CS und welchen VPN-Aufbau

[der-wolf3]

Hi Leute,

zur Zeit mache ich mir Gedanken über den Aufbau eines CS-Netzes mit Freunden.
Das Thema Sicherheit steht dabei an erster Stelle.

Mein Plan ist nun das ganze mit einem privaten VPN zu sichern. Jetzt ist die Frage wie das am besten aussieht.
Ein Igel Server ist bereits bestellt, allerdings bin ich mir nicht so sicher, ob dadrauf ein VPN überhaupt sinn macht, da ich ja trotzdem ne Portweiterleitung zum Cardserver (der dann gleichzeitig der VPN-Server wäre) besteht. Oder wäre es hier klüger den VPN-Server auf einer Fritzbox zu betreiben - an dem dann auch der Router fürs Heimnetz hängt.
Allerdings wäre hier meine Frage wie viele Tunnel hierbei aufgebaut werden können, ohne dass die Box (gehen wir mal vom Topmodell 7390 aus) an ihre grenzen stößt, wenn der Datentransfer verschlüsselt wird. Mit dem Prozessor einer Fritzbox kenne ich mich leider nicht aus. Über den C7 des Igels habe ich gelesen, dass er dank der Padlock-Engine in der Lage ist hardwareseitig zumindest via AES zu verschlüsseln.

Bei der Variante mit der Fritzbox bin ich mir jetzt allerdings nicht so sicher, ob alle Share-Partner dafür nicht auch noch ne Fritzbox bräuchten. Außer vielleicht wenn ich ein Freetz-Image aufspiele und die Box quasi zu nem ersten Server mache.

Mein Ziel ist es, dass sich später jeder Client mit seinem E2-Reseiver über OpenVPN zum Server verbinden kann.

Anleitungen wie was genau funktioniert gibts im Inet ja zuhauf, hier geht es erstmal um konzeptionelle Fragestellungen (Sprich: soll ich mir nun ne Fritte anschaffen, oder nicht)

Es steht zwar momentan noch kein Server, aber diese Woche wird er aufgebaut und erstmal getestet (reiner Cardserver ist erstmal kein Problem), die nächste Stufe wird dann das VPN sein und der letzte Schritt eine Verschlüsselung des Cardservers.

Vielen Dank erstmal.

lg
der-wolf3

 

[Veroxx]

AW: CS und welchen VPN-Aufbau

VPN brauchst du nicht! Wenn du nur mit deinem Kumpel sharest, es nicht an die große Glocke hängst und dich an die Sicherheitsregel im Board hälst wirst du zu 99,9% nie Probleme bekommen!!

 

[aragorn]

AW: CS und welchen VPN-Aufbau

genau - man kann es auch übertreiben... VPN brauchst du für CS eigentlich nicht wirklich... die cardsharing protokolle sind bereits verschlüsselt


eine verschlüsselung des igels ist ebenfals übertrieben und sorgt nur dafür das die compact flash nicht lange überleben würde..
dazu hab ich mich auch schon hier ausführlicher drüber ausgelassen:
Talk Debian - IPC - CF Karte - Seite 3
Talk Debian - IPC - CF Karte - Seite 3
Talk Debian - IPC - CF Karte - Seite 5

 

[vdrschlucke]

AW: CS und welchen VPN-Aufbau

hmm, hier geht es nicht um das verschlüsseln der cf-karte des igels.

Ich betreibe ebenfalls einen igel als "cs-server". neben oscam läuft halt noch ein openvpn server drauf. Das läuft wunderbar. portweiterleitung am router auf den igel. performance ist auch absolut kein problem. die cs-daten sind ja minimal. Das Problem dabei ist halt, dass du auf den Clientboxen auch einen OpenVPN Client ans laufen bringen musst. Die Version mit einem extra Gerät (z.b. die vorgeschlagene fritzbox) finde ich nicht so gut, weil dann die verbindung permanent besteht. Ein Vorteil des VPN ist sicherlich, dass eine zusätzliche Verschlüsselungsschicht dazu kommt und man auch auf die Clientboxen zugreifen kann. Ich habe es bei mir so konfiguriert, dass cs-server und clientboxen in einem netzwerk sind, welches dann aber mehr oder weniger vom rest der lokalen netze getrennt ist. außerdem kann man in openvpn noch einstellen, dass die clients nur den server sehen und nicht untereinander kommunizieren können.

Der Nachteil einer zusätzlichen Fehlerquelle durch die erhöhte Komplexität ist allerdings nicht zu vernachlässigen. Was auch etwas blöd ist, dass halt nicht für jeden receiver ein openvpn-paket verfügbar ist und wenn man sich nicht gerade gut mit crosscompiling auskennt, bekommt man das selber nicht so schnell kompiliert (habe ich selber erfahren) Das schränkt also die Auswahl an Receivern ein oder man haut halt überall noch ne fritzbox oder nen igel davor, der dann openvpn macht. Ist aber auch wieder eine neue Fehlerquelle...

