wie kann ich eine Netzwekverbindung im Internet absichern? Hab da mal was von "cs tunneln" gehört.
Hardware; Serverbox CT ET9000 OScam, Client's Dbox2, Kathi 912 verbunden mit CCcam und Camd3. Ein Speedport W722V als Router, alles über dyndns eingerichtet.
Kann mir jemand weiterhelfen..?
Hab ich schon gelesen, aber wie kann ich das in mein System einbauen..?!?
Eigentlich müsste es doch ganz einfach sein, hier mal ein Beispiel:
Mein Server zu Hause verbindet sich nicht direkt mit dem Client sondern zu einem anderen Server. Dieser Server verbindet sich mit den Client's. Sowas muß doch abgesichert realisierbar sein...
Guten Morgen euch allen:
@ RoterBaron und @ czutok:
Warum tragt ihr eueren Krieg nicht woanders aus wie z.b. Facebook oder Skype oder sonstwo*g*
Zu deinem letzten Satz @ RoterBaron:
Ich persönlich finde es nicht schön,dass du es am TE auslässt,ihm quasi keine Infos gibst,weil irgendjemand dir gegen den Strich geht.Ich greife nicht dich persönlich an,sondern nur diese eine Einstellung von dir.Wenn ich wüsste wie man so etwas macht,dann hätte ich dem TE schon geholfen,dafür ist dieses Board ja da,um zu helfen,egal wer es ist ob User;supporter oder Mod (ja wir wissen auch nicht alles) .
Ob und wieoft jemand gesperrt wird,liegt sicherlich am Verhalten vom User (kann aber zu dir nix sagen,weil ich dich nicht kenne und auch nicht weiss warum du schon gesperrt wurdest,was mir aber relativ egal ist,weil es Vergangenheit ist)
Ich hoffe für den TE,dass sich noch jemand findet,der sich bereit erklärt ihm zu helfen.
So nun back to...
Also VPN wurde schon erwähnt. Hier wird zwar gesagt, dass es sicher ist. Aber auf den 2. Blick nicht mehr.
Eine VPS anmieten und openVPN drauf hauen schön und gut. Aber trotzdem kann man es nachverfolgen, wer sich auf den VPN Server einklinkt, wenn man es will also auch nicht 100% sicher
Ich würde, wie RoterBaron schon sagte, eine Firewall einrichten.
Vielleicht von deinen Internet-Clients eine dyndns Adresse geben lassen und die, wenn es möglich ist, in die Firewall eintragen und/oder in die CCcam.cfg hinter die F-Line eintragen.
Auch wichtig, den CCcam Port 12000 ändern! Dann hast du schonmal einen wichtigen Schritt zur Sicherheit gemacht. (Denke ich)
Und alle Ports, die nach Außen(Internet) nicht erreichbar sein sollten, natürlich schließen.
z.B. kann ich bei meinem Router einstellen, dass er auf Pings von Außen nicht reagieren soll und auch die Ports nicht reagieren, wenn ein Scan gemacht wird! Weis nicht ob das dein Router auch kann.
@Narf: ich hab gestern schon mehrere ausführliche Beiträge hier gemacht und habe die letzten Wochen verstärkt auf meine Ausdrucksweise geachtet etc aber trotzdem muss ich mir von czutok so eine scheisse anhörn und darf darauf nicht reagieren weil ich dem TE schlieslich helfen könnte?
Sorry aber ich hab eben ein sehr breit gefechertes allgemeinwissen was allg. Computer betrifft und kann warscheinlich, ohne eingebildet zu wirken, von mir behaupten das ich hier 90% der User helfen könnte aber ich hab ehrlich gesagt besseres zu tun als mich tag ein tag aus mit den Problemen anderer zu beschäftigen vorallem wenn dann solche wie czutok meinen sie müssten ne hetzjagt auf schlauere machen..... oder wieso gab es nach der "verwarnung" hier im thread einen tag später von czutok wieder nen post der da mein Editierverhalten schlecht macht? Bin ich hier derjenige der nach gründen sucht gegen czutok gerichtet hier rum zu stänkern? meines wissens nach nicht aber trotzdem bin ich jetzt mal wieder das arschlosch.... warscheinlich weil ich mich auf sein niveau eingelassen habe.....
