Die Supportseiten von LogMeIn unterstützen den Microsoft Internet Explorer (IE) nicht mehr. Verwenden Sie bitte einen unterstützten Browser, damit alle Funktionen verfügbar sind. (Chrome / FireFox / Edge).

Die GoTo-Supportseite unterstützt Safari 15 nicht mehr. Bitte aktualisieren Sie Ihren Browser auf Safari 16 (oder neuer) oder wechseln Sie zu einem unterstützten Browser wie Google Chrome, Mozilla Firefox oder Microsoft Edge.

Pflegen Sie Ihre IT-Infrastruktur mit leistungsstarker RMM-Software. Entdecken Sie LogMeIn Central.

We are currently experiencing an unplanned outage for this product. Dienststatus anzeigen
  • Support
  • Produkte Durchsuchen

    Produktspezifischer Support

    GoTo Connect

    Komplettlösung für Telefon, Meeting und Messaging

    GoTo Meeting

    Software für Video- und Audiomeetings

    GoTo Webinar

    Komplettlösung für Webinare und virtuelle Veranstaltungen

    GoTo Room

    Konferenzraumhardware

    GoTo Training

    Online-Schulungssoftware

    OpenVoice

    Software für Audiokonferenzen

    Grasshopper

    Schlanke virtuelle Telefonanlage

    join.me

    Software für Videokonferenzen

    LogMeIn Resolve

    IT-Verwaltung und -Support

    LogMeIn Resolve MDM

    Mobile Device Management

    LogMeIn Pro

    Fernzugriff auf Geräte

    LogMeIn Central

    Fernüberwachung und Fernverwaltung

    LogMeIn Rescue

    IT-Fernsupport

    GoToMyPC

    Fernzugriff auf Computer

    GoToAssist

    Fernsupport-Software

    Hamachi

    Gehosteter VPN-Dienst

    RemotelyAnywhere

    Lokal installierte Fernzugriffslösung
  • Community
  • Schulungen
  • Dienststatus

  • Probieren Sie das neue „Meine Fälle“-Portal aus

    Hier können Sie auf einfache Weise Ihr Ticket verwalten, sein Status verfolgen, uns über einen bestehenden Fall kontaktieren und vieles mehr.

    Anmelden, um es auszuprobieren
  • Language selector icon Language selector icon
    • English
    • Français
    • Italiano
    • Deutsch
    • Español
    • Português
    • Nederlands
  • Support kontaktieren
  • Dienststatus
  • User Avatar User Avatar
    • Support
    • Support kontaktieren
    • Browse Products
    • Dienststatus
    • Community
    • Schulungen
    • Anmelden
    • User Avatar
    • Mein Konto
    • Persönliche Informationen
    • Anmeldung und Sicherheit
    • Meine Fälle
    • Admin-Center
    • Rechnungscenter
    • Mein GoTo Connect
    • Meine Sitzungen
    • Meine Webinare
    • Meine Schulungen
    • Meine Konferenzen
    • Meine Lösungen
    • My Mobile Devices
    • Meine Sitzungen
    • Meine Sitzungen
    • Meine Incidents
    • Sign out

product logo
Back button image Geh zurück
Back button image
LogMeIn Security Whitepaper

LogMeIn Security Whitepaper

  • Axiome für den Fernzugriff
  • Software-Architektur
  • Sicherheitsmechanismen
  • Eindringungsdetektion
  • Weiterleiten von Daten
  • UDP NAT Traversal
  • Software-Updates und Gateway-Sicherheit
  • Abschluss

Dieses Handbuch bietet einen detaillierten Einblick in die Sicherheitsfunktionen von GoTo (auch bekannt als. LogMeIn) remote access and management products, LogMeIn Pro and LogMeIn Central. Bei GoTo glauben wir an Sicherheit durch Transparenz. Wir erwarten von unseren Kunden nicht, dass sie unsere Behauptungen blindlings akzeptieren. Indem wir Details über die Funktionsweise und das Zusammenspiel der Sicherheitsmechanismen in unseren Produkten veröffentlichen, laden wir auch die Öffentlichkeit ein, unsere Bemühungen zu hinterfragen.

Publikum

Dieses Dokument ist technischer Natur und richtet sich an Netzwerktechniker oder Netzwerkdesigner. Die Lektüre dieses Papiers kann dem Leser helfen, die notwendige Bedrohungsanalyse durchzuführen, bevor er unser Produkt bereitstellt.

Terminologie

Regarding LogMeIn Pro and LogMeIn Central's architecture, there are three entities that take part in every remote access session. Der "Client" oder der "Benutzer" ist die Person oder Software (Browser, native App, Mobile App), die auf eine entfernte Ressource zugreift. Der "Host" oder der "Server" ist der Computer, auf den zugegriffen wird, oder die Host-Software des Produkts auf diesem Computer. Das "Gateway" ist der Dienst, der den Datenverkehr zwischen dem Client und dem Host vermittelt.

