Vast ip-adres toch noodzakelijk voor inlogging?

Eérst dit : Ik was altijd in de overtuiging dat om op een server in te loggen via internet, je zijn vast ip-adres moest kennen. Dit lijkt mij dus een onveilige blootstelling van je netwerk aan de buitenwereld. Ik heb me er dus altijd tegen verzet op het werk (als admin).

Komen ze nu plots achter mijn rug af met een manier om zonder vast ip-adres (via dhcp dus) toch te kunnen inloggen.
3 vragen :

  • Hoe werkt dit ???
  • is dit dan superveilig
  • is dit dan even veilig als via modem binnenbellen, inloggen en werken op server? (geen rekening houden met snelheidsverschillen want 't is toch in terminal server (windhoos :evil: ))

Dank voor snelle reactie want morgen ligt mijn hoofd op de ‘kapblok’.

Davedive

moest het van mij afhangen, gaat er morgen bloed vloeien :(

[mod:b25d920794=“iRuben”]Quote gewist. Een bericht in zijn geheel quoten wanneer je direct achter dat bericht één regel reaktie geeft is weinig zinvol…[/mod:b25d920794]

Jelle : het mijne ? :sealed:

[quote:a203f03e43="davedive"]Jelle : het mijne ? :sealed:[/quote:a203f03e43]

probably… :innocent:

how come then ??

enige uitleg voor executie is altijd welkom…

bijkomende vraag :

géén enkele server die bereikbaar was via ‘dhcp login’ (met firewalls en zo) is ooit al gehacked geweest?

tnx

[quote:53bf82387d="davedive"]Jelle : het mijne ? :sealed:[/quote:53bf82387d] mmm, mijn internetnaam is Jello, niet Jelle. ma swat.

ik heb nog iets liggen voor u,
een galgetien, een koord met lus, een scherp mes, enkele spuitjes, een plastiken zak, boormachine, haagmachine, boomzaag, gewone zaag, zakmes …

Nee, ik denk niet dat je hem bereiken gaat kunnen.

het is nooit zo geweest dat de server een vast ip moest hebben om bij een server te kunnen inloggen... of je nou een vast ip hebt of een dynamisch ip (meestal blijven die ook erg lang gelijk), het is gewoon zo dat wanneer je veel online bent, er nou eenmaal risicos zijn. Het kan zijn dat je dmv dns names de dynamische ip nummers soort van vast kan maken, dit gebeurd tegenwoordig bij veel providers.

Niets is superveilig, je kan alleen proberen hier tegen te beveiligen door goede firewalls te nemen, veilige logins (encrypted etc) en geen onveilige protocollen toe te laten (sftp ipv ftp etc) wanner er wachtwoorden gaan worden verstuurd.
Regelmatig wisselen van wachtwoorden kan ook geen kwaad (tenzij je ze zelf gaat vergeten en dus moet op gaan schrijven etc).
Via een modem inbellen is niet veiliger dan via breedband, alleen is vaak de tijd dat je online bent korter, en sta je dus minder open aan het gevaar…
Net zoiets met verkeer, als je vaak heen en weer loopt over straat, zijn er meer kansen dat je aangereden zou kunnen worden dan wanneer je er maar 1 keertje overheen loopt.

Wat wel veilig(er) is, is gebruik te maken van een dedicated line, een lijn waarop je niets anders hebt dan de verbinding tussen de 2 punten. Dit is vaak een dure oplossing, en dit wordt dan natuurlijk steeds meer over bestaande lijnen gedaan (isdn, internet)… hoe ze het dan toch veilig krijgen met internet is door het gebruik van zogenoemde black boxes / VPN (Virtual private networks) … ik weet even niet meer hoe het heet enzo, maar een hardware matige oplossing zou dit kunnen zijn: beide partijen hebben een soort router die alle data versleutelen en doorsturen, de ontvangende partij kan deze data dan weer ontsleutelen en verder het netwerk op gooien. De encryptie die daarbij gebruikt wordt is flink hoog en om te voorkomen dat het toch gekraakt wordt, worden de sleutels die gebruikt worden bv om het uur gewisseld (automatisch).
Hier is op internet denk ik wel voldoende over te vinden…

tnx apenstaartje,

Daar heeft een mens iets aan.

Wanneer ik de telefonische verbinding vermeldde dan was dit géén telefonische inlogging VIA internet maar een rechtstreekse inbelverbinding op een modem op de server. Dit is eigenlijk ook een ‘tijdelijke’ dedicated line. Deze lijkt mij het allerveiligst.

Bedankt in ieder geval voor de uitleg.

