Anleitung wie ihr euer Netzwerk sicher macht

[qoloq]

Aber nochmal für alle die es nicht kappieren wollen hier eine anleitung wie ihr euer netzwerk sicher macht:
Zuerst solltet ihr euch grundlegende kenntnise über nat aneigenen:

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Dannach solltet ihr die anleitung eures routers gut durchlesen um herraus zu finden wie dort das port forwarding funktioniert und nur euren sharing port an euren cs server nach aussen öffnen.
Wenn ihr schlau seit leitet ihr mehrere ports von aussen auf einen internen port und könnt so jedem user einen eigenen port geben, das ist dann viel einfacher user zu sperren wenn ihr den share mal beenden wollt und bennötigt keine weiteren scripte die im nachhinein einen unberechtigen user aussperren nach dem dieser bereits eine verbindung aufgebaut hat...

Natürlich müsst ihr euren server immer uptodate halten, nur mit root rechten arbeiten wenn unbedingt notwendig, emus und sowas müssen auch nicht mit root rechten laufen.

Jetzt kommt das wichtigste:
Die peer auswahl damit auch das schwierigste.
Shared nur mit leuten die ihr kennt und sich dem bewusst sind was diese selber machen.
Checkt ob diese offene ports haben und schaut was hinter diesen ports läuft und ob ihr euch eventuell "rein hacken" könnt in dem ihr eine verbindung aufbaut ohne passwort eingabe oder mit dem passwort "dreambox" Achtung das ist wie autos klauen oder in wohnungen randalieren, passt auf das ihr nicht direkt erschossen werdet oder man euch anzeigt und zu 100 jahren zuchthaus verurteilt.

Wie ihr den peer checken könnt geht so:
nmap dyndns-vom-peer -p21,22,23,80,443,8080,16000,16001 -PN --open
ihr müsst dazu natürlich das hackertool nmap haben was bei vielen distros schon on board ist oder vom offiziellen server geladen werden kann für debian und debian varianten wie ubuntu, kbuntu *ntu:
apt-get install nmap

Sollte jetzt ein port als open (offen) angezeigt werden heisst das noch nicht zwangsläufig das dieser peer unsicher ist wobei man sich schon fragen muss bei port 21,23,16000,16001 warum die nach aussen offen sein müssen ob mit pw oder ohne...
und ssh sollte man lieber auf einem höheren 5 stelligen berreich legen...

Naja nach dem ihr euch vergewissert habt das ihr mit:
root / dreambox
root /
root / cccam
root /dbox2
root / vuduo
root / relook
root / root
root / admin
root / 12345
root / 123456
euch nicht einloggen könnt , ihr die dns nicht über

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

finden konntet sollte einem share nichts mehr im wege stehen.
Jetzt könnt ihr einen account anlegen für diesen peer natürlich nicht wie viele es machen bei cccam mit F: nick nick
user könnt ihr wählen wie ihr wollt und passwörter sollten so aussehen: 9@zzDt%[zwvwx1#&%:Si<{w=
Nach dem der peer euch auch einen account mit dem selben muster erstellt hat könnt ihr testen ob seine line was taugt bei 9 von 10 peers werdet ihr fest stellen das, das nicht der fall ist.

Ihr werdet schnell merken das es viel zeit und nerven kostet die sache vernünftig zu machen und ihr werdet auch keine 1935893759375837 hop1 karten bekommen auf diese art und weise, aber trotzdem wird es besser laufen als wenn ihr einen anderen weg wählt.

So @mods soll ich das jetzt in jedem thread posten damit auch jeder user das liest?

@all leider kann ich keine schritt für schritt anleitung machen die für jeden greift auch wenn das einige nicht verstehen aber um den hintergrund zu erfahren empfielt sich folgender artikel zu lesen:

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

zudem weise ich drauf hin das was ich geschrieben habe nur wenige der vielen punkte betrifft die es zu beachten gibt das thema ist zu inviduell und komplex als das man es bei allen und jedem gleich machen kann...

Ich hoffe mal die links zu wikipedia sind in ordnung nicht das euch user abhanden kommen weil diese google und wikipedia entdeckt haben durch mich?