Grundlagen der Gestaltung

LogMeIn Pro and LogMeIn Central are designed to allow secure remote access to critical resources over an untrusted network. Bei der Entwicklung haben Sicherheitsüberlegungen immer Vorrang vor Fragen der Benutzerfreundlichkeit.

Axiome für den Fernzugriff

Alles ist ein Ziel

Immer mehr Computer sind rund um die Uhr online. Die meisten dieser Computer werden von Privatanwendern genutzt und weisen oft riesige Sicherheitslücken wie nicht gepatchte Schwachstellen und unsichere Passwörter auf.

Die größte Schwachstelle ist jedoch der Benutzer selbst. Die Tatsache, dass sich so genannte E-Mail-Viren äußerst schnell verbreiten können, verdeutlicht das fehlende Sicherheitsbewusstsein und die Leichtgläubigkeit der meisten Internetbenutzer ganz besonders. E-Mail-Viren sind natürlich E-Mail-Anhänge, die eigentlich als Trojaner bezeichnet werden sollten. Sie können sich so schnell verbreiten, weil die Benutzer überraschend bereitwillig grundlegende Regeln für den Umgang mit nicht vertrauenswürdigen Inhalten missachten. Wenn die Benutzer selbst dafür verantwortlich sind, dass ihre Computer mit Trojanern infiziert sind, wie kann dann von ihnen erwartet werden, dass sie ihre Systeme ordnungsgemäß vor direkten Angriffen schützen?

Sogar kompetenten Netzwerkadministratoren kann ein Fehler unterlaufen und sie können den einen oder anderen zu installierenden Patch übersehen, was es Angreifern im schlimmsten Fall ermöglicht, auf den betroffenen Systemen eingeschleusten Code auszuführen.

Cyberattacken sind nichts Neues, doch in der letzten Zeit hat sich das Profil der Angreifer erheblich geändert. Früher beschränkte sich diese verbotene Tätigkeit auf wenige hochausgebildete und sachkundige Personen mit guten Verbindungen. Heute jedoch kann dank automatisierter Exploit Kits, die sofort Tausende bekannter Schwachstellen ausnutzen, fast jeder aktiv werden.

Fernzugriff und Sicherheit

Es ist nicht schwer zu erkennen, dass viele mit dem Internet verbundene Computer extrem gefährdet sind, selbst wenn darauf keine Fernzugriffslösung installiert ist. Produkte für den Fernzugriff gelten als Risikofaktoren – hauptsächlich jedoch aus psychologischen Gründen. Wenn ein Benutzer zum ersten Mal eine Fernzugriffslösung im Einsatz sieht, äußert er als erste negative Reaktion meist Sicherheitsbedenken. Dies ist eine ganz normale Reaktion und sogar wünschenswert. Das eigentliche Problem ist, dass Benutzer die Gefahren, die in anderen Netzwerkanwendungen wie E-Mail-Clients, Webservern oder dem Betriebssystem selbst liegen, nicht sofort sehen.

Alle modernen Betriebssysteme werden standardmäßig mit einer Fernzugriffslösung geliefert. Windows zum Beispiel enthält mit Microsofts Remotedesktop eine einfache Fernverwaltungsschnittstelle. Selbst OpenBSD, die Unix-Variante, die meist als sicherstes Betriebssystem auf dem Markt gilt, ist mit SSH ausgestattet – ebenfalls eine einfache und sichere Anwendung, mit der mittels Befehlszeile über eine Netzwerkverbindung auf Ferncomputer zugegriffen werden kann.

Im Grunde genommen reduziert eine gut ausgewählte und gut konfigurierte Fernzugriffslösung die Anzahl der Sicherheitsvorfälle auf ein minimales Niveau. If a network manager can keep a network secure using a reliable remote access software package, such as LogMeIn Pro and LogMeIn Central, productivity can be increased and costs may be reduced without any adverse effects on network security.

Software-Architektur

Before explaining the exact security mechanisms employed by LogMeIn Pro and LogMeIn Central, it is necessary to give a quick introduction to the solution architecture.

Jede Fernzugriffssitzung besteht aus drei Hauptkomponenten. Die Rollen des Clients und des Hosts sollten klar sein - die dritte Komponente ist der Gateway.


Systemarchitektur

The host maintains a constant TLS-secured connection with one of the LogMeIn Pro and LogMeIn Central gateway servers in one of our physically secure datacenters. Diese Verbindung wird vom Host initiiert und von Firewalls wie eine ausgehende Verbindung behandelt – ähnlich dem Datenverkehr beim sicheren Surfen im Internet. The client establishes a connection to LogMeIn Pro or LogMeIn Central and authenticates itself. Abhängig von der Identität des Clients wird der Datenaustausch mit einem oder mehreren Hosts genehmigt (die im Benutzerkonto enthalten sind). Das Gateway übermittelt anschließend die verschlüsselten Daten zwischen dem Client und dem Host. An dieser Stelle soll erwähnt werden, dass sich der Client auch beim Host authentisieren muss – das Gateway ist für den Datenverkehr zwischen diesen beiden Einheiten zuständig, setzt aber nicht voraus, dass der Host dem Client automatisch vertraut. Nachdem der Host die Identität des Clients überprüft und dem Client Zugriff auf den Computer gewährt hat, beginnt die eigentliche Fernzugriffssitzung.

