1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Talk Noch ein paar abschließende Fragen bzgl. Cams, Ports und Erreichbarkeit von Außen

Dieses Thema im Forum "Root / Vserver Server Sicherheit" wurde erstellt von ironsky, 18. März 2013.

  1. ironsky
    Offline

    ironsky Ist oft hier

    Registriert:
    20. Februar 2013
    Beiträge:
    124
    Zustimmungen:
    3
    Punkte für Erfolge:
    0
    Hi!

    Ich habe ein paar weitere Sachen eingerichtet und bin nun schon ein paar Schritte weiter.
    Mein IGEL 4210 LX läuft nun mit Kernel 486. Zudem habe ich folgende Sachen gemacht:

    - HTTPS für OScam (OSCAM 1.20-unstable_svn build r8557) eingerichtet und den Standard-Port 16002 geändert. Geht man nun auf

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    wird man auf HTTPS://Se.rv.er:port umgeleitet.
    - HTTPS für Apache2 (Webif) eingerichtet und funktioniert. Port 80 ist geschlossen.

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    ist nicht mehr zu erreichen. Eine Umleitung wie bei OScam wäre bequem, aber ist kein Muss.
    - SSH-Port ist geändert

    Es sind folgende vier Ports/Dienste aktiv (OScam als einzige CAM):
    - 443 (HTTPS)
    - 22000 (OScam)
    - 24443 (OScam, vorheriger Port: 16002)
    - 27443 (SSH, vorheriger Port: 22)

    Fragen:
    1. Ich frage mich, was der Port/Dienst 22000 macht und wie ich den Port ändere. Beim Aufrufen des Ports erhält man kurz kryptische Zeichen und das war es dann:

    [​IMG]

    2. Wie ist der praktische Ablauf, um die V14-Karte von SKY im IGEL freizuschalten, wenn ich in einem internen Netzwerk bin und (derzeit) weder Port-Forwarding, noch Tunneling machen kann.
    Wie ich einen Tunnel ins interne Netz bekomme, um von Außen erreichbar zu sein (wäre spätestens für die Clients wichtig), ist mir noch nicht klar. Wichtig wäre mir aber mal aus technischer
    und praktischer Sicht erklärt zu bekommen, wie SKY die Schlüssel an den IGEL schickt.

    3. Benötige zusätzlich zu OScam noch CCcam oder reicht es, wenn ich ausschließlich OScam laufen lasse?

    4. Ist es normal, dass NewCam einen seiner Ports immer wieder wechselt, nach einem Restart? Hatte bisher 50777, 51156, 40476 gescannt, wenn NewCam aktiviert war.

    Hier ist eine Liste mit allen per nmap gescannten (Standard-)Ports aller einzelnen Cams, HTTPS, SSH:
    SSH & HTTPS
    ======================================
    PORT STATE SERVICE
    443/tcp open https
    22/tcp open SSH


    CCcam
    ======================================
    PORT STATE SERVICE
    12000/tcp open cce4x
    16001/tcp open fmsascon


    OScam
    ======================================
    PORT STATE SERVICE
    16002/tcp open OScam
    22000/tcp open OScam


    NewCS
    ======================================
    PORT STATE SERVICE
    8080/tcp open http-proxy
    13000/tcp open NewCS
    51156/tcp open NewCS *

    *=Anmerkung: Port wechselt bei jedem Restart.
    Weitere Ports sind: 50777, 51156, 40476


    Camd3
    ======================================
    PORT STATE SERVICE
    9080/tcp open glrpc


    sBox
    ======================================
    PORT STATE SERVICE
    8181/tcp open sBox


    Alle Cams aktiviert
    ======================================
    PORT STATE SERVICE CAM

    8080/tcp open http-proxy NewCS
    8181/tcp open unknown sBox
    9080/tcp open glrpc Camd3
    12000/tcp open cce4x CCcam
    13000/tcp open unknown NewCS
    16001/tcp open fmsascon CCcam
    16002/tcp open unknown OScam
    22000/tcp open unknown OScam
     
    Zuletzt bearbeitet: 19. März 2013
    #1
  2. phantom

    Nervigen User Advertisement

  3. mrnicegy
    Offline

    mrnicegy Freak

    Registriert:
    24. Dezember 2007
    Beiträge:
    245
    Zustimmungen:
    74
    Punkte für Erfolge:
    28
    Beruf:
    Tastatur Vernichter
    Ort:
    WWW
    AW: Noch ein paar abschließende Fragen bzgl. Cams, Ports und Erreichbarkeit von Außen

    1.) der port 22000 ist der, über den das cccam protokoll zu erreichen ist.also jener zu dem auch die clients verbinden.

    2.) port-forwarding und tunneling hat nichts mit der aktivierung einer smartcard zu tun.
    die freischaltung der karte geschieht über emm's, welche dein client an den port 22000 deines servers sendet, dazu muss dieser auch emm's senden können, und der server muss diese akzeptieren.
    dies regelst du in der. datei oscam.user mit:
    au = SKY( SKY ist der name des reader).

