AW: CS = Risiko?
- Wie sicher ist CS? -
Vom Prinzip her kann man sagen, CS ist so sicher wie man es macht.
Eine 100%ige Sicherheit wird man nicht erreichen, ein Restrisiko bleibt immer.
Was kann der Normalo Cs'er für Vorkehrungen treffen um nicht ausgespäht und
angegriffen zu werden?
1. - Social Engeneering - Man sollte CS nur mit Leuten betreiben die vertrauenswürdig
sind und einen nicht irgendwann anschwärzen.
2. man sollte die Sicherheitsmechanismen nutzen die von den CAM's mitgebracht
werden (DynDns Addressen einschränken, Standartport 12000 wechseln)
Wenn man das gemacht hat erreicht man eine gute Basissicherheit und steht schon
mal gar nicht so schlecht da.
Benötigt man nun noch mehr Sicherheit kann man folgendes machen:
Die meisten Router bringen heutzutage eine kleine Firewall mit, die Preiswerten
Router meisens einen Packetfilter, die besseren Router eine SPI Firewall.
Arbeitet man nun mit einem CS Server zusammen kann man eine Rule erstellen, die
nur die Kommunikation zwischen dem CS-Server und dem CS-Client auf einen dediziert
an den CS-Client weitergeleiteten Port erlaubt.
Diese Variante bietet sich an wenn man sein lokales Netzwerk mit einer "Deny All"
Strategie aufgebaut hat, Vorraussetung hierbei ist aber ein CS-Server der mit einer
festen IP arbeitet da man innerhalb von Firewalls nur mit festen IP's arbeiten kann.
Welche Sicherheit bring diese Variante:
Ein Angreifer scannt im Internet vorhande Netzwerkgeräte auf offene Ports.
Stößt der Angreifer nun auf den CS-Client bekommt er beim Portscan des Cllients
nur "Closed" Ports angezeigt da im CS-Client Netzwerk ja nur die Kommunikation
zwischen CS-Server und CS Client erlaubt ist.
Optimal wäre nun, wenn im CS-Server Netzwerk genau die Konfiguration gemacht worden
wäre. Dadurch erreicht man das Client und Server im Internet unsichtbar sind und
nicht auf einen vom Angreifer abgefragten CS-Port reagieren.
Oft ist es aber im Internet so, das man CS-Server mit offenen CS-Ports
begegnet und sie dann Identifizierbar sind.
Die Sicherheit läßt sich mit einem VPN noch weiter erhöhen.
Hierbei wird auf dem CS-Server eine VPN Lösung installiert die es den CS-Clients
ermöglicht sich anhand eines VPN Client in das CS-Netzwerk einzuwählen.
Das VPN Netzwerk selber kann dann so konfiguriert werden, das auch hier nur eine
Kommunikation zwischen Client / Server auf einem dedizierten Port erfolgt.
Diese Lösung ist mit Abstand die sicherste da aus dem Internet heraus bei einem
Port-Scan nur erkannt werden kann, das auf dem Server ein VPN läuft, wie es z.B.
auch viele Unternehmen ihren Mitarbeitern anbieten.
Wie hoch ist nun das Risiko einzuschätzen, als CS'ler ausgespäht und identifiziert
zu werden?
Card Sharing ist nicht mit File Sharing zu vergleichen, beim CS werden nicht
öffentlich Daten angeboten die sich jemand herunterladen kann.
CS hat eine Benutzer Authentifizierung und CS-Streams werden nur an eingetragene
Member weitergeleitet.
Ein Angreifer im Internet kann lediglich Netzwerkgeräte scannen und die für
CS üblichen offenen Ports erkennen.
Er kann sich nun mit dieser CS Vermutung an das Gesetz / Provider wenden.
Der Provider kann dann z.B sagen, "Ja, tatsächlich, der Server hält permanent ca.
100000 Verbindungen auf Port 12500 offen "
Zur Untermauerung der Vermutung kann eine Portspiegelung für den betroffenen
Server beim Provider eingerichtet werden und die fließenden Datenpakete
mitgeschnitten werden. Mit entspechender Software läßt sich dann genau sagen
wer mit wem Kommuniziert hat und welchen Inhalt die Datenpakete hatten.
Der Server Betreiber und anhängige Clients sind dann zurückverfolgbar.
Das soweit zur Technik.
Bis es dazu kommt muß schon einiges passieren, Rechtlich ist das alles sehr
komplex und schwierig.
Auf der anderen Seite wird für CS einiges Techniches "Know How" benötigt.
Die Zahl der CS'er scheint noch nicht so hoch zu sein das es sich lohnen
würde den "Normalo CS'er" zu verfolgen.
Das kann sich natürlich sehr schnell ändern...
Daher ist es für die "Normalos", die kein Finanzielles Interesse verfolgen,
besonders wichtig im Internet unsichtbar zu sein und die für die Sicherheit
wichtigen Dinge zu konfigurieren und zu installieren.
Handeln alle dahingehend verantwortungsvoll und halten "den Ball flach"
werden wir bestimmt noch einige Zeit an unserem Hobby Freude haben.
Beste Grüße
mountain