Der Vorteil der Gateway-Nutzung liegt darin, dass der Client oder der Host (oder beide) durch eine Firewall geschützt werden können. Das Gateway sorgt dafür, dass die Benutzer keine Firewalls konfigurieren müssen.

Sicherheitsmechanismen

Wenn es um die Datensicherheit im Internet geht, sorgen sich die meisten Benutzer um die Datenverschlüsselung – dies geht sogar so weit, dass der Sicherheitsgrad an der Länge des eingesetzten Verschlüsselungsschlüssels gemessen wird. Obwohl Ver- und Entschlüsselung sehr wichtig sind, sind sie relativ einfache Aufgaben im Vergleich zu den anderen Herausforderungen, denen die Entwickler von Sicherheitssystemen gegenüberstehen. As you will see, data encryption is just one of the main goals set forth by the designers of LogMeIn Pro and LogMeIn Central.

Authentifizierung des Gateways gegenüber dem Client

First and foremost, when a user connects to a LogMeIn Pro or LogMeIn Central installation via a gateway – the “server” – they need to be 100% positive that the computer they are about to exchange data with is really the one to which they intended to connect.

Nehmen wir an, dass sich ein Angreifer dem Benutzer gegenüber als Server ausgibt und dem Server gegenüber als Benutzer. Der Angreifer kann sich in diesem Fall zwischen den beiden Parteien befinden und die Daten während der Übertragung mitlesen oder vielleicht sogar manipulieren. Ein solcher Angriff wird als „Man in the Middle“- oder MITM-Angriff bezeichnet, und es ist besonders schwer, sich davor zu schützen.

Unsere Produkte nutzen TLS 1.2 und 1.3 zertifikatsbasierte Authentifizierung, um die Identität von Servern zu überprüfen und so vor MITM-Angriffen zu schützen. Wenn eine Verbindung hergestellt wird, wird das Zertifikat des Servers überprüft. Falls das Zertifikat von einer nicht als vertrauenswürdig eingestuften Zertifizierungsstelle herausgegeben wurde, wird eine Warnmeldung angezeigt. Sollte der Hostname in der URL nicht mit dem Hostnamen im Zertifikat übereinstimmen (selbst wenn das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle herausgegeben wurde), wird eine andere Warnmeldung angezeigt.

Nachdem die Identität des Servers bestätigt wurde, erstellt der Client des Benutzers ein so genanntes „Pre-Master Secret“ (PMS, Vorstufe des geheimen Hauptschlüssels), verschlüsselt es mit dem öffentlichen Schlüssel des Servers laut dessen Zertifikat und sendet es an den Server. Durch die Verschlüsselung mit dem öffentlichen Schlüssel wird sichergestellt, dass nur jener Server das PMS entschlüsseln kann, der den dazugehörigen privaten Schlüssel besitzt. Das PMS wird daraufhin sowohl vom Benutzer als auch vom Server zur Ableitung des geheimen Hauptschlüssels verwendet, welcher wiederum dazu dient, während der sicheren Sitzung die Initialisierungsvektoren und die Sitzungsschlüssel abzuleiten.

Kurz gesagt, die oben genannten Schritte stellen sicher, dass der Benutzer eine Verbindung zum gewünschten Server und nicht zu einer fremden Einheit herstellt. Sollte ein MITM-Angriff unternommen werden, wird entweder eine der Sicherheitswarnungen ausgelöst oder das PMS ist dem Angreifer nicht bekannt, sodass kein Angriff möglich ist.

One2Many - Authentifizierung und Verschlüsselung

Die One2Many-Funktion ermöglicht erweiterte Skript- und Bereitstellungsfunktionen, mit denen unsere Benutzer Massenfunktionen in ganzen Organisationen ausführen können. With this tool, users can execute, manage, and monitor administrative tasks on multiple Windows and Mac computers directly from LogMeIn Central.

Um ein hohes Maß an Sicherheit zu gewährleisten, ist die Verwendung von 2FA für One2Many obligatorisch. One2Many speichert die Anmeldedaten auf zwei verschiedene Arten: Bei der Ausführung einer Aufgabe in Echtzeit werden die Anmeldedaten im Browser gespeichert. Wenn die Aufgabe für eine spätere Ausführung geplant ist, werden die Anmeldedaten in der Datenbank des Produkts gespeichert.

Die in One2Many verwendeten Anmeldeinformationen werden zunächst mit dem öffentlichen Schlüssel des Gastgebers verschlüsselt, der dann von der Website weiter verschlüsselt wird. Die erste ist notwendig, damit nur der Host mit seinem privaten Schlüssel entschlüsseln kann, und die zweite gewährleistet die Möglichkeit, Daten zu löschen. With this method, credentials can be wiped from the website (LogMeIn Central) even if the host is offline. Der wichtigste Aspekt dabei ist, dass nur der Gastgeber die Anmeldedaten entschlüsseln kann.