und wie ich finde sind gerade MODs diejenigen die es besser wissen müssten dh wenn sies eigentlich nicht wirklich wissen, überlassen sies anderen dies besser wissen könnten.... und auch gewillt sein sollten ausführliche Beiträge zu machen etc aber stattdessen scheint hier auf quantität gesetzt zu werden aber nicht auf qualität und deswegen tauchen auch immer wieder VPN Threads und sowas auf; zu themen die hier schon 1000x durchgekaut wurden und für mich liegt der Grund darin das die 1000 anderen Threads einfach zu unübersichtlich und chaoshaftig sind sodass da keiner so wirklich durchsteigt was dabei nun rumgekommen is etc weil auch immer wieder welche meinen mit ihrem halbwissen so zu tun als hätten sies studiert aber von der Theorie es nie zur Praxis geschafft haben....
...ich werde ja nun wieder aufgefordert die "story" mit czutok woanders auszutragen weil meine Beiträge wohln bisschen zu ausführlich sind oder wieso werde ich hier ermahnt?
wenn ich mich via PN mit czutok ausschreibe werden meine PNs gemeldet und ich werd für diese PNs verwarnt.... so blöd war ich anfangs aber mittlerweile lasse ich mich darauf nicht mehr ein also sorry aber sucht euch jmd anderen um eure langeweile zu belustigen.......
@xcetix: sehr gute tipps - ausser der letzte mit dem Ping unterdrücken könnte bei manchen Probleme machen - allg. verhindern Router schon einiges solange man nicht planlos ein DMZ oder irgendwelche Portweiterleitungen einrichten; wenn dann sollten für Extern(Internet) andere Ports gewählt werden als sie Intern im LAN verwendet werden
(verdammt, jetzt hab ich doch wieder was dazu geschrieben)
ja schön, jetzt wird wieder was zu diesem Thema geschrieben Ich hab mir gestern eine Fritz Box 7170 gekauft und gegen mein Speedport W722V ausgetauscht. Da hab ich auf jeden Fall einen besseren Router der auch VPN unterstützt. An meinem Receiver habe ich auch die OpenVPN im CT-Panel gefunden, da gibt's unter Tools die Einstellung "VPN start" und "VPNstop". Jetzt habe ich aber gerade gelesen, dass es ja doch besser wäre, eine Firewall zu benutzen. Jetzt meine Frage, welche Firewall soll ich bei der Fritzbox benutzen? Ich hab mir die neuste Firmware von AVM auf den Router installiert, ist die ok oder gibt's eine besser? Muß ich die daten der Client's ändern?
Jetzt habe ich aber gerade gelesen, dass es ja doch besser wäre, eine Firewall zu benutzen. Jetzt meine Frage, welche Firewall soll ich bei der Fritzbox benutzen? Ich hab mir die neuste Firmware von AVM auf den Router installiert, ist die ok oder gibt's eine besser?
Jein... Also vorab sollte man zunächst wissen wie Router arbeiten etc; die lassen nämlich nichts einfach so rein...
Zb:
Angenommen deine IP ist 1.2.3.4 und nun versuche ich auf diese IP zu surfen... Surfen also http benutzt den Port 80
Dh also mein Datenpaket wird an 1.2.3.4:80 verschickt - wenn dein Router aber keine Port 80 offen hat, kommt auch keine Antwort
...Verschicke ich ein Datenpaket auf Port 12000 an deine IP, aber dein Router hat garkein Port 12000 extern offen, so weiss der Router nicht wirklich was er mit diesem Datenpaket anfangen soll und verwirft es... also krieg ich dort ebenfals keine Antwort
Selbst wenn, wüsste ich garnicht wie dein LAN hinter deinem Router aufgebaut ist, also ich weiss nicht ob du 192.168.0.x nutzt oder 192.168.1.x etc... Somit kann ich auch nicht gezielt an deinen Receiver mit zb IP 192.168.0.10 ein Datenpaket oder hackversuch schicken...
