Welcher VNC Client ist der beste im Bezug auf die Sicherheit?

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Cordess
Beiträge: 422
Registriert: 09.01.2006 00:37:22

Welcher VNC Client ist der beste im Bezug auf die Sicherheit?

Beitrag von Cordess » 05.01.2021 06:53:39

Ich suche einen VNC Clienten bei dem sehr viel Wert auf die Sicherheit und Security Fixes gelegt wird.
Diese Fixes sollten allerdings auch in Debian stable zeitnah ankommen, ein guter Support durch Debian Maintainer wäre also auch wichtig.

Bisher habe ich KRDC des KDE Projekts verwendet, allerdings ist bei Buster der letzte Changelog Eintrag vom Mai 2018.
https://metadata.ftp-master.debian.org/ ... _changelog

Das muss nicht viel heißen, es gibt natürlich auch alten Code, bei dem keine neue Sicherheitslücken bekannt wurden.
Anderseits kann es aber auch bedeuten, dass dieser VNC Client nicht so intensiv genutzt wird und deswegen weniger Leute kritische Fehler finden. Oder das der Maintainer sich um viele Pakete kümmern muss und nicht mit dem patchen nachkommt.

Ein VNC Client der eine große Nutzerbasis und eine große Entwicklergemeinde hat, könnte hier also ein Vorteil sein. Ebenso kann es ein Vorteil sein, wenn dieser auf mehreren Plattformen läuft, da dann bspw. auch Fehler gefunden werden, die auf anderen Plattformen nicht auffallen oder auftreten.

Ich dachte hier bspw. auch an TigerVNC.

KRDC ist als Teil des KDE Desktop eher auf Linux und Unix Systeme beschränkt, auch wenn es die kdelibs inzwischen auch für Windows gibt, aber die Nutzung von KDE basierter Software war unter Windows schon immer eher Mau.
Bezüglich eines Debian Releases kann es dann zu dem auch sein, dass nicht gerade eine aktuelle Version verwendet wird. Ein von einem Desktop System unabhängig entwickelter VNC Client könnte hier also ebenfalls im Vorteil sein.

Sicherlich gibt es noch andere VNC Clients. Welchen könnt ihr mir empfehlen und wie sind eure Erfahrungen zu den jeweiligen VNC Clients? Wie sind eure Erfahrungen bezüglich der Sicherheit und zeitnaher Updates?

Für mich wichtige Funktionen wären:
- Sicherheit & guter Sicherheitsupdatesupport
- gute Unterstützung bezüglich der Verschlüsselung. Ich brauche ihn für eine Verbindung zu meinem Raspberry Pi 3, auf dem läuft als VNC Server realvnc und da das eine Community Version ist, ist die Verschlüsselungsstärke leider auf AES 128 begrenzt. AES 128 sollte vom Client also mindestens auch unterstützt werden.
- grafische Oberfläche und intuitive Bedienung
- ich möchte kein Gnome 3 installieren müssen um den Clienten nutzen zu können. Die Abhängigkeiten sollten sich also, wenn dann, auf so Sachen wie GTK beschränken.

Als Desktop Environment verwende ich KDE.
Die Nutzung erfolgt nur im LAN, also nicht übers Internet.

Bezüglich dem Debian Ranking steht KRDC auf Platz 6803 mit einer regelmäßigen Nutzerbasis von 512 Nutzern.
TigerVNC (bzw. tigervnc-viewer ) steht auf Platz 7379, dafür aber mit einer regelmäßigen Nutzerbasis von 621 Nutzern.
Die meisten aktiven Nutzer hat remmina mit 2418 Nutzer und dem Platz 4952, allerdings ist das ein Multiprotokoll Client, er kann bspw. auch RDP was bei Windows benutzt wird. Das muss im Bezug auf VNC also nichts heißen. Es wäre bspw. denkbar, dass die VNC Komponenten vernachlässigt werden oder die Codebasis ansich eine hohe Komplexität hat, was bezüglich der Sicherheit ein Nachteil sein kann.