Authentifizierung von Benutzern am Gateway

Die Benutzer müssen sowohl vom Gateway als auch vom Host authentifiziert werden. An email address and password verification is performed whenever a user logs on to the LogMeIn website. Users are also advised to enable one or more of LogMeIn’s extra security features to strengthen this authentication step.

Note: LogMeIn Central subscribers can enforce a strong password policy. Visit support.goto.com for details.

Authentifizierung zwischen den Benutzern und dem Gateway

9.2.1 Gedruckte Sicherheitscodes

Eine der zusätzlichen Sicherheitsfunktionen ist ein Blatt mit gedruckten Sicherheitscodes. Wenn der Benutzer diese Funktion aktiviert, wird er dazu aufgefordert, eine Liste mit zufällig generierten neunstelligen Passwörtern auszudrucken, die vom Gateway erstellt wurden. Jedes Mal, wenn sich ein Benutzer bei seinem Konto auf www.LogMeIn.com anmeldet, wird er aufgefordert, einen der Sicherheitscodes aus der Liste einzugeben, um Zugriff auf sein Konto zu erhalten. Jeder Code kann nur einmal verwendet werden. Bevor alle gedruckten Sicherheitscodes aufgebraucht sind, muss der Benutzer ein neues Blatt ausdrucken. Alle bis dahin nicht benutzten Sicherheitscodes werden dadurch ungültig.

Hier erfahren Sie, wie Sie gedruckte Sicherheitscodes aktivieren:
  1. Login to your LogMeIn account.
  2. Klicken Sie auf . Einstellungen > Sicherheit.
  3. Wählen Sie die Option Gedruckter Sicherheitscode aus.
  4. Erstellen und drucken Sie eine Liste mit Sicherheitscodes.
  5. Klicken Sie auf Speichern.

9.2.2 Per E-Mail versandte Sicherheitscodes

Another way to secure your LogMeIn account is to use the Emailed Security Code feature. Wenn Sie sich auf LogMeIn.com bei Ihrem Konto anmelden, erhalten Sie eine E-Mail mit einem Sicherheitscode, den Sie in das entsprechende Dialogfeld eingeben müssen, bevor Sie auf Ihr Konto zugreifen können. Jeder Code kann nur einmal verwendet werden.

When this feature is turned on and the user authenticates successfully with their email address and password to the LogMeIn gateway, a pass code is generated and sent to the email address. Der Benutzer muss den per E-Mail erhaltenen Code in das vom Gateway bereitgestellte Formular eingeben. Der Passcode läuft entweder bei Verwendung oder einige Minuten nach der Erstellung ab (je nachdem, was zuerst eintritt).

So aktivieren Sie E-Mail-Sicherheitscodes:
  1. Login to your LogMeIn account.
  2. Klicken Sie auf . Einstellungen > Sicherheit.
  3. Wählen Sie auf der Registerkarte Zusätzliche Sicherheit die Option Per E-Mail erhaltener Sicherheitscode aus.
  4. Geben Sie Ihre E-Mail-Adresse in das angezeigte Feld ein.
  5. Klicken Sie auf Speichern.

9.2.3 Kontoüberwachung

Keep track of activity in your LogMeIn account. Wählen Sie die Ereignisse aus, über die Sie automatisch per E-Mail benachrichtigt werden möchten, wie etwa fehlgeschlagene Anmeldeversuche oder Passwortänderungen. Die Benachrichtigungen werden an die angegebenen E-Mail-Adressen gesendet (trennen Sie bei mehreren Empfängern die E-Mail-Adressen durch ein Semikolon). Bitte beachten Sie, dass die Benachrichtigungen für einige Kontoaktivitäten standardmäßig aktiviert sind und nicht deaktiviert werden können.

Hier erfahren Sie, wie Sie die Kontoüberwachung (E-Mail-Benachrichtigungen) aktivieren:

  1. Login to your LogMeIn account.
  2. Klicken Sie auf . Einstellungen > Kontoeinstellungen.
  3. Klicken Sie unter E-Mail-Benachrichtigungen auf Ändern und wählen Sie die Ereignisse aus, für die Sie automatische E-Mail-Benachrichtigungen erhalten möchten.
    Tip: Sie haben auch die Möglichkeit, die Empfängerliste zu bearbeiten.
  4. Klicken Sie auf Speichern.
LogMeIn Central subscribers (account holders) can audit additional items at Settings > Security > Audit Settings:
  • Änderungen an sicherheitsrelevanten Einstellungen
  • Benutzerereignisse (eingeladene Benutzer, angenommene oder gelöschte Einladungen, Anmeldeereignisse)
  • Ereignisse im Zusammenhang mit dem Computer (hinzugefügt, gelöscht, Verknüpfung erstellt/ungültig gemacht, Installationspaket generiert)

9.2.4 Zweistufige Verifizierung (Zweifaktor-Authentifizierung, 2FA)

Die zweistufige Verifizierung stellt eine zusätzliche Sicherheitsebene für Ihr Konto dar. Sie ist in etwa mit einem Bankautomaten vergleichbar, bei dem Sie nur an Ihr Geld kommen, wenn Sie sowohl die Karte als auch den PIN-Code besitzen. Ohne die zweistufige Verifizierung kann jeder, der Ihr Passwort kennt, auf Ihre Daten zugreifen. Sobald Sie die zweistufige Verifizierung eingerichtet haben, ändert sich Ihr Anmeldeverfahren: Nachdem Sie Ihre LogMeIn-ID und Ihr Passwort eingegeben haben, werden Sie aufgefordert, Ihre Identität zu überprüfen.

