1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Habe ich ein Sicherheitsproblem? Igel mit IPC / Oscam auf CCcam -> Client "beklaut"?

Dieses Thema im Forum "Oscam Talk Archiv" wurde erstellt von Hirnduebel, 22. November 2012.

  1. Hirnduebel
    Offline

    Hirnduebel Hacker

    Registriert:
    25. Oktober 2010
    Beiträge:
    468
    Zustimmungen:
    128
    Punkte für Erfolge:
    43
    Hallo Zusammen,

    folgendes Problem. Ich habe letzte Woche von einer 72702 auf einen Igel mit Debian und IPC umgestellt.
    Hier läuft Oscam über einen nicht standard-Port mit CCcam-Protokoll zu den Clients. Es ist auch nur ein Port freigegeben (auf meinem Router -> FB7390), den ich dann auf den Igel forwarde.
    sonst habe ich keinerlei Ports offen.

    Jetzt fiel mit gestern auf, dass ein Client zwei mal angemeldet war. Darauf hin hab ich uniq in die Config aufgenommen.
    Mit dem Client hab ich abgesprochen, dass ich seinen Namen und das Passwort ändere.
    So, heute morgen meldet der Client, er kommt nicht rein, sehe ihn im Web-IF von Oscam aber angemeldet...
    Ich hab also einen Trittbrettfahrer an Board!! :emoticon-0183-swear IP von dem Fuzzi hab ich mal "lokalisiert", angeblich aus dem Raum Blieskastel.
    Passiert aber nur mit den Log-In Daten des einen Clients...
    Der Client ist ne VU+ Duo, die schätzungsweise von außen per Dreamdroid oder ähnlichem erreichbar ist.

    Jetzt stellt sich mir die Frage, liegt's an mir/meiner Config oder wird die Config am Client "geklaut"?

    Was kann ich machen, um das ganze abzusichern und dafür zu sorgen, dass sowas nicht wieder vor kommt?
    Wechsel des DynDNS-Accounts hilft ja nur kurzfristig, oder?

    Wäre für eure Hilfe dankbar!
     
    #1
  2. phantom

    Nervigen User Advertisement

  3. joopastron
    Offline

    joopastron Chef Mod Digital Eliteboard Team

    Registriert:
    3. März 2011
    Beiträge:
    19.313
    Zustimmungen:
    12.414
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Beruf:
    Immer bei der Sache
    Hi,

    das klingt ganz danach als ob jemand die line aus der VU "geklaut" hat. Diese mal nicht nach aussen offen machen und schauen wie es sich dann mit neuen Zugangsdaten verhält.

    Ist die VU komplett offen nach außen ?


    Sent from my iPhone using Tapatalk
     
    #2
    Hirnduebel gefällt das.
  4. Hirnduebel
    Offline

    Hirnduebel Hacker

    Registriert:
    25. Oktober 2010
    Beiträge:
    468
    Zustimmungen:
    128
    Punkte für Erfolge:
    43
    AW: Habe ich ein Sicherheitsproblem? Igel mit IPC / Oscam auf CCcam -> Client "bekla

    Das weiß ich leider nicht, ich erreich den Client leider erst morgen wieder...
    Ich denke, er hat einen Port für Dreamdroid geöffnet und kein Passwort gesetzt (da ist standardmäßig keins hinterlegt...). Das hab ich ihm mal geraten zu tun, ich stelle jetzt auch um auf je Client einen Port den ich weiterleite und tausche sämtliche Userdaten aus. Mal sehen ob's was bringt ;)

    Danke für deine Hilfe!
     