Die mir bekannte Clients im Vergleich:

Code: Alles auswählen

4952  remmina                         8668  2418  5031  1214     5 (Debian Remote Maintainers)   
6803  krdc                            4470   512  3795   162     1 (Debian/kubuntu Qt/kde Maintainers)
6822  xtightvncviewer                 4454   486  3827   140     1 (Debian Remote Maintainers)   
7379  tigervnc-viewer                 3754   621  1862  1271     0 (Tigervnc Packaging Team)       
Quelle: https://popcon.debian.org/by_inst

Und natürlich muss diese HighScore Liste nicht repräsentativ sein, denn ob man bei dieser Datensammelei mitmachen möchte, wird man ja bei der Installation von Debian gefragt und der ein oder andere wird das vielleicht verneinen.
Es wäre also denkbar, dass diejenigen, die zum Datenschutz besonders kritisch gegenüber stehen, da gar nicht mitmachen und dann in Massen einen VNC Client einsetzen, der von denen, die bei dieser Datensammlung mitmachen, nicht so oft verwendet wird.

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Welcher VNC Client ist der beste im Bezug auf die Sicherheit?

Beitrag von hikaru » 05.01.2021 09:55:42

Vorweg:
Deine eigentliche Frage kann ich nicht beantworten, denn ich nutze lediglich Debianxtightvncviewer (in Verbindung mit Debianx11vnc) und kann daher keine Vergleiche anstellen. Auch bin ich über die generelle Sicherheitssituation nicht informiert, da ich die Kombination ausschließlich im Lokalen LAN verwende.

xtightvncviewer hat aber in Buster zumindest schon mal ein sicherheitsbedingtes Update in Folge von Debian Bugreport945364 bekommen. Allerdings ist dieses Update (1:1.3.9-9+deb10u1) im regulären main-Repository gelandet, nicht in buster/updates.
Außerdem gibt es in buster/updates etwas ältere armel- und armhf-Pakete in Version 1.3.9-6.5+deb8u1. Ob das mit Debian Bugreport767311 (FTBS unter arm64, also keine Sicherheitsfrage im eigentlichen Sinn) zusamenhängt oder nicht kann ich nicht erkennen.
Für mich entsteht hier der Eindruck, als sei der Maintainer prinzipiell an Sicherheitsupdates interessiert, hat damit aber wenig Erfahrung - entweder wegen mangelnder Notwendigkeit oder weil er das Paket letztendlich doch nur als QA betreut.

Benutzeravatar
MSfree
Beiträge: 10685
Registriert: 25.09.2007 19:59:30

Re: Welcher VNC Client ist der beste im Bezug auf die Sicherheit?

Beitrag von MSfree » 05.01.2021 10:55:05

Cordess hat geschrieben: ↑ zum Beitrag ↑
05.01.2021 06:53:39
Für mich wichtige Funktionen wären:
- Sicherheit & guter Sicherheitsupdatesupport
- gute Unterstützung bezüglich der Verschlüsselung. I

Die Nutzung erfolgt nur im LAN, also nicht übers Internet.
Warum so'n ein langer Roman, wenn du paar Zeilen oben ausreichen?

Wenn du das nur über das (dein eigenes?) LAN nutzen willst, warum interessiert dich dann Sicherheit und Verschlüsselung?

Davon abgesehen, man kann VNC ganz einfach über SSH tunneln, Sicherheit ist dann von SSH abhängig.

Cordess
Beiträge: 422
Registriert: 09.01.2006 00:37:22

Re: Welcher VNC Client ist der beste im Bezug auf die Sicherheit?

Beitrag von Cordess » 05.01.2021 11:39:02

MSfree hat geschrieben: ↑ zum Beitrag ↑
05.01.2021 10:55:05
Cordess hat geschrieben: ↑ zum Beitrag ↑
05.01.2021 06:53:39
Für mich wichtige Funktionen wären:
- Sicherheit & guter Sicherheitsupdatesupport
- gute Unterstützung bezüglich der Verschlüsselung. I

Die Nutzung erfolgt nur im LAN, also nicht übers Internet.
Warum so'n ein langer Roman, wenn du paar Zeilen oben ausreichen?
Um Fragen zuvorzukommen und das Problem zu präzisieren.
Wenn du das nur über das (dein eigenes?) LAN nutzen willst, warum interessiert dich dann Sicherheit und Verschlüsselung?
Weil es eine völlig veraltete Sicherheitsphilosophie ist, dass man sein LAN nur nach außen absichern müsse.