LogMeIn Central subscribers can enforce a login policy that forces all users in their account to use two-step verification. For step-by-step instructions, visit support.goto.com.

Authentifizierung des Gateways gegenüber dem Host

Das Gateway muss seine Identität dem Host gegenüber nachweisen, bevor ihm Zugriffscodes anvertraut werden. The host, when making a connection to the gateway, checks the certificate transported during the TLS handshake to make sure it is connecting to one of the LogMeIn gateway servers. Dieser Vorgang ähnelt sehr der "Authentifizierung des Gateways beim Client".

Authentifizierung des Hosts gegenüber dem Gateway

Wenn es eine eingehende Verbindung akzeptiert, überprüft das Gateway die Identität des Hosts mit Hilfe einer langen eindeutigen Identifizierungszeichenkette. Diese Zeichenkette ist ein gemeinsamer geheimer Schlüssel der beiden Einheiten und wird bei der Installation des Hosts vom Gateway herausgegeben. Diese eindeutige Kennung wird erst dann über einen TLS-verschlüsselten Kanal übermittelt, nachdem der Host die Identität des Gateways überprüft hat. Abbildung 3 zeigt, wie sich der Host und das Gateway gegenseitig authentifizieren, bevor der Client Zugriff auf den Host erhält. Um weitere Sicherheit zu gewährleisten, kann der Host sein gemeinsames Geheimnis mit einer Anforderung des Gateways über die sichere Verbindung ändern.



Authentifizierung von Host und Gateway

Datenverschlüsselung

Der TLS-Standard definiert eine große Auswahl an Verschlüsselungssuiten, die aus Kompatibilitätsgründen meist auf AES-basierter Verschlüsselung basieren. AES kann sowohl mit 128-Bit- als auch mit 256-Bit-Schlüsseln arbeiten. Der Client und der Server einigen sich auf die stärkste mögliche Chiffre. Der Client sendet dem Server eine Liste der Chiffren, die er zu verwenden bereit ist, und der Server wählt diejenige aus, die er bevorzugt.

Der TLS-Standard legt nicht fest, wie der Server die endgültige Chiffre auswählen soll. In unserem Fall wählt der Server einfach die stärkste gemeinsame Chiffriersuite, die der Kunde angeboten hat.

Diese Methode ermöglicht es sowohl dem Client als auch dem Server, die Verwendung bestimmter Datenschutzalgorithmen abzulehnen, ohne dass beide Komponenten aktualisiert werden müssen, falls ein Algorithmus als fehlerhaft oder unsicher eingestuft wird.

Eindringungsdetektion

LogMeIn Pro and LogMeIn Central provide two layers to detect intrusion attempts: TLS and LogMeIn Intrusion Filters.

TLS

For the first layer of intrusion detection, LogMeIn utilizes TLS 1.2 and 1.3 certificate based authentication to ensure that the data has not changed in transit. Dies wird durch folgende Verfahren erreicht:

Nummerierung der Datensatzsequenzen
Bei der Sequenznummerierung werden die TLS-Datensätze vom Sender nummeriert und die Reihenfolge wird vom Empfänger überprüft. Dadurch wird sichergestellt, dass ein Angreifer keine willkürlichen Datensätze in den Datenstrom einfügen bzw. daraus löschen kann.
Nachrichtenauthentifizierungscodes
An jeden TLS-Datensatz werden so genannte Nachrichtenauthentifizierungscodes (MACs) angehängt. Diese werden vom Sitzungsschlüssel (der nur den beiden kommunizierenden Parteien bekannt ist) und den im Datensatz enthaltenen Daten abgeleitet. Wenn die MAC-Überprüfung fehlschlägt, wird angenommen, dass die Daten während der Übertragung verändert wurden.

LogMeIn Intrusion Filters

The second layer is provided by LogMeIn itself, and is comprised of three intrusion filters.

IP-Adressenfilterung

When LogMeIn receives a connection request from a client, it first checks its list of trusted and untrusted IP addresses and possibly denies the connection. An administrator can set up a list of IP addresses within LogMeIn that are either allowed or denied to establish a connection to the selected host (for example, designate the internal network and another administrator’s home IP address as allowed). IP Address filters can be set under Security > IP Filtering. You can also set filter profiles for the network adapters available on the Server under Preferences > Network.