    #3
  5. campino28
    Offline

    campino28 Ist oft hier

    Registriert:
    9. Februar 2012
    Beiträge:
    171
    Zustimmungen:
    40
    Punkte für Erfolge:
    28
    AW: Habe ich ein Sicherheitsproblem? Igel mit IPC / Oscam auf CCcam -> Client "bekla

    HI, du schreibst der Client hat ne Vu+ Duo ... das ist ja nen Twin Sat Receiver das heisst,
    da könnte auch der Fehler oder der doppelte login liegen ;)

    gruss campino
     
    #4
    mrwong und Pilot gefällt das.
  6. bombadil
    Offline

    bombadil MFC Digital Eliteboard Team

    Registriert:
    2. Oktober 2008
    Beiträge:
    11.816
    Zustimmungen:
    9.118
    Punkte für Erfolge:
    113
    Beruf:
    Kaufmann
    Ort:
    Mittelerde
    AW: Habe ich ein Sicherheitsproblem? Igel mit IPC / Oscam auf CCcam -> Client "bekla

    Hi Campino,

    ein Receiver mit mehreren Tunern kann eine erhöhte Anfrage an ECMs verursachen, eine doppeltes Login kommt dabei aber nicht zustande.

    Liebe Grüße
    Bombadil
     
    #5
    laila-no1, Hirnduebel und al-x83 gefällt das.
  7. joopastron
    Offline

    joopastron Chef Mod Digital Eliteboard Team

    Registriert:
    3. März 2011
    Beiträge:
    19.313
    Zustimmungen:
    12.414
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Beruf:
    Immer bei der Sache
    Hi,

    da sollte die IP aber gleich sein.


    Sent from my iPhone using Tapatalk
     
    #6
    laila-no1, Hirnduebel und bombadil gefällt das.
  8. szonic
    Offline

    szonic MFC Digital Eliteboard Team

    Registriert:
    4. März 2009
    Beiträge:
    10.219
    Zustimmungen:
    8.445
    Punkte für Erfolge:
    113
    AW: Habe ich ein Sicherheitsproblem? Igel mit IPC / Oscam auf CCcam -> Client "bekla

    Und er kann eigentlich dann nicht behaupten er käme nicht rein.

    Also ganz ehrlich... wer so mit MEINEN DAten umgehen würde, der wäre als Client nicht haltbar und gekickt!

    Grüsse
    szonic
     
    #7
    Hirnduebel gefällt das.
  9. kabanett
    Offline

    kabanett Ist gelegentlich hier

    Registriert:
    24. April 2012
    Beiträge:
    95
    Zustimmungen:
    18
    Punkte für Erfolge:
    8
    AW: Habe ich ein Sicherheitsproblem? Igel mit IPC / Oscam auf CCcam -> Client "bekla

    Nee, dem ist nicht so! Selbst wenn er mehrere Sender schaut/aufnimmt es bleibt bei einem Client.
    Doppeltes Login kommt vor wenn der Client zb. was saugt und ständig seine IP erneuert! Kann man aber, glaub ich, in der Config einstellen wie lange ein Client angezeigt wird nach disconnect.
    Gruß kabanett
     
    #8
    Hirnduebel gefällt das.
  10. Hirnduebel
    Offline

    Hirnduebel Hacker

    Registriert:
    25. Oktober 2010
    Beiträge:
    468
    Zustimmungen:
    128
    Punkte für Erfolge:
    43
    Jupp, es sind unterschiedliche IPs und durch uniq = 2 kommt halt nur der erste rein und der Zweite schaut doof.
    Wenn er zwei Sender schaut, ist's nur eine IP.
    Wollt nur sichergehen, dass ich kein Sicherheitsleck habe, wenn nur der CS-Port offen ist...

    Gesendet von meinem MK16i mit Tapatalk 2
     
    #9
  11. joopastron
    Offline

    joopastron Chef Mod Digital Eliteboard Team

    Registriert:
    3. März 2011
    Beiträge:
    19.313
    Zustimmungen:
    12.414
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Beruf:
    Immer bei der Sache
    Hi,

    daher wird auch davon abgeraten das Webinterface nach außen offen zu legen (IPC/OSCAM).


    Sent from my iPhone using Tapatalk
     
    #10
    Hirnduebel, al-x83 und Pilot gefällt das.
  12. Hirnduebel
    Offline

    Hirnduebel Hacker

    Registriert:
    25. Oktober 2010
    Beiträge:
    468
    Zustimmungen:
    128
    Punkte für Erfolge:
    43
    AW: Habe ich ein Sicherheitsproblem? Igel mit IPC / Oscam auf CCcam -> Client "bekla

    Mal ne Zwischenfrage, ich habe jetzt pro User einen Port freigegeben, den ich zum CCcam-Port weiterleite. 54321, 54322, 54323 jeweils nach 12345 und so weiter, wobei der letzte Port natürlich immer der selbe ist.
    Leider klappt das nicht. Es kommt keine Verbindung zustande.
    Kann die FritzBox nicht mit mehreren Freigaben auf einen Port umgehen?
     