    3.) du benötigst auf dem server nur oscam,cccam kannst du dir dort sparen.wenn du einen receiver als client nutzt,dann solltest du dort cccam installieren, das vereinfacht das ganze.
    ist dein client ein pc mit dvbviewer, nimmst du entweder hadu oder acamd, ich rate dir zur aktuellsten hadu version.

    4.) das ist normal mit den newcamd ports. du kannst newcamd komplett deaktivieren, da du das cccam protokoll nutzt.
    das cccam protokoll kann alles nötige.

    um newcamd zu deaktivieren reicht es aus den abschnitt [newcamd] aus der oscam.conf zu entfernen und danach oscam neu zu starten.
     
    #2
    Pilot gefällt das.
  4. ironsky
    Offline

    ironsky Ist oft hier

    Registriert:
    20. Februar 2013
    Beiträge:
    124
    Zustimmungen:
    3
    Punkte für Erfolge:
    0
    AW: Noch ein paar abschließende Fragen bzgl. Cams, Ports und Erreichbarkeit von Außen

    Deine Antwort zu Punkt Zwei habe ich noch nicht ganz verstanden.

    1. Die Clients senden eine EMM-Anfrage (wofür genau steht EMM eigtl.?) über über Port 22000 (der Port muss also _nicht_ geändert werden?) an den CS-Server und bekommen dann die dann über den gleichen Port zurück? Wie kann denn ein Client, der außerhalb des internen Netzes ist, überhaupt eine Anfrage an Port 22000 senden, wenn die IP des CS-Servers eine interne ist und diese von außen gar nicht erreichbar ist? Oder braucht man gar keine IP für die Kommunikation CS-SERVER <---> CLIENT (DVBviewer / Sat-Receiver)?

    2. Außerdem verstehe ich noch gar nicht, wie denn der CS-Server erstmalig von SKY freigeschaltet wird, bzw. die Karte an sich, die ja per Smargo im CS-Server steckt.

    3. Kannst Du Deine Aussage "au = SKY( SKY ist der name des reader)" bitte auch noch ausführlicher erklären? Wäre super.

    Vielen Dank schon mal!
     
    #3
  5. jensebub
    Offline

    jensebub Stamm User

    Registriert:
    8. Mai 2010
    Beiträge:
    1.059
    Zustimmungen:
    1.717
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Beruf:
    hab ich
    Ort:
    abvomweltlichen
    AW: Noch ein paar abschließende Fragen bzgl. Cams, Ports und Erreichbarkeit von Außen

    Zu 3.) gucke doch einfach mal ins OScam-wiki:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    Zu 2.) sky schaltet deinen CS-Server nicht frei,...SKY aktiviert deine Karte,...durch anfragen der clients, die emm's schicken,...

    Zu 1.) gucke mal hier

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    Gruß
    jensebub
     
    #4
  6. ironsky
    Offline

    ironsky Ist oft hier

    Registriert:
    20. Februar 2013
    Beiträge:
    124
    Zustimmungen:
    3
    Punkte für Erfolge:
    0
    AW: Noch ein paar abschließende Fragen bzgl. Cams, Ports und Erreichbarkeit von Außen

    Ich habe mir gerade die Sachen durchgelesen und bin irgendwie genau so schlau wie vorher.
    Eine Erklärung mit eigenen Worten würde ich vermutlich eher verstehen. Gibt es dazu vllt. Grafiken?

    EDIT: Ich verstehe es jetzt so, dass die Clients über Port 22000 die Karten-Infos vom CS-Server
    bekommen und sobald die Clients dann eine Anfrage per DVB-Signal an SKY senden, denkt
    SKY, dass die Anfrage vom CS-Server kommt und sendet dem CS-Server (bzw. der Karte) die Freischaltungs-Signale
    und der CS-Server wiederum leitet über Port 22000 die Sachen an den Client weiter.

    @

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    : Dein Postfach ist voll. ;)
     
    Zuletzt bearbeitet: 18. März 2013
    #5
  7. mrnicegy
    Offline

    mrnicegy Freak

    Registriert:
    24. Dezember 2007
    Beiträge:
    245
    Zustimmungen:
    74
    Punkte für Erfolge:
    28
    Beruf:
    Tastatur Vernichter
    Ort:
    WWW
    AW: Noch ein paar abschließende Fragen bzgl. Cams, Ports und Erreichbarkeit von Außen

    jo schon gemerkt ist wieder frei.

    so back to topic,


    grafiken gibt es keine soweit ich weiß.

    also du schaltest z.b. auf sky krimi und läßt das ganze eine weile laufen,bis die karte die emm's bekommen hat und das bild helle wird.

    kurz gesagt sendet der client die emms an den sever welcher diese dann auf die karte schreibt und die karte damit freischshaltet.
    bzw. das abo erweitert,verlängert oder deaktiviert.

    hier eine erkläuterung:

    Damit Sie die Funktionsweise des Cardsharings verstehen, sollten Sie wissen wie der DVBDatenstrom, der bei Ihnen ankommt verschlüsselt ist: Der MPEG-Datenstrom, der die Video- und Audiodaten enthält, wird vor dem Senden anhand des CSA-Algorithmus vom Pay-TV Anbieter verschlüsselt. Zur Verschlüsselung wird eine 8 Byte lange Zeichenkette verwendet, dem sogenannten Control Word (CW). Dieses Control Word wird anschließend in das ECM-Paket eingetragen. Das ECM-Paket sowie das EMM-Paket, das keine für die Ver- bzw. Entschlüsselung benötigten Daten enthält, wird nun mit dem anbieterspezifischen Verschlüsselungsverfahren (Nagra, CONAX, Cryptoworks, usw.) verschlüsselt und zusammen mit dem CSA verschlüsseltem MPEG-Datenstrom als DVB-Datenstrom über den Satellit oder Kabel gesendet. Beim Empfang extrahiert der Receiver den DVB-Datenstrom wieder in die einzelnen Bestandteile (

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    , ECM-Paket und EMM-Paket). Das ECM- und EMM-Paket werden an das CA-Modul weitergeleitet, das diese Pakete wiederum an die anbieterspezifische Smartcard weitergibt. Die Smartcard entschlüsselt jetzt diese beiden Pakete, und gibt das entschlüsselte ECM-Paket wieder an das CA-Modul zurück. Das CA-Modul kann nun anhand das Control Words, das ja nun im Klartext im entschlüsselten ECM-Paket steht, den CSA verschlüsselten MPEG-Datenstrom entschlüsselt und an den Receiver weitergeben. Bezogen auf das CS läuft dieser Vorgang nun folgendermaßen ab: Der Client (Receiver) empfängt den DVB-Datenstrom und extrahiert diesen in die einzelnen Bestandteile. Das Softcam des Clients sendet nun das verschlüsselte ECM und EMM-Paket an den Cardserver, der diese Pakete anhand der Smartcard entschlüsseln kann, indem er die entschlüsselnde Pakete an der Stelle abgreift, an der diese von der original Smartcard an das CA-Modul zurückgegeben werden. Aus dem entschlüsseltem ECM-Paket kann der Cardserver nun das Control Word im Klartext entnehmen. Das entschlüsselte Control Word wird anschließend wieder vom Cardserver an das Softcam des Clients zurückgegeben, das jetzt den CSA verschlüsselten MPEG-Datenstrom anhand des Control Words entschlüsseln kann. Zum Abschluss noch ein paar Worte zum EMM-Paket. Das EMM-Paket enthält Abo spezifische Daten die zur Smartcard weitergeleitet werden und von dieser verarbeitet werden. Dies kann z. B. die Freischaltung der Smartcard sein, Freischaltungen von weiteren Abonnementpaketen oder auch Softwareupdates. Innerhalb der CS-Software kann serverseitig eingestellt werden, ob die EMM-Pakete verarbeitet, d.h. zur Smartcard weitergereicht werden sollen oder ob sie ignoriert werden sollen. Bei einem kleinen CS-Netzwerk mit einem reinen CS-Server ist die Weiterleitung zur Smartcard äußerst sinnvoll, da der Cardserver ja mangels SAT oder Kabelanschluss keine EMM Pakete empfängt. In einem größeren CS-Netzwerk kann dieses EMM-Paket aber äußerst hinderlich sein, denn wenn viele EMM-Pakete verarbeitet werden sollen, wird sich dies äußerst negativ auf die Performance auswirken.
     
    Zuletzt von einem Moderator bearbeitet: 18. März 2013
    #6
  8. ironsky
    Offline

    ironsky Ist oft hier

    Registriert:
    20. Februar 2013
    Beiträge:
    124
    Zustimmungen:
    3
    Punkte für Erfolge:
    0
    AW: Noch ein paar abschließende Fragen bzgl. Cams, Ports und Erreichbarkeit von Außen

    Kann es sein, dass wir ein unterschiedliches Verständnis der Begriff "CS-Server" und "Client" haben? Mit Clients meine ich immer alle Personen, die SKY empfangen wollen, aber keine Karte haben.
    Und CS-Server ist ja mein IGEL. Ist es also so, dass der Receiver von meinem Kumpel (Client #1) EMMs an meinen CS-Server schicken muss? Per Internet? Per IP + Port?
    Und mein CS-Server eerhält dann von und schickt meinem Kumpel wieder irgendwas, damit es bei ihm hell wird?

    Ich habe mal eine Grafik gemacht. Nun müsste mir mal jemand erklären, wie User #1, #2 & #3 auf den Debian-CS-Server zugreifen können. Das ist meiner Meinung nach ohne Portforwarding, Tunneling oder anderer Techniken nicht möglich.

    [​IMG]
     
    Zuletzt bearbeitet: 19. März 2013
    #7

Diese Seite empfehlen