Dienstverweigerungsfilter

Der Denial-of-Service-Filter („Dienstverweigerungsfilter“) lehnt Verbindungen ab, wenn die IP-Adresse, von der die Anforderung ausgeht, im Beobachtungszeitraum überdurchschnittlich viele Anforderungen ohne Authentifizierung gesendet hat. Dies dient zum Schutz des Hostcomputers vor Überlastung – beispielsweise dadurch, dass jemand automatisch, in kurzen Zeitabständen und immer wieder versucht, die Anmeldeseite aufzurufen. Sie können das DoS-Filterverhalten unter Sicherheit > IP-Adressensperre anpassen.

Authentifizierungsfilter

Wenn der Benutzer übermäßig viele fehlgeschlagene Anmeldeversuche durchgeführt hat, wird die Verbindung vom Authentifizierungsfilter abgelehnt. Der Authentifizierungsfilter dient dazu, zu verhindern, dass ein möglicher Angreifer den Kontonamen und das dazugehörige Passwort errät.

Here's how to set filters on a LogMeIn host:
  1. Öffnen Sie die Hosteinstellungen entweder auf dem Host oder dem Client:
    • Wenn Sie sich auf dem Host befinden, öffnen Sie die LogMeIn-Bedienoberfläche und folgen Sie diesem Pfad: Optionen > Einstellungen > Sicherheit
    • Wenn Sie sich auf dem Client befinden, verbinden Sie sich mit dem Hauptmenü des Hosts und folgen Sie diesem Pfad: Einstellungen > Sicherheit
  2. Klicken Sie in der Desktop-Anwendung unter Kontrolle von Eindringversuchen auf Profile bearbeiten, um mit der Erstellung eines Filterprofils zu beginnen.
  3. On the LogMeIn Central website, select Host Preferences, then click IP Address lockout category. For details, see the LogMeIn Pro or the LogMeIn Central support site.

Authentifizierung und Autorisierung von Benutzern gegenüber dem Host

Nachdem der Benutzer durch die vorherigen Schichten Zugriff erhalten hat, muss er seine Identität dem Host gegenüber nachweisen. Dies erfolgt über einen obligatorischen Authentifizierungsschritt auf Betriebssystemebene.

Der Benutzer muss sich mit seinem gewohnten Benutzernamen und dem Passwort für Windows bzw. Mac beim Host authentisieren. Der Host gibt diese Anforderung normalerweise an den relevanten Domänencontroller weiter. Bei diesem Schritt wird nicht nur die Identität des Benutzers überprüft, sondern gleichzeitig sichergestellt, dass Netzwerkadministratoren steuern können, wer sich auf einem bestimmten Host anmelden kann.

Persönliches Passwort

Personal Password is another optional security measure that can be set up on the LogMeIn host. Der Benutzer kann dem Host ein persönliches Passwort zuweisen, das – so wie das Betriebssystempasswort – vom Gateway weder gespeichert noch überprüft wird. Der Unterschied zwischen dem Betriebssystempasswort und dem persönlichen Passwort liegt darin, dass der Host nie nach dem ganzen persönlichen Passwort fragt. Der Benutzer muss es im Zuge einer Authentifizierungssitzung also nie vollständig eingeben. Nachdem die Authentifizierung auf Betriebssystemebene erfolgreich war, fragt der Host den Benutzer normalerweise nach drei zufällig ausgewählten Stellen seines persönlichen Passworts. Wenn der Benutzer die korrekten Zeichen eingibt (zum Beispiel das erste, vierte und siebente Zeichen), erhält er Zugriff.

So legen Sie ein Persönliches Passwort fest:

  1. Öffnen Sie die Hosteinstellungen entweder auf dem Host oder dem Client:
      • Wenn Sie sich auf dem Host befinden, öffnen Sie die LogMeIn-Bedienoberfläche und folgen Sie diesem Pfad: Optionen > Einstellungen > Sicherheit
      • Wenn Sie sich auf dem Client befinden, verbinden Sie sich mit dem Hauptmenü des Hosts und folgen Sie diesem Pfad: Einstellungen > Sicherheit
    • Geben Sie unter Persönliches Passwort Ihr persönliches Passwort ein und wiederholen Sie die Eingabe zur Bestätigung.
    • Klicken Sie auf Übernehmen.

GoTo und RSA SecurID

To add an extra layer of security over the simple username/password authentication, you can configure LogMeIn to require RSA SecurID authentication. RemotelyAnywhere, the product that pioneered the technology in use by LogMeIn, was officially certified by RSA Security as SecureID Ready in 2003. Seit dieser Zeit hat GoTo das hohe Sicherheitsniveau der RSA-Technologie beibehalten.

Nähere Informationen zum RSA-SecurID-System finden Sie auf der RSA-Website. For information on setting up this feature on a LogMeIn host, visit https://support.logmeininc.com/pro.


Authentifizierung zwischen den Benutzern und dem Host

Authentifizierung und Autorisierung von Benutzern innerhalb des Hosts

Once LogMeIn has verified the user’s identity using the above methods, it checks its own internal user database to see which internal modules the user is allowed to access.