Ich hab damals mit Openvpn angefangen, weil meine Kollegen alle VDRs (im prinzip ein x86-pc als Sat-Receiver auf linux-Basis) hatten. Da war openvpn natürlich kein Problem. Als dann die ersten anderen kollegen auch zugang wollten, wurde es schon schwieriger. Nen Ariva 102e kann man da z.b. nicht nehmen. Von mir erprobt und für gut befunden sind jedenfalls die dbox2 und die STI7111 (Pingu. gm990, etc.) Receiver, für die ein paar fleißige Leute openvpn pakete für E² und Spark gebastelt haben.

so was soll dir das jetzt sagen?! zwei dinge. ersten es ist prinzipiell möglich, aber deutlich mehr aufwand und zweitens man braucht es nicht unbedingt. Wenn es nur um Sicherheit geht, wird wohl die Verschlüsselung der Protokolle in Verbindung mit sicheren Configs (Passwörter, Passwortlänge, etc - aber zum thema cs und sicherheit gibt es hier genug threads) und einer gewissen Portion Verschwiegenheit und gesundem Menschenverstand ausreichen.

Das schöne ist jetzt du kannst selber entscheiden, was du machen willst

 

[aragorn]

AW: CS und welchen VPN-Aufbau

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

so wie ich seinen letzten satz verstehe, schon:

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

wenn du folgende sachen beachtest kannst du auf VPN auch verzichten:

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

/edit: @DEB MODs: hört bitte auf die wiki links zu entfernen! ich hab von oberster stelle die erlaubnis dazu!
..eure regelungen wurden allgemein angepasst, die oscam wiki links werden hier ja auch geduldet usw!
es nervt langsam das jede woche ein anderer mod daher kommt und die links entfernt! ..wer weiss welche posts ihr sonst noch so bearbeitet und die links entfernt habt! also bitte rückgängig machen und die links wieder so wie sie waren einfügen!

 

[der-wolf3]

AW: CS und welchen VPN-Aufbau

Also vielen Dank erstmal für eure ausführlichen Antworten.

Zunächst mal @Aragorn. Du hast das schon richtig verstanden, ich würde gerne die CF-Karte verschlüsseln. Und mir ist natürlich klar, dass das auch auf die Lebensdauer der Karte geht, aber ich habe mir beim amerikanischen Riesen mit belgischen Europasitz für 20 Ocken ne 16 GB CF-Karte bestellt, die - sollte sie erkannt werden - das zumindest ein Jahr lang mitmachen sollte. Außerdem wollte ich OScam selber auf ne RAMDisk auslagern. Und selbst wenn ich mir jedes Jahr für 20€ so ne Karte besorgen muss, ist mir das ehrlich gesagt egal.

@vdrschlucke:
Ok, ich denke ich werde es dann auch so realisieren, indem ich den OVNP-Server auf den Cardserver stecke. Meine Angst dabei war halt nur, dass, da ja schon eine Portweiterleitung zum Server besteht dieser eben auch ohne VPN erreichbar ist.
Und das mit den Receivern ist meiner Meinung auch kein Thema, wer da mitmachen will, der soll sich auch ne ordentliche Box anschaffen. Ich weiß: daran scheiden sich die Geister, aber eine E2-Box sollte schon drin sein. Es muss ja nicht unbedingt ne Dreambox sein, meine Empfehlung wäre da ne VU+, welche ist mir dabei natürlich egal. Und wenn es unbedingt ganz billig sein muss, kann es von mir aus auch ne DM Clone sein...
Und da meines Wissens es für alle E2-Boxen ein OVPN-Plugin gibt, ist das kein Problem, denke ich.

Nur noch kurz, wieso ich wirklich unbedingt VPN möchte:
Ich habe vor einiger Zeit irgendwo gelesen, dass man durch Überwachung des Datenverkehrs eben an den entsprechenden Zeiten, zu denen die Anfragen kommen, einen Cardserver erkennen kann. Zwar sind diese verschlüsselt und ein VPN kann diesen Umstand nicht wirklich ändern, aber immerhin ist das ganze nochmal verschlüsselt, was mich zum nächsten Punkt bringt. Ich habe OScam nicht entwickelt und wir reden hierbei auch nicht über ein Textverarbeitungsprogramm. Langer Rede kurzer Sinn: irgendwo vertraue ich auch den Entwicklern nicht.

Nächster Punkt: Irgendwann gabs mal Listen mit Cardserver-DNS-Adressen. Irgendwoher müssen diese Adressen ja gekommen sein. Und wenn da irgend ein Bot IP's abklappert und fragt: "Bist du ein Cam?" und da kommt zurück: "CCcam!!!"...
Ich weiß zwar jetzt nichts näheres über diese Listen, also o das jetzt Payserver oder was auch immer waren, aber man kann ja nie wissen.