    Zuletzt bearbeitet: 22. November 2012
    #11
  13. Skyrider79
    Offline

    Skyrider79 Power Elite User

    Registriert:
    28. September 2011
    Beiträge:
    2.374
    Zustimmungen:
    881
    Punkte für Erfolge:
    113
    Beruf:
    Instandhaltungselektroniker
    Ort:
    Franken
    AW: Habe ich ein Sicherheitsproblem? Igel mit IPC / Oscam auf CCcam -> Client "bekla

    Ich vermute auch das dein Client seiner Box kein Passwort vergeben hat und somit durch die Port-Öffnung auf das WebiIF sich leicht angreifbar gemacht hat.
    Es gibt nämlich einen exploit mit dem man alle Daten (auch die vom Flash inkl. der CCcam.cfg z.B.) über diesen Zugang zum Webinterface auslesen kann....
    Er soll seiner Box ein anständiges PW vergeben und dann kannst ihm ja nochmal neu Login-Daten geben dann sollte es keine Doppellogins mehr geben..
     
    Zuletzt bearbeitet: 22. November 2012
    #12
    Hirnduebel gefällt das.
  14. Skyrider79
    Offline

    Skyrider79 Power Elite User

    Registriert:
    28. September 2011
    Beiträge:
    2.374
    Zustimmungen:
    881
    Punkte für Erfolge:
    113
    Beruf:
    Instandhaltungselektroniker
    Ort:
    Franken
    AW: Habe ich ein Sicherheitsproblem? Igel mit IPC / Oscam auf CCcam -> Client "bekla

    @Hirnduebel
    Nein du kannst nicht verschiedene Externe Port auf den gleichen internen Port weiterleiten....
    Zumindest nicht mit einer Fritz Box....
     
    #13
    Hirnduebel gefällt das.
  15. Hirnduebel
    Offline

    Hirnduebel Hacker

    Registriert:
    25. Oktober 2010
    Beiträge:
    468
    Zustimmungen:
    128
    Punkte für Erfolge:
    43
    AW: Habe ich ein Sicherheitsproblem? Igel mit IPC / Oscam auf CCcam -> Client "bekla

    Hmmm, dachte das wäre hier als Empfehlung für Netzwerksicherheit in nem Sticky so gestanden... Mist, wäre ja zu komfortabel gewesen ;)
    Kann man serverseitig sonst noch irgend was machen, als alle Ports bis auf den CS-Port zuzudrehen?
    Und bei den Boxen (nur dbox2, Coolstream Zee, VU+ Undo/Duo und Kathi 910 im Einsatz), die arbeiten alle mit CCcam 2.1.1 (nur die Zee mit mdgamd und cccamd.list), was kann mann denn da noch sicherer machen?

    Edit: wäre es möglich, den gesamten CS-Verkehr über VPN abzuwickeln? Es sind imho nur Fritzboxen als Router im Einsatz.
    Und noch was, hat sich in IPC 11.5 etwas relevantes bzgl. Sicherheit verbessert? Ist ein bei einem Update viel Anpassungsaufwand nötig?
    Danke!
     
    Zuletzt bearbeitet: 22. November 2012
    #14
  16. kabanett
    Offline

    kabanett Ist gelegentlich hier

    Registriert:
    24. April 2012
    Beiträge:
    95
    Zustimmungen:
    18
    Punkte für Erfolge:
    8
    AW: Habe ich ein Sicherheitsproblem? Igel mit IPC / Oscam auf CCcam -> Client "bekla

    Für E2 Boxen gibts ein VPN-Client-Plugin, für die Dbox nicht! Die anderen kenn ich nicht und weiß es daher nicht.
    Wenn eine FB das kann, wovon ich mal ausgehe, könntest du die Zugriffe noch über die MAC-Adresse der Client-Geräte beschränken.
     
    #15
    Hirnduebel gefällt das.

Diese Seite empfehlen