Guacamole - HTML VNC via Internet als Alternative zu NextCloud?

[revx]

Hallo zusammen,

ich suche einen virtuellen Desktop, um von überall (Urlaub, Arbeit) etc. auf meine Daten und Programm zugreifen zu können.
Nachdem ich etliche Stunden mit NextCloud rumexperimentiert habe, und es doch immer nur ein Kompromiss ist, dachte ich mir: Warum nicht einfach via HTML VNC gleich Windows mit gewohnter Oberfläche nutzen?

Nun ist die Frage, wie ich das ganze absichern kann, ohne ein zu großes Risiko einzugehen.

Was ich bis dato eingerichtet habe:

• HP 400 G5 Mini als ESXI Server
• Sophos UTM als Firewall

-- Reverse Proxy mit Let's Encrypt
-- Umkehrauthentifizierung via Synology
-- One Time Passwort aktiviert

Ziel wäre es nun eine virtuelle Maschine mit Guacamole und eine mit dem Client (Windows 10) aufzusetzen, und Guacamole mit 2-FA-Authentifizierung zusätzlich abzusichern.

Eure Meinung? Kann ich noch etwas besser absichern?
Habe mich auch die frage gestellt, ob es sicherer ist das OTP bei Sophos einzustellen, oder doch bei Guacamole. Aber da ich ein höheres Vertrauen in die Sophos Firewall habe, hätte ich es nun hier aktiviert.

 

[Roesi]

Bei www.all-inkl.de kannst das machen.
Einfach einen bestimmten Teil vom Webspace als normale Festplatte unter Windows nutzen.

 

[snaxilian]

Umkehrauthentifizierung via Synology

Da mir $Suchmaschine nicht in 5 Sekunden erklären konnte was eine "Umkehrauthentifizierung" sein soll bitte das ursprüngliche englische Wort oder eine brauchbare Erklärung^^

@Roesi Webdav kann der TE auch mit Nextcloud haben, wie genau hilft das jetzt weiter wenn er auch von unterwegs seine Programme nutzen will?

@revx Sind alles schon gute Ansätze, neben der reinen Auflistung der ganzen Dienste und Möglichkeiten ist es auch wichtig, diese vernünftig zu konfigurieren. Bei Webservern also beispielsweise keine alten Ciphers mehr verwenden, nicht benötigte Config aufräumen und sich Gedanken machen ob und wie man mitbekommt wenn es Updates gibt, die (kritische) Lücken fixen und wann/wie man diese dann zeitnah einspielen kann.

 

[revx]

Reverse Authentification. Und ich meine Sophos und nicht Synology
https://support.sophos.com/support/s/article/KB-000034988?language=en_US

Vorteil: Requests schlagen garnicht erst zum Webserver durch, sondern landen erst bei der Basic Authentifikation der Sophus Firewall. Erst wenn man sich hier mit Nutzer + OneTimePassword eingeloggt hat, leitet der Reverse Proxy weiter zu Apache Guacamole (was sich in einem eigenen virtuellen Netz nur mit der Windows-VM befindet)

Von daher ist die Reverse Authentification auch der wichtigste Schutz, weil so muss ich vorrangig die Firewall Up-To-Date halten, aber die Anwendungen dahinter sind für den persönlichen Gebrauch (hoffentlich) ausreichend isoliert.

 

[Roesi]

@snaxilian
Klar geht das auch mit Nextcloud.
Das von mir genannte benötigt halt keine extra Software auf den Webspace mit Datenbank und die Updates welche von Hand eingespielt werden müssen entfallen.
Sprich weniger angreifbar.

 

[revx]

Vlt. habe ich nicht klar genug herausgestellt, dass es mir um den Remote-Zugriff auf Programme geht.
(D.h. um beim Nextcloud-Beispiel zu bleiben eher der Groupware-Aspekt, e.g. Mail, Kanban, Draw.io, etc.)
Nur das es Dank einem VNC-Zugriff dann eben keine Webmail ist, sondern Outlook in Windows. Und anstatt einer HTML-Galerie eben Lightroom )

Bei AllInkl bin ich übrigens eh, aber die WebDisk/WebDav dort ist dann wieder ein anderer Usecase.