Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Webprogrammeren & scripting

Tips gevraagd: dmv script poort beveiligen

None
8 antwoorden
  • Beste mensen,

    Graag wil op een goede manier een openstaande poort naar mijn webserver beveiligen door middel van een inlogscript. Ik heb geen idee hoe ik dat aan moet pakken, laat staan dat ik weet of mijn idee kan.

    Idee
    De webserver wil ik graag bereiken met behulp van WinVNC. Zoals iedereen wel weet, heeft deze een optie om via het web bereikbaar te zijn. Dit werkt zeer goed: je hoeft alleen een wachtwoord in te voeren.

    Nu is dat mijn probleem. Ik ben niet van de ingewikkelde wachtwoorden. Als de webmail van voormalig Officier van Justitie Toninio gekraakt kan worden, dan ook mijn pc. Dit wil ik niet.

    De oplossing
    Toen schoot mij een idee te binnen. Kan ik de poort (5800) beveiligen met een inlogscript (php oid) dat draait op de webserver? Ik dacht hierbij gebruik te maken van Virtualhost, deze verwijst poort 5800 naar een inlogpagina. De pagina zorgt voor toegang tot WinVNC applet.

    !!
    Virtualhost > inlogpagina > VNC
    Is dit mogelijk? Heeft iemand hier nog ideeën over?

    Verder
    Poort 5800 word opengezet in de router die vóór de server hangt. Dit is een huis-tuin-en-keuken router, niet bijzonders. De server draait W2k Pro. Verder draait de server op Apache 1.3.29 en PHP 4.3.8

    Bij voorbaat dank,
    d.
  • Nee dat kan niet.

    Je hebt 2 problemen:

    1. Die poort moet altijd open staan voor VNC, wat je verder ook doet. er is dus een daemon aan die poort aan het luisteren en die kan een beveiligingssfout hebben die gehackt kan worden.

    2. Iemand kan met een VNC client proberen in te loggen door het wachtwoord (slim) te gokken.

    Deze problemen zijn inherent aan je VNC gebruik en een vaag scriptje zal dat zeker niet oplossen. Het beveiligingsprobleem zit niet in die applet, maar in het openstaan van de poort.
  • Dat is dus inderdaad een probleem. Heel jammer aan VNC is dat het alleen een wachtwoord nodig heeft, geen gebruikersnaam. Hiermee is de beveiliging al tot een nulpunt gedaalt.

    De poort die open staat vind ik niet erg. Poorten van de mailserver staan ook open, en ik heb nog geen problemen gehad (afkloppen). dan zal ik op zoek moeten naar een andere oplossing. Betere software denk ik.
  • ik vind het een beetje parnoia hoor, een open poort wil niet meteen zeggen dat ie ge-exploit kan worden. Daarnaast heeft een officier van justitie toch iets belangrijkere informatie dan jij hebt (neem ik effe aan). En een wachtwoord raden is echt niet makkelijk, als je een lange wachtwoord hebt, goede letter en cijfercombinatie en het liefst geen bestaand woord, dan gaa de hacker lang bezig zijn om jou password te brute-forcen.

    ik quote effe van securityfocus.com
    [quote:f39ed2accf]
    During WinVNC's default install process, a registry key is created that could allow a remote attacker to modify the registry entry and allow un-authenticated access to the service. The registry key - HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\ - contains the connection password, IP and query restrictions as well as other settings. By default, this key is created during install with "Administrator" and "SYSTEM" accounts having full control and the "Everybody" account having Special Access (read and modify). Please note that under Windows 2000, this key has "Standard User" privileges which can accomplish the same thing.

    While it is possible for a remote attacker to exploit this using regedit (blank the password value and set the "AuthRequired" key to 0) the machine needs to be a NT 4.0 system missing the registry permission patch. If the machine is patched or is Windows 2000, you must have administrator rights or equivalent to gain access from the network. If successful, a remote attacker could gain complete access to the system.
    [/quote:f39ed2accf]

    en dit was eik de enige exploit die ik konvinden voor winvnc, dus maak je geen zorgen, als jij je zaakjes op orde hebt is er niets aan het handje :wink:
  • [quote:1e555f8f9a="Dr HenDre"]… en dit was eik de enige exploit die ik konvinden voor winvnc, dus maak je geen zorgen, als jij je zaakjes op orde hebt is er niets aan het handje :wink:[/quote:1e555f8f9a]
    Beetje vage redenering, hendre.
    Er is nog maar een exploit gevonden/bekend en dus is er niets aan de hand? Er zullen vast nog meer exploits inzitten en in de toekomst gevonden gaan worden en jij kunt dat nooit op tijd patchen. Of de TS gevoelige info heeft of niet is niet aan ons om te beoordelen.
  • Toch ben ik op zoek gegaan naar andere software. Ik vond XpressRemote. Deze software reageert iets trager dan VNC, maar heeft de volgende opties:
    - via willekeurige poort inloggen
    - toevoegen van meerdere gebruikers en wachtwoorden (én rechten)
    - 128 bits encryptie. (veilig!)

    XpressRemote is freeware, en tot nog toe ben ik er zeer over te spreken.

    d.
  • [quote:2754d3b2d7="Jaaap"][quote:2754d3b2d7="Dr HenDre"]… en dit was eik de enige exploit die ik konvinden voor winvnc, dus maak je geen zorgen, als jij je zaakjes op orde hebt is er niets aan het handje :wink:[/quote:2754d3b2d7]
    Beetje vage redenering, hendre.
    Er is nog maar een exploit gevonden/bekend en dus is er niets aan de hand? Er zullen vast nog meer exploits inzitten en in de toekomst gevonden gaan worden en jij kunt dat nooit op tijd patchen. Of de TS gevoelige info heeft of niet is niet aan ons om te beoordelen.[/quote:2754d3b2d7]ja maar ik vraag me af welke hacker exploits gaat zitten schrijven om in te breken bij een gewone huis-tuin en keuken gebruiker. Dat is net zo pranoia, imho, als md5 ofzo te gevoelig vinden omdat het te brute-forcen is. Het is in principe wel mogelijk, maar de inzet weegt niet op tegen hetgene wat je terug krijgt, als de topicstarter een bankcomputer is, ok, maar nogmaals het kost onwijs veel tijd en energie om dat voor elkaar te krijgen, en wat je ervoor terug krijgt…. toegang tot een computer waar waarschijnlijk weinig boeiends op staat :lol:
  • mogelijk in wildeweg ideetje:

    Mogelijk kun je ergens een file plaatsen waarin alle hosts staan die poort 5800 accepteerd.
    en deze file kun je aanpassen met je webserver, na het inloggen in een php script.
    op deze manier kun je overal toch inloggen :)

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.