Davedive

Als je nog ergens een server hebt staan waar windows 2000 op kan draaien, dan zou ik voor een VPN verbinding gaan. Een vpn verbinding is namelijk ook encrypted en is een "vaste" lijn tussen client en server. Je kan voor elk OS een client downloaden, of zit al ingebakken in het os.

Michiel

Uiteindelijk komt alles goed.

Mijn ‘beveiligingsprobleem’ komt eigenlijk hierop neer : wat is het veiligst? inloggen op een computer via :

  • internet
  • standaard telefoonverbinding

uitgemaakte zaak.

bedankt voor jullie reacties
davedive

Ik kom er niet helemaal uit wat jullie hier nou proberen uit te vogelen. De normale gang van zaken is dus inbellen op de server op de zaak? Maar wat doe je daar dan? Via een modem kost geld en is langzaam. Als een ander het wachtwoord en telefoonnummer weet is er bijna niks beveiligd. Ongeveer hetzelfde geld voor contact via internet. VPN (virtual private network) is een goed beveiligde verbinding. De kans is zelfs groot dat je voor het connecten via TCP/IP veel meer kunt beveiligen. Poorten dichtzetten, IP ranges blokkeren, SSH en SFTP...

Ik kan bijvoorbeeld alleen maar mijn server in vanaf mijn eigen vaste IPadres. Ergens anders kan ik er niet bij. Zoiets is via een telefoonverbinding alleen maar met een terugbel-optie mogelijk.

Kortom: het is nog geenszins een uitgemaakte zaak

Op kantoor staan er drie macs en een stapel HD's verbonden met elkaar via een hubje. Al het samengebruik aan, maar als ik niet IN dat kantoor zit kan ik er niet bij. Dat moet anders. Ik ben op dit moment dus aan het uitzoeken of ik met een VPN 'kastje' (Hotbrick) op kantoor mijn kantoornetwerk kan ontsluiten aan mijn thuiswerkende en rondreizende collega(s).

Voor zover ik uit de site van hotbrick.nl en alle reacties hier kan opmaken, moet dat mogelijk zijn. Ik moet op kantoor een vast Ip adres hebben maar volgens mij laat de ‘brick’ het zelfs toe (als ik dat zo instel) om via PPTP (te organiseren vie het OSx prog 'internetverbinding) zelfs met een variabel IP adres in te loggen als ik de juiste naam en wachtwoordgegevens maar weet.

Is er iemand die ervaring heeft met deze manier van VPN aanleggen? Het zou een ideal oplossing zijn voor de kleine bedrijven. Want zo’n ‘brick’ kost 350 euro. En mocht je hardware matig willen inloggen als client kost dat 99 euro erbij en dan is de verbinding er altijd.

Waar zou het addertje onder het gras zitten???

vrgr

Michiel

Even voor de goede orde:

Als je een server via internet wil bereiken zal die minimaal een vast IP nodig hebben, ook bij VPN verbindingen.

Als het via een inbelverbinding o.i.d. gaat dat kan de server je via dhcp een ip-adres geven.

@MichieIJs: Via een Hotbrick firewall een VPN verbinding maken met de de server is inderdaad een goede oplossing. Via het Internet lijkt me het handigst voor je rondreizende collegae. Het addertje: Hotbrick is relatief nieuw en daarom zullen grotere berijven meestal kiezen voor wat meer gerenommeerde Firewall leveranciers (Cisco, Fortigate, Netscreen, enz…)

[quote:167b67521a="Woziak"]Even voor de goede orde:

Als je een server via internet wil bereiken zal die minimaal een vast IP nodig hebben, ook bij VPN verbindingen.
[/quote:167b67521a]
B%$#^shit

Als je server een internetverbinding heeft dan heeft hij een ip-adres; en is hij dus bereikbaar vanaf het internet. Ongeacht of je dat adres via dhcp gekregen hebt, of dat hij ‘hard’ genummerd is. Punt.
Dat is nota bene het hele concept van internet!
Er zijn al jarenlang instanties (als Dyndns) die het probleem van DHCP connected servers oplossen door een hoge refresh op de records te geven.
Dit werkt ook met firewalls, adsl-modems etc.
Je installeert binnen je netwerk op een van je machines een client, in jouw geval een OSX-client; deze stel je zo in de je externe interface (je ip-adres dat met de grote boze buitenwereld praat) als subdomein (wat je zelf kunt kiezen) aan een van de 40 beschikbare domeinen (dyndns.org, dyndns.net of voor de liefhebber kicks-ass.net of shacknet.nu)(waar je zelf uit kunt kiezen) komt te hangen. In het geval van MichielJS dus bijvoorbeeld: hotbrick.dyndns.org.
Je VPN-clients zetten dan hun verbinding op naar hotbrick.dyndns.org. Mocht het IP-adres van je externe interface wijzigen, dan zorgt je client op je machine in je netwerk ervoor dat dit geupdate wordt in de dns, en dat hotbrick.dyndns.org naar dit nieuwe adres zal wijzen.

