[kikos]

Teema siis järgmine. Üritan remote accessi tööle saada, et oma arvutile välisest võrgust ligi pääseda. Lubasin arvuts remote accessi, lubasin 3389 pordi ruuteri kui ka arvuti firewallis. Googeldades WhatIsMyIP näitab mulle minu public IP'ks IPv6 aadressi. Leidsin ka lõpuks oma IPv4 aadressi, aga kui üritan remote accessi teha, siis ainuke viis, kuidas connectitud saan on IPv6 aadressiga. Millegi pärast IPv4 aadressiga ei lase. Oskab keegi öelda miks WhatIsMyIP nätab mulle IPv6 aadressi ja miks ma IPv4 aadressiga remote desktop connectionit ei saa?
Mul on Telia teenus.

[käbi]

[indrpo]

kui sul on uuem inteno ruuter või uuema tarkvaraga vana inteno, siis pordi suunamise (port fowarding) leiad firewall alt ülesse kui valid esmalt üleval paremal Expert mode.

[K3ndu]

Väga tark mõte tervele maailmale Remote Desktopi avada ei ole...

[Dogbert]

[indrpo]

Keegi võiks siis selgitada mis riskid sellega kaasnevad.
Isiklikult veenduks, et administraatori konto oleks keeruka parooliga ning väljapoolt võib ka remote desktopi pordi kindluse mõttes millegi teisega asendada.

[Dogbert]

Nii VPN-i kui ssh puhul soovitaks parooliga autentimise asemel avaliku võtmega autentimist ning parooliga autentimise võimalus välistada.
See juba iseenesest muudab tunneli turvalisemaks otse avatud RDP-st. Eeldusel, et privaatvõti rändama ei lähe või rändama- või kadumamineku korral õigeaegselt tühistatakse.
Pordi muutmine vähendab rünnakuid märgatavalt ja see oleks ka soovitatav nii ssh kui vpn-i seadistamisel, aga kui keegi tahab või mõni bott on seadistatud kõiki porte skännima, leiab selle avatud teenuse ka üles ikkagi.
Ja kui VPN-i või ssh-d panna tegema linuxipurk, siis fail2ban abil saab ukse taga madistajad maha rahustada.

https://www.google.ee/search?&q=risks+of+opening+remote+desktop+service+to+internet

[Pailaps]

Kodukasutuseks oleks vast Teamviewer turvalisim.

Ma ei lubaks isegi mitte läbi VPNi ligipääsu sisevõrgule ettevõttes.

Üldiselt istub Windowsi põhine server üldse eraldi VLANis ja kasutusel RD Gateway.

[Dogbert]

Teamviewer? Kas hiljutised suured turvaprobleemid ei meenu enam?
https://www.google.ee/search?q=teamviewer+security+leak

Suur osa seniseid teamvieweri püsikasutajaid viskas selle arvutist üldse välja, kuigi oleks piisanud vaid windowsi teenuse deaktiveerimisest.
Oma turvalisus täielikult kellegi teise kätte usaldada ilma tema turvameetmetest midagi teadmata ja igasuguse garantiita ei ole kunagi hea idee. Seda said nüüd paljud omal nahal tunda ja juurde ei taha. Ma isiklikult pole kunagi seda serverirežiimis kasutada usaldanud.

[Pailaps]

Loe teamvieweri blogi, tegemist võis olla social engineeringuga.

[owndyaa]

Soovitus : 3389 porti küll ära välisena kasuta, kui sa juhuslikult ei taha rünnakuid. Suunamine pane sisemiseks 3389, väline midagi muud
Rdp puhul siis ip-aadress:(port)

[laurx]

mul on " ühes kohas" hulk maisnaid niiviisi, et rdp:port. juba aastaid. sonkimist pole täheldanud. teamviewer jms asjad on tüütult tatt. kui masinas apsoluutse kütuse valemit ei arvutata vaid lihtsalt nt. mingite programmide pärast vaja kaugelt kättesaadav olla, a) lubad windows masinas remote desktopi ja paned kasutaja vastavasse gruppi. remote ei saa sa seadistada kasutajale, kellel pole parooli. b) tulemüüri teed vastava reegli kui seda seal pole. 3389 pordiga on lihtne, muude portide korral pead konkreetse reegli kirjutama. c) kui sa saad oma masinale ruuterist reserveerida kindla ip aadressi, tee seda sealt, kui ei saa, pane masinale kindel ip aadress. d) ruuteris " port forwardingu" all teed suunamise. e) kui sul on dünaamiline ip ja sinu ruuter toetab näiteks no-ip.org i, konfid oma virtuaaldomeeni ruuterisse. starmani seadmed näiteks no-ip ga läbi ei saa ja selle jaoks peab mingi klient tiksuma kuskil.. näiteks selles samas arvutis, kuhu sa ühendust teha tahad.

kodumasin oli aastaid sedasi 24/7 up selle pärast, et hulka programme ei viitsinud kuskile läpakasse sättida, lihtsam oli võtta suvaline masin, teha sellega terminali ning oma asjad siis käe järgi konfitud masinas ära teha.

põhjus, miks sul ipv4 ei pruugi töötada võib olla ka seal, et sul on ipv4 seaded " perse konfitud" ja kui ipv6 te ei jagataks, ei saakski see masin võrku.