" og være klar til at lytte når serveren
> starter. Der står yderligere: 'Note that Zebedee does not itself
> provide a mechanism for co-ordinating the starting of client and
> server to set up a "reverse" tunnel. That must be handled by some
> "out-of-band" mechanism.'
Faktisk også sådan jeg til sidst havde forstået det, men rart at få det
bekræftet af en kyndig person
> Jeg ved ikke om det var det, som du havde tænkt dig, altså at ingen
> behøver røre ved serven for at du kan få adgang. Den metode Zebedee
> benytter, kræver at en "out-of-band" mekanisme (f.eks. et menneske)
> starter Zebedee (+ VNC server) op på serveren, hvorefter den straks
> (hvis du har sat den rigtigt op og startet Zebedee-klienten på din
> egen maskine) vil forbinde sig til din maskine, og du har en sikker
> tunnel som kan bruges til f.eks. VNC - eller andet som måtte ønskes.
Ja, her har jeg jo nok været lidt uklar. Jeg tror nok jeg er rimelig
indforstået med det du nævner her. Jeg kan også godt acceptere at en
person eller "lignende" bliver nødt til at sidde i den anden ende. Mit
ønske gik egentlig bare på at få af vide hvilke kommandoer man skulle
skrive FOR at starte en sådan vnc-zebedee-reverse-connection mellem to
computere :)
>> Altså, vil du Tomas (eller andre) venligst skrive præcis hvilke
>> kommandoer du skriver på både server- og klientcomputeren, for at
>> starte en VNC-session. Og MEGET gerne også de kommandoer der skal til
>> for at køre VNC over Zebedee i 'listenmode'.
>
> Jeg har ikke noget liiige ved hånden. Men hvis du er i tvivl om noget,
> så post (evt. e-mail) det du er nået frem til, så ser vi da på det!
Pænt af dig at tilbyde yderlige hjælp. Det er værdsat. Til en start vil
jeg nok poste lidt videre i gruppen her, da der er størrere chance for at
andre også får glæde af dine og andres svar :)
Jeg ser lige en ekstra gang i Zebedee-manuelen og kommer nok snart med et
lidt mere specifikt spørgsmål.
Tak, so far :)
Mvh.
Morten
| |
Morten Christensen (26-06-2004)
| Kommentar Fra : Morten Christensen |
Dato : 26-06-04 17:07 |
|
Morten wrote:
> Jeg supporter en del forskellige folk via en variant af VNC (ultravnc).
>
> Mit problem er med hensyn til sikkerheden.
>
> Jeg søger en let måde hvorpå jeg kan tilbyde fuld "sikkerhed" til folk
> (altså at datastrømmen mellem min og kundens computer er krypteret).
>
> Mit spørgsmål er så om der findes en måde hvorpå jeg kan gøre dette, på en
> måde som IKKE kræver nogen indblanding fra kunden.
>
> Det skal siges at jeg selv bruger Win XP og kundernes computer er alt
> mellem Win98 frem til Win XP.
>
>
> Uden ellers at vide noget om det, tænkte jeg at løsningen måske var at
> finde i noget SSH eller VPN ...
>
>
> Det ideelle ville være et program/script som helt automatisk blev sat op på
> kundens og min computer, som gjorde vnc-forbindelsen helt sikker.
> Men jeg ved ikke om det kan lade sig gøre at lave det så simpelt.
>
>
> Nogen ideer eller forslag til i hvilke retninger jeg bør lede efter en
> løsning? Eller måske nogle har nogle direkte løsninger?
Til ultraVNC findes der et DSM-plugin, som siges at indeholde
kryptering. Jeg kan ikke udtale mig om, hvor tæt på en brugbar version,
plugin'et er, eller hvor nemt det er at installere.
--
mvh
Morten Christensen
| |
Morten (29-06-2004)
| Kommentar Fra : Morten |
Dato : 29-06-04 17:58 |
|
Morten Christensen <mc@mc.sletmig.cx> wrote in
news:40dd9f2f$0$163$edfadb0f@dtext02.news.tele.dk:
> Til ultraVNC findes der et DSM-plugin, som siges at indeholde
> kryptering. Jeg kan ikke udtale mig om, hvor tæt på en brugbar
> version, plugin'et er, eller hvor nemt det er at installere.
Tak for tippet, og jeg har faktisk prøvet dette DSM-plugin. Det virker
såmænd fint nok, men problemet er at det bliver meget besværligt, hvis man
supporterer mange mennesker.
Det skyldes at man selv og kunden skal have en unik nøgle, hvilket vil
betyde at man ender med en masse forskellige nøgler, samt at disse også
skal transporteres mellem kunden og en selv. Det lyder måske ikke som noget
problem, men jeg synes det virker ret uoverskueligt, både med hensyn til
"automatition" og sikkerhed. Jeg kan dog sagtens se brugbarheden af det
hvis man har den samme lille kundegruppe hele tiden.
Mvh.
Morten
| |
|
|