 

[Mogelhieb]

AW: Anleitung cardsharing sicherer gestalten

Ich habe mal diesen interessanten Beitrag von qoloq hier her kopiert, damit alle ambitionierten Cardsharer was davon haben.
Meine Empfehlung ist, dieses Thema sehr ernst zu nehmen.
Ergänzend noch hierzu, wer Cccam benutzt, bei dem sollten in der CCcam.cfg auf keinen Fall diese Einträge fehlen:

WEBINFO LISTEN PORT : 45874
WEBINFO USERNAME : SDRt5894Sdv
WEBINFO PASSWORD : w354&ersdmKZe\
SERVER LISTEN PORT : 22358


TELNETINFO LISTEN PORT : 87442
TELNETINFO USERNAME : Th5&kZhh/)e
TELNETINFO PASSWORD : ö<kfgUkm??

Wer nur Klient ist und keine eigene Karte in den Share einbringt, der mache seine Serverfunktion mit diesem Eintrag platt.

SERVER LISTEN PORT : 0

Die Ports und Passwörter da oben sind nur Beispiele. Da müsst Ihr Eure Eigenen wählen. Aber das Format sollte klar sein. Vielstellige Alphanumerische Passwörter mit Groß,- Kleinschreibung und Sonderzeichen! Notiert Euch die Einstellungen gut, falls Ihr selbst mal auf die Box müsst.
Mit diesen Einstellungen und keine unnötig geöffneten Ports, hat man diesen Spiderbots die Tür vor der Nase zugeschlagen.

 

[zabo]

AW: Anleitung wie ihr euer Netzwerk sicher macht

Hi Mogelhieb,
und welche Ports muss ich jetzt in meiner Fritz mit dem obigen Beispiel öffnen?
Und sind diese frei wählbar?

Greez zabo

 

[H@nnib@l]

AW: Anleitung wie ihr euer Netzwerk sicher macht

@zabo: 45874 & 87442
Du kannst aber auch "öffentlich" die obigen Ports freischaufeln und "intern" andere hernehmen.

nmap würde ich jetzt nicht als Hackertool bezeichnen...

 

[Xpertus]

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Warum zum Himmel muss WebInfo und TelenetInfo aus dem Netz erreichbar sein? Lass den Scheiß zu bzw. keine Portweiterleitung! Reicht doch wenn ich das vom internen Netzwerk erreichen kann!

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Das ist zwar möglich aber nicht wirklich elegant! Vielmehr die CCCam mit der Option ohne Server starten! "-s" Dann gibts auch keine Weiterleitung!
UND wer nur Client ist! Brauch garkeinen PORT in seinem Router weiterleiten! Dann gibs auch keine Überraschungen!! Und man braucht kein fail2ban oder änliches...

@ll

Wie es auch ist, wenn Ihr einen Port öffnet sollte jeder wissen wie man Ihn absichert!

Gruß, Xpertus

 

[MT0815]

AW: Anleitung wie ihr euer Netzwerk sicher macht

Wenn ihr wirklich eueren Server von aussen erreichen wollt, dann richtet euch ein VPN ein. In vielen Freetz-Images für die FritzBoxen ist OpenVPN dabei. Das funktioniert bestens und ist sicher. Ihr könnt es auch mittels Jailbreak aufm iPhone einrichten.

 

[aragorn]

AW: Anleitung wie ihr euer Netzwerk sicher macht

MT0815: wenn du sowas schon schreibst dann schreib es bitte ausführlicher und betone auf welches vpn du dich damit bezeihst.. vpn ist nämlich zum einen nicht gleich vpn und zum anderen kein allheil mittel für alles.. das wurde hier in anderen threads bereits mehr mals durchgekaut..
viele denken nämlich mit vpn wird das über drittanbieter gemeint was aber ganz gewaltig fehlinterpretiert wird das heisst dein 2 zeiler hier würde genau das gegenteil von dem thema hier bewirken!

vpn bringt nur etwas wenn wirklich das PRIVATE genutzt wird also keine drittanbieter oder sowas.. ebenso bringt es nur etwas wenn ALLE clients ebenfals vpn nutzen aber das ist bei vielen receivern gar nicht möglich..
desweiteren wird auch oft gedacht das der server sicher sei sobald vpn eingerichtet wurde aber kaum jemand denkt daran das der server auch ohne vpn weiterhin "erreichbar" ist usw also bitte nicht so ein 2 zeiler posten ohne auf solche wichtigen punkt überhaupt ansatzweise einzugehen!

also wenn du schon in einem fast 6 monate stillen thread postest dann bitte auch ausführlicher und konkreter sodass man das es auch als anleitung gelten könnte!