Zur Info:
Ich benutze für alle meine Webinterface fähigen Geräte auch intern HTTPS.
Ich verwalte meinen eigenen internen CA und alle Geräte bekommen ein damit signiertes Zertifikat.
Jeder Account in jedem Rechner hat ein anderes PW.
Unzuverlässige (in der Regel proprietäre) Geräte sind in das Gast vlan verbannt. Von VLANs mache ich auch Gebrauch.
usw..
Ein Kerberos Server ist mittelfristig auch geplant.
Davon abgesehen, man kann VNC ganz einfach über SSH tunneln, Sicherheit ist dann von SSH abhängig.
Ja, aber auf der Seite des Raspi erfordert es dann eine Umkonfiguration oder ein anderer VNC Server.
Den Aufwand wollte ich vermeiden.
Inzwischen habe ich aber TigerVNC und KRDC versucht mit dem proprietären VNC Server realvnc Server auf dem Raspi zu verbinden, allerdings schlugen alle Versuche, die eine Verschlüsselung einbezogen, fehl. So dass ich jetzt sowieso nen Open Source VNC Server mit entsprechender Verschlüsselung einrichten muss, damit ich bei den Clients wieder mehr Wahlfreiheit habe. Ansonsten hätte ich den realvnc Clienten auf meinem PC installieren müssen.

Cordess
Beiträge: 422
Registriert: 09.01.2006 00:37:22

Re: Welcher VNC Client ist der beste im Bezug auf die Sicherheit?

Beitrag von Cordess » 05.01.2021 11:43:53

hikaru hat geschrieben: ↑ zum Beitrag ↑
05.01.2021 09:55:42
...denn ich nutze lediglich Debianxtightvncviewer (in Verbindung mit Debianx11vnc) und kann daher keine Vergleiche anstellen. Auch bin ich über die generelle Sicherheitssituation nicht informiert, da ich die Kombination ausschließlich im Lokalen LAN verwende.
....
Für mich entsteht hier der Eindruck, als sei der Maintainer prinzipiell an Sicherheitsupdates interessiert, hat damit aber wenig Erfahrung - entweder wegen mangelnder Notwendigkeit oder weil er das Paket letztendlich doch nur als QA betreut.
Danke für deine Antwort.
Welche Verschlüsselungsverfahren bietet x11vnc an, abgesehen davon es auch über ssh tunneln zu können?

Das Problem ist halt auch, dass man zum Verschlüsseln die Daten besser Komprimieren sollte, um den Aufwand klein zu halten.
Da das aber ein Raspberry Pi 3 ist, sollte das Kompressionsverfahren auch nicht all zu leistungsfordernd sein.
Ich vermute daher, dass auch das der Grund ist, warum die Raspberry Pi Foundation für den VNC Server auf einen proprietäre Lösung setzt.

Benutzeravatar
MSfree
Beiträge: 10685
Registriert: 25.09.2007 19:59:30

Re: Welcher VNC Client ist der beste im Bezug auf die Sicherheit?

Beitrag von MSfree » 05.01.2021 12:05:41

Cordess hat geschrieben: ↑ zum Beitrag ↑
05.01.2021 11:39:02
Davon abgesehen, man kann VNC ganz einfach über SSH tunneln, Sicherheit ist dann von SSH abhängig.
Ja, aber auf der Seite des Raspi erfordert es dann eine Umkonfiguration oder ein anderer VNC Server.
Nein, dazu muß gar nichts umkonfiguriert werden. Du logst dich per SSH am Raspi ein und gibst dabei ein Portforward für den VNC-Port mit. Vom Clientrechner brauchst du dann nur

Code: Alles auswählen

vncserver :1
aufrufen.

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Welcher VNC Client ist der beste im Bezug auf die Sicherheit?

Beitrag von hikaru » 05.01.2021 12:08:43

Cordess hat geschrieben: ↑ zum Beitrag ↑
05.01.2021 11:43:53
Welche Verschlüsselungsverfahren bietet x11vnc an, abgesehen davon es auch über ssh tunneln zu können?
Da bin ich überfragt.
Cordess hat geschrieben: ↑ zum Beitrag ↑
05.01.2021 11:43:53
Das Problem ist halt auch, dass man zum Verschlüsseln die Daten besser Komprimieren sollte, um den Aufwand klein zu halten.
Da das aber ein Raspberry Pi 3 ist, sollte das Kompressionsverfahren auch nicht all zu leistungsfordernd sein.
Ich habe hier ein 100MBit-LAN und ie VNC-Übertargungen laufen unkomprimiert. Das Einzige was nicht flüssig läuft ist Videoübertragung (Bewegtbilder) mittels VNC, aber das ist für mich irrelevant.
Das leistungsschwächste System das ich im Einsatz habe ist ein Cubieboard 2 (Allwinner-A20-SoC). Auch darauf funktioniert der Zugriff mittels VNC problemlos. In einem LAN mit nicht mehr als 20 Jahre alter Technologie halte ich Kompression bei VNC für überflüssig.

Antworten