System administrators can configure LogMeIn so that users with certain roles have access only to a subset of tools offered by LogMeIn; for example, the Helpdesk department can be configured to only view a computer’s screen and performance data, but not actually take over the mouse and the keyboard or make any changes to the system configuration. Alternativ dazu können Sie LogMeIn auch so einrichten, dass die Vertriebsabteilung per Fernzugriff vollständige Kontrolle über ihre Ferncomputer erhält, aber bestimmte Funktionen wie die Leistungsüberwachung und die Fernadministration nicht nutzen kann.

Using the operating system access token obtained when the user was authenticated, LogMeIn impersonates the user towards the operating system while performing actions on their behalf. This ensures that LogMeIn adheres to the operating system's security model, and users have access to the same files and network resources as if they were sitting in front of their computer. Resources unavailable to users in Windows or OS X also remain unavailable via LogMeIn.

See “Controlling Who Can Access Your Host Computers” in the LogMeIn Pro or LogMeIn Central support site.

Prüfung und Protokollierung

LogMeIn provides extensive logging capabilities. A very detailed log of the events that occur within the software is kept in the LogMeIn data log directory. Die wichtigsten Ereignisse wie etwa An- und Abmeldungen werden auch im Anwendungsereignisprotokoll von Windows gespeichert. Das detaillierte Protokoll kann auch an einen benutzerdefinierten SYSLOG-Server nach Wahl des Kunden gesendet werden.

See “How to View Host Event Log Files” in the LogMeIn Pro support site for details. For SYSLOG, see “Deployable Host Preferences for Logs and Session Recording” in the LogMeIn Central support site.

Weiterleiten von Daten

Das Gateway sorgt für eine durchgängige Verschlüsselung zwischen den Endpunkten, indem zwischen dem Host und dem Client verschlüsselte Daten übermittelt werden. Wenn Sie mit der Funktionsweise von TLS vertraut sind, klingt dies vielleicht unmöglich – es wird schließlich angenommen, dass nur das Gateway die vom Client gesendeten Daten entschlüsseln kann, da der Client ja sicher weiß, dass er auch wirklich mit dem Gateway kommuniziert. This is a valid point, but LogMeIn made a few important changes to how TLS sessions are handled between the host and the gateway.

Der erste Teil der TLS-Aushandlung findet zwischen dem Gateway und dem Client statt. Dann leitet das Gateway den Informationsaustausch an den Host weiter, welcher die TLS-Sitzung neu aushandelt und sich mit dem Client auf einen neuen Sitzungsschlüssel einigt. Somit ist für eine echte, durchgängige Verschlüsselung zwischen Ausgangs- und Zielgerät gesorgt.

Wenn die Daten per Relay über das Gateway übertragen werden, richtet der Client unter Verwendung des Zertifikats des Gateways eine TLS-Sitzung mit dem Gateway ein. Das Gateway überträgt den Status dieser TLS-Sitzung (einschließlich des Pre-Master Secrets/PMS) an den Host. Nach Vereinbaren eines neuen Sitzungsschlüssels verwendet der Host diesen Sitzungsstatus, um den Rest der TLS-Sitzung direkt mit dem Client abzuwickeln. Die Sitzung ist durch das Zertifikat des Gateways geschützt; der Client kommuniziert dabei direkt mit dem Host, ohne dass das Gateway die übertragenen Daten ent- und erneut verschlüsseln muss.

Ein Man-in-the-Middle-Angriff ist unmöglich, da sowohl der Host als auch der Client das Zertifikat des Gateways überprüfen und der Client zur Authentifizierung der verschlüsselten Daten, die zur Ableitung des TLS-PMS herangezogen werden, seinen öffentlichen RSA-Schlüssel verwendet.

UDP NAT Traversal

Es ist wichtig, zu erklären, wie das UDP-NAT-Traversal in das Gesamtbild passt – insbesondere, weil UDP als extrem unsicher gilt. Dies ist nicht ganz falsch: Wenn UDP als Kommunikationsmittel verwendet wird, kann die Sicherheit ein ernstes Problem darstellen, da UDP-Datagramme leicht zu fälschen sind und die IP-Adresse des Absenders gefälscht werden kann.

Um dem entgegenzuwirken, verwendet LogMeIn.com bei UDP-NAT-Traversal-Verbindungen nicht UDP als Kommunikationsmedium. UDP wird wie im ISO-/OSI-Netzwerkmodell festgelegt auf die Vermittlungsschicht reduziert, auf die eine TCP-ähnliche Transportschicht aufgesetzt wird. Hinzu kommen Datenflusssteuerung, dynamische Bandbreitenskalierung und Sequenznummerierung zur Bestimmung der Paketreihenfolge.

LogMeIn.com uses UDP instead of TCP packets (thereby effectively re-implementing a TCP-like transport layer) because most firewalls and NAT devices allow seamless two-way communication over a UDP transport as long as it is initiated from within the security perimeter, but they require significant reconfiguration for TCP and IP packets. Nachdem aus den unzuverlässigen UDP-Paketen ein zuverlässiger TCP-ähnlicher Datenstrom erzeugt wurde, wird dieser über eine TLS-Schicht zusätzlich geschützt, sodass eine vollständige Verschlüsselung, Schutz der Integrität und Endpunkt-Überprüfungsfähigkeiten gewährleistet sind.