Ein Router verhält sich also eigentlich schon bereits wie eine Firewall
Eine Firewall alleine reicht aber nicht um wirklich Sicher zu sein...
Sicherheit ist mehr als nur eine Appliance oder ein Stück Software, mit der ich meinen Netzwerkverkehr kontrolliere
Um Sicherheit zu erreichen, wird primär ein Konzept benötigt, Hard- und Software sind dann nur noch Mittel zum Zweck...
Ich will hier keinesfalls ein komplettes Sicherheitskonzept vorlegen, da dies ohne genaue Kenntnisse des gesamten Umfeldes, der potentiellen Risiken und der Gefährdungsstufe nicht seriös möglich ist...
Ich will an dieser Stelle nur generell darauf hinweisen, dass es mit der Installation von irgendeiner Firewall alleine nicht getan ist!
Eine Firewall ist, wie eine Schwangerschaft, deterministisch, das heißt, entweder schützt sie vor einer Gefahr, oder sie schützt nicht, genauso, wie man entweder schwanger oder eben nicht schwanger ist. Ein bisschen schwanger geht nicht. Wenn ein Schutz gegen ein definiertes Risiko nicht 100%ig gegeben ist, kann auf die Firewall verzichtet werden. Es macht schlicht keinen Sinn, da man seine zu schützenden Systeme so oder so auf mögliche Einbrüche kontrollieren muss. Hier wird sonst eine trügerische Sicherheit geschaffen, wie dies in den letzten Jahren erfolgreich mit Personal Firewalls vorgemacht wurde...
Eine wichtige Frage sollte an dieser Stelle zuerst beantwortet werden: Was macht ein System sicher, bzw. angreifbar? Eine Firewall zu "hacken" ist, vorausgesetzt der Hersteller hat seine Hausaufgaben gemacht, nahezu unmöglich. Warum das so ist, ist leicht erklärt. Angreifbar sind nur Dienste, die im Netzwerk angeboten werden. Wenn eine Web-Anfrage keinen Webserver erreicht, sondern nur einen gewöhnlichen PC, werden die entsprechenden Anfragen auch ohne Firewall einfach verworfen und der anfragende PC bekommt eine Rückmeldung, dass der (Web)Dienst auf diesem System nicht zur Verfügung steht. Ein perfekter Schutz vor Angriffen. Anders sieht die Sache aus, wenn auf dem angesprochenen PC eine vergessene Installation eines IIS oder LAMP läuft. Dieser Dienst antwortet naturgemäß auf jede Webanfrage. Wenn dieser Dienst nun eine Schwachstelle hat (und welcher Webserver hätte keine), kann diese über das Netz ausgenützt werden. Das System ist kompromittierbar. Das ist der Grund, warum Firewalls niemals Dienste zum Internet anbieten (sollten) und warum es folglich nahezu unmöglich ist, eine Firewall vom Internet aus zu "hacken"...
Viel gefährlicher und deutlich leichter angreifbar sind in der Regel aber die Dienste, welche sonst noch auf dem Hostsystem ausgeführt werden. Wenn auf dem Hostsystem zusätzlich ein Web-/Mail-Server betrieben wird, der ja zwingend vom Internet aus erreichbar sein muss, eröffnen sich einem Angreifer nicht nur die Möglichkeit, den Web-/Mail-Server zu hacken, sondern damit auch gleich das ganze System, auf dem die Firewall läuft. Die "Anpassung" der Firewallkonfiguration, oder gar das Abschalten dieser lässt sich dann nicht mehr verhindern...
"Das ist so, als wenn du eine Kiste aus dickstem Metall nimmst, aber eine Tür drinnelässt, die in einen Pappkarton führt und in diesen Pappkarton darf jeder hinein. Klar, durch die Stahlplatten kommt man nicht - aber man braucht nur durch die Pappe und ist drinne"
Wegen VPN:
Es gibt 2 Arten von VPN's... Einmal VPN über einen Anbieter wodurch man dann eine VPN-IP zugeteilt kriegt und darüber surfen kann etc also deine echte IP nicht mehr im Internet auftaucht...
