Telnet, SSH, VPN, VNC, Remotedesktop und TeamViewer im Vergleich

internet 04
Fachbeitrag

Der Fernzugriff von einem Rechner auf einen anderen ist heutzutage weder aus der privaten noch aus der geschäftlichen Welt wegzudenken. Zum einen kann ein Mitarbeiter, der unterwegs oder im Homeoffice ist, über einen Fernzugriff die notwendigen Programme und Ressourcen des Firmennetzwerkes nutzen. Zum anderen kommt es vor, dass im Rahmen einer Auftragsdatenverarbeitung ein Dienstleister eine Fernwartung über das Internet vornehmen muss. Welche Möglichkeiten es für die Verbindung zwischen zwei Rechnern gibt und wie sicher diese sind, wird in dem folgenden Artikel erläutert.

Telnet

Zunächst gibt es das veraltete Netzwerkprotokoll Telnet. Dieses Protokoll ist auf allen gängigen Betriebssystemen einsetzbar, so dass eine Verbindung zwischen zwei Rechnern aufgebaut werden kann, auch wenn diese unterschiedliche Betriebssysteme nutzen. Nach dem Verbindungsaufbau wird ein Passwort abgefragt, sodass ein Datenaustausch erst nach einer erfolgreichen Passworteingabe stattfinden kann. Leider erfolgt der Datenaustausch unverschlüsselt. Ein Unberechtigter könnte somit sowohl das Passwort im Klartext sehen, als auch den ganzen Datenverkehr mitlesen. Deswegen sollte Telnet nicht mehr genutzt werden.

In die analoge Welt überführt, kann man sich Telnet wie eine Autobahn vorstellen, über die alle möglichen Daten gesendet werden können.

Protokoll Secure Shell (SSH)

Wegen der erheblichen Sicherheitsbedenken bei Telnet nutzen viele das Protokoll Secure Shell (SSH). SSH bietet nicht nur die gleichen Funktionalitäten wie Telnet, sondern verschlüsselt zusätzlich den Datenfluss. Bei SSH findet eine Authentifikation nicht nur mittels eines Passwortes statt, sondern die Identität der beteiligten Rechner wird durch öffentliche Schlüssel überprüft. Diese Überprüfung sorgt dafür, dass es für einen Angreifer nicht einfach ist, sich als ein autorisierter Beteiligter auszugeben. Der Datentransfer wird dann mit einem Sitzungsschlüssel symmetrisch verschlüsselt.

Um an das Beispiel der Autobahn anzuknüpfen, kann man sich SSH wie einen sicheren „Tunnel“ vorstellen, der auf der öffentlichen Autobahn gesetzt ist, wobei nur autorisierte Personen Daten durch diesen Tunnel verschicken können.

Nachteil von SSH ist allerdings, dass es für den normalen User nicht benutzerfreundlich ist, denn SSH funktioniert auf der Terminal-Ebene ohne grafische Oberfläche. Man sieht also nicht den kompletten Desktop des entfernten Rechners in einem Fenster auf seinem Rechner. Deswegen wird SSH meist von Administratoren genutzt. Zudem sollte darauf geachtet werden, dass zwei Version von SSH existieren: SSH1 und SSH2. Da SSH1 Sicherheitslücken aufweist, sollte nur noch SSH2 zum Einsatz kommen.

Virtual Private Network (VPN)

Eine weitere Möglichkeit einen sicheren Tunnel herzustellen, stellt das Virtual Private Network (VPN) dar. Wie das VPN funktioniert haben wir bereits in diesem Artikel erläutert. Der Unterschied zwischen SSH und VPN ist, dass man bei SSH jeweils „nur“ eine Verbindung zu einem Rechner aufbaut und nur auf diesen zugreifen kann. Man hat aber keinen direkt Zugriff auf das Netzwerk (z.B. Firmennetzwerk). Beim VPN kann man dagegen auf das ganze Netzwerk zugreifen und z.B. nicht nur die Programme des entfernten Rechners nutzen, sondern auch den Drucker und alle anderen Komponente, die in dem Firmennetzwerk vorhanden sind.

Virtual Network Computing (VNC)

Virtual Network Computing (VNC) ist ein Protokoll, das den Bildschirminhalt des entfernten Rechners auf den eigenen Monitor überträgt. Um VNC benutzen zu können wird zusätzlich eine Software benötigt (vncviewer oder ein Webbrowser). Der Nutzer gibt seine Daten und Befehle also nicht über eine Konsole ein, sondern sieht auf seinem Bildschirm den Desktop des entfernten Rechners. Er kann auch mit seiner Maus und Tastatur den entfernten Rechner steuern, so als ob er selbst vor diesem Rechner sitzen würde. Auch VNC arbeitet betriebssystemunabhängig. Der Nachteil von VNC ist jedoch, dass aufgrund der ständigen Aktualisierung des Bildschirminhaltes große Mengen an Daten übertragen werden müssen, was das Arbeiten mit VNC verlangsamt. Zudem ist die Übertragung zunächst unverschlüsselt.