..wenn ich in deiner aussage schon "sicher" sowie "jailbreak iphone" lese wird mir ehrlich gesagt schlecht.. am besten wärs noch wenn du auch son typ bist der sich alle möglichen apps auf sein iphone installiert und denkt er sei wegen vpn sicher..

 

[DJDaki82]

AW: Anleitung wie ihr euer Netzwerk sicher macht

Na gut jetzt mach ich mir mal die Mühe:

Ein guter Weg CS über VPN zu realisieren:

Benötigt wird eine Fritzbox (oder ein anderer VPN Router) auf jeder Seite. Ich gehe in dieser Anleitung von einer Fritzbox aus.

1.) Teilt Ihr euer Netzwerk in der Fritzbox. Das heisst der Hacken unter "System->Netzwerkeinstellungen->IP Adresse ändern ->Alle Computer befinden sich im selben Netzwerk" muss raus.

Habt ihr das gemacht, könnt ihr für LAN,WLAN und USB jeweils eine eigene IP Range erstellen. Das heisst alle Geräte die per Kabel an einem LAN Port angeschlossen sind, bilden ein Netzwerk, alle Geräte die per WLAN connected sind, bilden ein Netzwerk und alle Geräte die per USB angeschlossen sind, bilden ein Netzwerk.
Die drei Netzwerke sind aber untereinander komplett getrennt, uns so soll es auch sein. Wir basteln hier nämlich ein VPN Netzwerk, wo nur der CS Server erreichbar sein soll, und nicht das ganze heimische Netzwerk incl. aller PC's, Notebooks etc.

2.) Besorgt euch ein RJ45->USB Adapter bei "drei, zwei, eins - meins" für ein-zwei Euro und schließ euren CS Server (ich gehe hier von einem Receiver aus) an den USB Port der Fritzbox an.


3.) Jetzt richtet ihr die VPN Verbindung mit der Fritzsoftware ein.
Die Fritzsoftware fragt nach der IP Adresse der Fritzbox.
!Achtung!: Da Eure Fritzbox jetzt drei Netzwerke verwaltet, hat diese auch drei IP Adressen. Für Jedes Netzwerk eine!
Achtet also bitte darauf das ihr die IP Adresse eurer Fritzbox angibt die per USB erreichbar ist.

4.) Ladet die Konfigurationsdateien in die Fritzboxen hoch
Dies könnt ihr unter "Erweiterte Einstellungen->Freigaben->VPN" machen.

5.) Öffnet KEINE Ports nach außen, das braucht man bei VPN nicht!

6.) Tragt in eure Clients die private (nicht die öffentliche und auch nicht die DYNDNS Adresse) ein.
Wer damit Probleme hat, muss sich bisschen mit der NAT Thematik auseinandersetzen.

Und schon habt ihr ein Bombensicheren CS über VPN!

Nachteil bei der Varriante:
1.) Notebooks die per WLAN connected sind, können nicht mehr eure PC's die per Kabel angeschlossen sind erreichen. Umgekehrt natürlich auch nicht!
2.) PC's die per Kabel angeschlossen sind, können nicht mehr Drucken, wenn der drucker per WLan connected ist.

Dafür ist aber bei diesem VPN nur euer USB Anschluß freigegeben, und da hängt nunmal nur der CS Server drann !
Also dann viel Spaß damit!

 

[martin_1]

AW: Anleitung wie ihr euer Netzwerk sicher macht

Hi DJDaki82,

- ich kann doch die Fritzbox an meinen regulären Router anschließen, und dann nur den USB-Port nach außen hin freigeben, und somit das reguläre Netzwerk schützen, oder?
- Ich muss dann am anderen Ende ebenfalls ein VPN einrichten, richtig? Wenn ich dort ein Netgear Modell habe, würed das dann mit dieser Anleitung funktionieren?

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

Das Netgear Netzwerk soll allerdings nicht aufgesplittet werden...

Danke für eine Antwort!

 

[aragorn]

AW: Anleitung wie ihr euer Netzwerk sicher macht

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

was meinst du mit "usb-port nach aussen frei geben"?

 

[martin_1]

AW: Anleitung wie ihr euer Netzwerk sicher macht

Ich möchte nicht, dass das gesamte Netzwerk über das Internet erreichbar ist, sondern nur der USB-Slot der Fritzbox. ich dachte genau das erreiche ich durch die VPN-Lösung, dass ich drei einzelne Netzwerke habe, und ich nur eins davon nach außen hin verfügbar machen kann?