Zur Erstellung einer UDP-NAT-Traversal-Verbindung senden sowohl der Client als auch der Host mehrere verschlüsselte UDP-Pakete an das Gateway. Diese Pakete werden mit einem geheimen Schlüssel verschlüsselt, der nur dem Gateway und dem entsprechenden Peer bekannt sind, und über die bereits bestehende TLS-Verbindung übertragen. Eine Manipulation ist daher nicht möglich.

Das Gateway verwendet diese Pakete, um die externen (Internet-)IP-Adressen der beiden Einheiten zu bestimmen. Es versucht außerdem vorherzusagen, welcher Firewall-Port beim Senden eines neuen UDP-Pakets zur Kommunikation verwendet wird. Danach leitet das Gateway die ermittelten Daten an die Peers weiter, welche daraufhin versuchen, eine direkte Verbindung aufzubauen. Wenn das Gateway den verwendeten Port bestimmen kann, ist der Verbindungsaufbau erfolgreich. Die Peers authentifizieren sich gegenseitig mit Hilfe eines weiteren gemeinsamen geheimen Schlüssels, der vom Gateway gesendet wird. Eine TLS-Sitzung wird eingerichtet. Daraufhin kommunizieren die Peers direkt miteinander.

Wenn keine direkte Verbindung hergestellt werden kann, stellen die Peers wieder eine TCP-Verbindung zum Gateway her und fordern eine Sitzung mit Datenweiterleitung und durchgängiger Verschlüsselung an. Dieser Vorgang dauert nur wenige Sekunden und ist für den Benutzer nicht erkennbar. Der einzige merkbare Unterschied ist die bessere Leistung und die kürzere Wartezeit bei einer direkten Verbindung. Für nähere Einzelheiten siehe US-Patent Nr. 7.558.862.

Software-Updates und Gateway-Sicherheit

The LogMeIn host, based on user preferences, can semi-automatically or automatically update itself on the user’s computer. Die Hostsoftware sucht regelmäßig auf der LogMeIn.com-Website nach neuen Versionen der Software. Wenn eine neue Version gefunden wird, wird sie automatisch heruntergeladen, und dem Benutzer wird eine Meldung angezeigt, sodass dieser die Aktualisierung genehmigen kann. Der Downloadvorgang nimmt höchstens 50 % der verfügbaren Bandbreite in Anspruch und hat daher so gut wie keine Auswirkungen auf andere Netzwerkanwendungen.

Diese Softwareupdates sind von LogMeIn.com mit einem privaten Schlüssel digital signiert, der auf keinem unserer mit dem Internet verbundenen Systeme zu finden ist. Therefore, even if the LogMeIn datacenters were compromised by attackers who then gain complete control over our servers, they would not be able to upload a rogue update and run arbitrary code on our users’ computers. The most such a highly unlikely attack could accomplish is access to the LogMeIn logon screen on the customer’s computer, which, even though it effectively bypasses the gateway security mechanisms, would still require that they enter valid operating system credentials to gain access to the computer. Das Passwort kann durch einen Brute-Force-Angriff nicht herausgefunden werden, da der Authentifizierungsfilter die IP-Adresse des Benutzers standardmäßig sperrt, sobald das Passwort einige Male falsch eingegeben wurde.

For cases when a user has the same password for both LogMeIn and their computer, note that we do not store actual LogMeIn passwords in our database. Wir verwenden stattdessen eine Schlüsselableitungsfunktion, die nur in eine Richtung funktioniert, sowie eine kontospezifische Bitfolge („Salt“), um sicherzustellen, dass das Passwort nicht mittels Brute Force ermittelt werden kann, selbst wenn der abgeleitete Wert bekannt ist.

Abschluss

Eine gut entwickelte Fernzugriffslösung kann die Produktivität beträchtlich steigern und sich schon schnell rentieren. When deployed with care and LogMeIn's optional security features are utilized, the benefits greatly outweigh the risks.

Sie brauchen Hilfe?

Contact icon Support kontaktieren
Manage Cases icon Fälle verwalten
Community icon Fragen Sie die Community
Training icon An Schulungen teilnehmen
Video icon Videos ansehen
  • Language selector icon Language selector icon
    • English
    • Français
    • Italiano
    • Deutsch
    • Español
    • Português
    • Nederlands
  • Über uns
  • Nutzungsbedingungen
  • Datenschutz-Bestimmungen
  • Markenhinweise
  • Meine Daten nicht verkaufen oder weitergeben
  • Produkte durchsuchen
  • Copyright © 2025 GoTo Group, Inc. All rights reserved

Kommunikation und Zusammenarbeit

GoTo Connect

GoTo Meeting

GoTo Webinar

GoTo Training

join.me

Grasshopper

OpenVoice

Kundendialog und Support

GoTo Resolve

Rescue

GoToAssist

Identität und Zugriff

Pro

Central

GoToMyPC