In unserem Beispiel kann man sich das so vorstellen, dass viele Lkws beladen mit Daten über die Autobahn fahren und wie im wahren Leben häufig einen Stau verursachen.

Allerdings können beide Probleme dadurch gelöst werden, dass zum einen die Daten komprimiert werden und zum anderen eine verschlüsselte Verbindung hergestellt wird. Zum Beispiel kann VNC mit dem SSH-Tunnel gestartet werden, so dass eine sichere Authentisierung und verschlüsselte Übermittlung erreicht wird.

Sind beide Anforderungen erfüllt, fahren nicht mehr Lkws mit großen Datenmengen über die Autobahn, sondern ein schicker Porsche mit komprimierten Daten, der nur durch einen sicheren Tunnel fährt.

Remotedesktop (RDP)

Das Remote Desktop Protocol (RDP) ist ein Netzwerkprotokoll von Microsoft. Mittels RDP kann ebenso wie über VNC der Bildschirminhalt des entfernten Rechners auf dem eigenen Monitor dargestellt werden. Der Unterschied zu VNC liegt zum einen darin, das RDP an die Windows-Architektur gekoppelt ist, wobei RDP auch auf anderen Betriebssystemen lauffähig ist. Zum anderen bietet RDP eine automatische Verschlüsselung, so dass keine weiteren Erweiterungen für die Absicherung der Übertragung notwendig sind. Die Geschwindigkeitseinbußen, die durch die Übertragung der Grafikdaten entstehen, werden durch Komprimierung der Daten bzw. durch intensives Caching vermieden.

TeamViewer

Neben den oben erwähnten Möglichkeiten auf einen entfernten Rechner zugreifen zu können, gibt es noch weitere Desktop-Sharing-Software. Wegen seiner einfachen Bedienung ist das Programm TeamViewer ein bekannter Vertreter aus dieser Software-Kategorie. Bekannt ist hier TeamViewer, der wegen seiner einfachen Bedienung beliebt ist. Der Unterschied zu VNC ist, dass hier keine zusätzlichen Ports geöffnet werden, sondern nur die Ports benutzt werden, die sowieso für das Surfen im Internet benötigt werden. Der TeamViewer bietet ebenfalls eine Ende-zu-Ende-Verschlüsselung, so dass die Daten nicht mitgelesen werden können.

Die Qual der Wahl

Welche von den vorgestellten Tools bei einem Zugriff auf einen anderen Rechner im Einzelfall eingesetzt werden sollen, hängt davon ab, wer wie und was man machen möchte. Die entscheidenden Fragen bei der Wahl sind insbesondere:

  •  Welche Systeme stehen auf beiden Seiten zur Verfügung?
  •  Welche Sicherheitsmaßnahmen müssen eingehalten werden?
  •  Was akzeptiert die Gegenseite?
  •  Umfang und Dauer der Zugriffe?
  •  Wie teuer darf es sein?

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

Ein Kommentar zu diesem Beitrag

  1. Was an Fragen fehlt ist:
    – Wie kompetent sind die Nutzer/Admins?
    – Wie sicherheitskritisch sind Daten auf den beteiligten Rechnern?
    – Welche Betriebssysteme werden genutzt?

    Der klare Nachteil von SSH und VNC ist, dass das recht umständlich einzurichten und zu nutzen ist. Wenn es aber einmal eingerichtet ist, hat man OpenSource Software mit überschaubaren Angriffsvektoren – und *überprüfbarer* Sicherheit.

    TeamViewer ist extrem einfach einzurichten und ja schon fast „idotensicher“ (Idioten sind einfach zu erfinderisch!). Der Nachteil besteht aber darin, dass – wenn man das häufiger mit verschiedenen Rechnern machen muss – schnell zu TeamViewer-Konten gegriffen wird. Zumindest da tut sich ein weiterer Angriffsvektor auf, der auch schon erfolgreich angegriffen wurde. Zudem entzieht sich durch den CosedSource-Blob der Hersteller einer externen Sicherheitsbegutachtung.

    Aber die Abwägung ist da – wie meistens – Sicherheit vs. Bequemlichkeit.

    Und die Frage nach den Systemen: Sobald was anders als Windoof eingesetzt wird, ist RDP vermutlich keine wirklich gute Wahl mehr (aber natürlich noch möglich). Und wenn man in Hinblick auf das Windows-10-Desaster in Hinblick auf die eigene Datensicherheit auch nur überlegt, ob man zu Linux/OSX/Unix wechseln will, sollte man auch gleich seine Fernwartung auf diese Option ausrichten.

    Hinzu kommt eigentlich aber auch noch die Frage, ob man sich in eine Herstellerabhängigkeit begeben (bzw. darin verbleiben) will. Auch da hat OpenSource gewisse Vorteile ;)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.