Nachtrag:

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Aber wie funktioniert das VPN denn ohne DynDNS? Die IPs ändern sich doch ständig, (also die IPs nach außen ins Internet, nicht in die internen)?

 

[aragorn]

AW: Anleitung wie ihr euer Netzwerk sicher macht

kurze frage: wieso sollte das komplette LAN über internet erreichbar sein?
hast du dir mal überlegt ob man LAN-ips überhaupt aus dem internet ansprechen kann?

davon abgesehen verstehe ich nicht ganz wieso man den usb-port/slot ins internet freigeben bzw was das bringen soll?


zum nachtrag: lies dich mal darüber schlau was ein VPN überhaupt ist:

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

 

[DJDaki82]

AW: Anleitung wie ihr euer Netzwerk sicher macht

*hehe* Da muss ich mich der Frage von Aragorn anschließen. Einen USB Port kannst du nicht nach aussen freigeben. Nur einen TCP bzw. UDP Port. Und was meinst du mit "regulären Router"? Wie sieht denn dein Netzwerk aus?
Wenn du dein Netzwerk nicht splitten willst riskierst du damit dass alle per VPN Verbundenen Clients auf dein ganzes Netzwerk incl. aller PC, Notebooks, Smartphones usw. zugreifen können. Wenn dann jemand bisschen Ahnung hat und rumhäckt... naja...

In deinem Fall würde ich dir zu einer DMZ raten. DMZ Router sind recht teuer aber du kannst dir aus günstigen Routern eine quasi-DMZ bauen.

Dazu brauchst du allerdings zwei Router auf deiner Seite.

Nimm das ganze bitte nicht auf die leichte Schulter. Wenn du vor hast sowas zu machen - dann richtig. Es ist kein Zuckerschlecken jemanden ein Side-to-Side VPN zu gewähren. Wie gesagt, er wird mitglied deines ganzen Netzwerks und kann so ziemlich alles anstellen was er mag, wenn es nicht richtig abgesichert wurde.

Damit du besser verstehst was ich meine gebe ich dir mal ein Beispiel:

Ein Client von mir der per VPN angebunden ist benutzt eine Fritzbox Phone XXXX. Da meine Fritzbox und seine Fritzbox per VPN verbudnen sind konnte ich neulich auf meinem Smartphone die Fritz APP installieren und von mir zuhause, ganz unbemerkt über seine Leitung telefonieren. Willst du eine 5000€ Rechnung? Das kann passieren, wenn es nicht richtig gemacht ist. In dem beschrieben Fall, hatte der Client bloß einen Hacken in der konfguration nicht rausgenommen und schon einen fatalen fehler gemacht!

 

[martin_1]

AW: Anleitung wie ihr euer Netzwerk sicher macht

Danke für eure Antworten.

Vielleicht habe ich da tatsächlich etwas falsch verstanden:

* Oben wird erwähnt, dass ich durch das VPN mein Netzwerk in drei "Einzelnetzwerke" mit je drei IP-Ranges unterteilen kann.
* Dadruch dachte ich, wäre es möglich, nur der einen IP-Range (die, des Cardreaders) Zugriff nach Außen zu geben, um das restliche Netzwerk (die restlichen Rechner) dadurch zu schützen. Versteht ihr was ich meine? ;-)

Mein Netzwerk sieht momentan so aus:

ROUTER1 -> INTERNET
ROUTER2 -> INTERNET

CS läuft nur im internen Netzwerk. Ich möchte an den Router1 jetzt gerne eine Fritzbox (Router3) mit Cardreader anhängen, so dass Router2 via Internet darauf zugreifen kann. Allerdings soll Router2 keinen Zugriff auf das Netzwerk "Router1" haben, sondern nur auf die Fritzbox, eben nur auf die IP-Range des Cardreaders, da dieser ja auch die einzige Informationsquelle ist, die benötigt wird?

Weiterhin verstehe ich noch nicht ganz, warum ich auf den DynDNS verzichten kann? :-o

Habe ich da einen Denkfehler?

 

[martin_1]

AW: Anleitung wie ihr euer Netzwerk sicher macht

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Danke für die Erklärung. Beide Netzwerke gehören mir, daher ist das nicht ganz so wild. Aber ich verstehe was du meinst, und gebe dir Recht, ich will es auch unbedingt korrekt einrichten.