Diese Art ist aber unsicherer als viele glauben weil:
1) loggen ausnahmslos alle Internet-Dienstleistungs-Anbieter also auch die VPN-Anbieter die mit Anonymität werben... Manche meinen zwar weil es in dem Land kein Gesetz gäbe was das loggen vorschreiben würde, würden die auf keinenfall mit-loggen; allerdings ist in der Aussage ansich schon der Wiederspruch - nur weil es kein Gesetz gibt was vorschreibt wie lange und welche Daten geloggt und gespeichert werden müssten, bleibt es trotzdem jedem selber überlassen ob, was genau und für wie lange sowas gespeichert wird... Es ist im eigenen Interesse dieser Anbieter sich selber gegen Missbrauch schützen zu können sodass die "Schuld" auf Kunden o.ä. zuzuordnen geht
2) baut man sich dadurch eine weitere, unkontrollierbare Fehlerquelle ein die auch dafür sorgt das garnix mehr geht sobald der VPN-Anbieter mal ausfällt, egal obwohl der CS-Server online wäre etc...
3) absolute anonymität gibt es im Internet nicht wirklich...
4) Les dir genannte Threads nochmal genauer durch, dort wurde auch schon einiges dazu geschrieben
Die 2. Art ist eigentlich die einzige, die wirklich als Sicher gilt - nämlich ein tatsächlich Privates VPN, ohne irgendwelcher VPN-Anbieter...
Das setzt aber vorraus das tatsächlich alle Clients VPN nutzen
Es gibt mehrere Möglichkeiten sich abzusichern - es wäre aber wichtig zu wissen wie das jeweilige Netzwerk aufgebaut ist, was für Rechner/Server/Receiver/etcpp in diesem Netz sind also was zur Verfügung stünde und sowas eben.... Das is von Netzwerk zu Netzwerk unterschiedlich aber manchmal brauch man auch kaum was "machen" solange man sich selber an gewisse Richtlinien hält; wie eben das mit den Ports oder standard/einfacher passwörter zu vermeiden, darauf zu achten mit wem man shared weil du so sicher wie nur irgendwas sein kannst aber sobald einer deiner shares das vernachlässigt kannste dein Konzept in den Müll werfen etcpp...
Allso ich hab mir jetzt die neuste Firmware für die FritzBox runtergeladen und alles eingestellt. Im Router habe ich den Port 1234 aufgemacht und unter Oscam das Ccam Protokoll auf diesen Port geroutet. Verbindung zum Client funktioniert. So sieht es zu Zeit aus....
Nur hier ist natürlich der Port offen und nicht gesichert, unter Internet,Freigaben,VPN müsste ich doch jetzt alles einstellen können? Hier muß ich eine Datei hochladen und ein Passwort vergeben.
Als Client laufen dbox2, Kathi912,Opticum403 mit CCcam. Die Frage ist jetzt, was muß alles bei den Client's eingestellt werden und welche Datei/Einstellung muß ich an der FritzBox vornehmen..??
..hast du meinen Beitrag nicht gelesen oder nicht verstanden?
Bitte frage dich selber mal wofür bzw wogegen du dein Netzwerk absichern willst... Und dann beantworte mir mal die Frage, wieso du deine LAN-Clients einzeln absichern willst?
Ich wiederhole mich wirklich ungerne.... Les dir meinen ausführlichen Post da oben bitte nochmal durch - auch das im Spoiler
Und dann versuche bitte zu verstehen wie das abläuft, was dein Router darstellt und was dabei deine LAN-Clients für ene Rolle spielen und worum es beim Punkt "absichern" eigentlich geht also wogegen man sich absichert etc..... Dann les meinen Post bzw den Spoiler nochmal und dann formulier deine Frage neu
Was denn los "RoterBaron"?
Das kann man doch im anderen Ton sagen oder nicht? ^^
@sasch78
RoterBaron hat aber trotzdem recht
Versuch dich einbischen einzulesen und versuch die Fragen zu beantworten.
Dann können wir dir weiter helfen und ein paar Tipps geben...
Eigentlich geht's mir nur darum, nicht "offen wie ein Scheunentor" zu sein. Die Absicherung im eigenen System würde ja dabei ausreichen. Kann man überhaupt offene Port's am Router absichern?