Bovendien maakt het geen fsck uit of anderen het IP adres van je server weten.

Goede beveiliging houdt niet in: het IP van je server geheim houden, maar goede firewalls, poortenbeheer, routing, wachtwoorden en veilige protocollen gebruiken.

waarvan akte

[quote:f18d67f997="walinsky"][quote:f18d67f997="Woziak"]Even voor de goede orde:

Als je een server via internet wil bereiken zal die minimaal een vast IP nodig hebben, ook bij VPN verbindingen.
[/quote:f18d67f997]
B%$#^shit

Als je server een internetverbinding heeft dan heeft hij een ip-adres; en is hij dus bereikbaar vanaf het internet. Ongeacht of je dat adres via dhcp gekregen hebt, of dat hij ‘hard’ genummerd is. Punt.
[/quote:f18d67f997]

Hoezo “B%$#^shit”… er staat toch dat je [b:f18d67f997]minimaal[/b:f18d67f997] een IP nodig hebt… DNS is gewoon een verwijzing verwijzing naar een IP. :?

[quote:1774940e3c="Woziak"][quote:1774940e3c="walinsky"][quote:1774940e3c="Woziak"]Even voor de goede orde:

Als je een server via internet wil bereiken zal die minimaal een vast IP nodig hebben, ook bij VPN verbindingen.
[/quote:1774940e3c]
B%$#^shit

Als je server een internetverbinding heeft dan heeft hij een ip-adres; en is hij dus bereikbaar vanaf het internet. Ongeacht of je dat adres via dhcp gekregen hebt, of dat hij ‘hard’ genummerd is. Punt.
[/quote:1774940e3c]

Hoezo “B%$#^shit”… er staat toch dat je minimaal een IP nodig hebt… DNS is gewoon een verwijzing verwijzing naar een IP.[/quote:1774940e3c]
het woordje ‘VAST’ staat er verkeerd,
ik heb ook een DHCP IP dingen, als ik van m’n mac een server maak hoef ik m’n ip te geven,
die veranderd pas als ik de mac uitzet of het internet uitzet.
Terwijl de mac aan is, gaat m’n ip niet veranderen, heus niet.

elk ding op internet heeft een ip, en tijdens zijn duur op internet blijft dat hetzelfde …

[quote:61b6f52a13="Woziak"][quote:61b6f52a13="walinsky"][quote:61b6f52a13="Woziak"]Even voor de goede orde:

Als je een server via internet wil bereiken zal die minimaal een vast IP nodig hebben, ook bij VPN verbindingen.
[/quote:61b6f52a13]
B%$#^shit

Als je server een internetverbinding heeft dan heeft hij een ip-adres; en is hij dus bereikbaar vanaf het internet. Ongeacht of je dat adres via dhcp gekregen hebt, of dat hij ‘hard’ genummerd is. Punt.
[/quote:61b6f52a13]

Hoezo “B%$#^shit”… er staat toch dat je [b:61b6f52a13]minimaal[/b:61b6f52a13] een IP nodig hebt… DNS is gewoon een verwijzing verwijzing naar een IP. :?[/quote:61b6f52a13]
Nee; er staat NIET dat je [b:61b6f52a13]minimaal[/b:61b6f52a13] een IP nodig hebt…
er staat dat je minimaal een [b:61b6f52a13]vast[/b:61b6f52a13] IP nodig hebt, [b:61b6f52a13]ook bij VPN verbindingen[/b:61b6f52a13]

En dat is de grootst mogelijke onzin die ik in tijden gehoord heb. B%$#^shit dus.

De reden dat ik hier op hamer is dat we hier onder het forum-topic:
[b:61b6f52a13]Vast ip-adres toch noodzakelijk voor inlogging?[/b:61b6f52a13] aan het posten zijn!

De reden dat ik een bruikbare praktijkopstelling met een dynamische DNS aanhaal, is dat er al sinds jaar en dag internetgebruikers tegen het probleem van een dynamisch IP aanlopen als ze services willen aanbieden. Genoemde praktijkoplossing wordt al jarenlang door miljoenen mensen met succes gebruikt.