Vielen Dank für eure regen Beiträge!

lg
der-wolf3


Edit: @aragorn: danke für den Link. hab mir schon gedacht, dass das der eintrag ist. den hab ich schon gelesen. das werde ich selbstverständlich beachten!

 

[martin_1]

AW: CS und welchen VPN-Aufbau

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Bei einem VPN ist doch überhaupt gar nichts einsehbar, eine Antwort á la "Ich bin CCcam" hätte sich damit also erledigt.

 

[der-wolf3]

AW: CS und welchen VPN-Aufbau

@martin: genau deswegen will ich ja ein vpn-netz aufbauen.

 

[martin_1]

AW: CS und welchen VPN-Aufbau

Ich frage nur, weil du sagst "Ein VPN kann diesen Umstand nicht wirklich ändern"

 

[der-wolf3]

AW: CS und welchen VPN-Aufbau

ach so, ne. sry, da hab ich mich missverständlich ausgedrückt. damit meinte ich den umstand, dass man anhand der zeitintervalle, zu denen pakete gesendet werden nen cardserver erkenenn kann. ein vpn könnte das höchstens ein wenig verschleiern, da ja noch schlüssel ausgetauscht werden, aber sonst...

 

[martin_1]

AW: CS und welchen VPN-Aufbau

Achso, ok.

Aber gut, ich meine, was wäre denn zu sehen? Es ist zu erkennen, dass ein VPN alle paar Sekunden aufgebaut wird. Das könnte ALLES bedeuten. Da einen Rückschluss auf CS zu ziehen setzt schon viel Phantasie voraus...

 

[aragorn]

AW: CS und welchen VPN-Aufbau

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

was hat denn die bestellung einer 16GB karte für 20eu damit zu tun ob die lange leben würde?
und wieso überhaupt 16GB?? was willst du da denn alles drauf paken?

ich glaub du hast nicht wirklich verstanden wo das problem liegt..

compact flash karten sind nicht dafür ausgelegt als datenschleuder zu fungieren.. vorallem nicht im einsatzbereich von linux und dann auch noch in kombination mit einer dateisystem-verschlüsselung! den datenträger zu verschlüsseln tut
1) das laufwerk ausbremsen, jenachdem wie "stark" die verschlüsselung ist
2) benötigt mehr cpu+ram
3) verkürzt extrem die lebensdauer von datenträgern die auf Flash speicherchips basieren..

das hab ich aber in besagten posts die ich oben verlinkt habe bereits ausführlich beschrieben und auch was man wenns denn unbedingt sein muss, maximal machen sollte und auch wie usw - das möchte ich hier jetzt nicht noch mal wiederkauen


und bezüglich VPN hast du glaub ich auch noch nicht verstanden was das eigentlich ist oder bewirkt usw

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

WENN du vpn einrichtest dann brauchst du auschlieslich eine portweiterleitung für VPN, damit sich VPN-Clients zum VPN-Server verbinden können.. alles andere läuft dann über das Virtuelle-Private-Netzwerk.. wenn der VPN-Server ausserhalb deines LANs stünde, bräuchtest du nichtmals irgendeine portweiterleitung aber dann baust du dir eine unkontrollierbare fehlerquelle mehr ein..

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

ich glaube das was du gelesen hast war einer meiner aussagen..
da vergisst du aber etwas: cardsharing ist bereits verschlüsselt also "was" übertragen wird, sieht man nicht..

aber: man sieht auch bei VPN, dass sich die IP 1.2.3.4 zur IP 5.6.7.8 verbindet - das ist so als würdest du ein rohr zwischen zwei (oder mehreren) punkten verlegen, das rohr sieht man aber nicht was durch das rohr fliest (wegen der verschlüsselung) - an dieser tatsache kann auch kein 512bit VPN etwas ändern..
ebenfalls muss man beachten das der fluss auch bei VPN überwacht werden kann - was du dir so vorstellen kannst als sei das rohr dehnbar und bei jeder key anfrage beuelt das rohr sich aus.. man sieht also nicht WAS übertragen wird aber DAS etwas übertragen wird und bei CS eben in regelmässige intervallen (5 bis 7 sekunden)

also WENN es jemand auf dich abgesehen hat, dann findet er selbst bei VPN mittel und wege die genauso als wenn du kein VPN nutzen würdest, andeutungen darauf geben könnten was du machst und dann ist es nur eine frage der Zeit (abwarten) bis du einen fehler machst und aus ein Indiez ein Beweis wird...

deshalb: damit garnicht erst jemand auf dich aufmerksam wird, musst du gewisse grundregeln beachten und dazu gehört eben unteranderem nicht damit zu prahlen usw

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

OScam ist im gegensatz zu allen anderen emus/cams OpenSource - dh du kannst den code angucken und kontrollieren ob irgendwas "nach hause telefoniert" und nicht zuletzt kannst auch du dein netzwerk/traffic überwachen ob da irgendwas seltsames abläuft oder irgendwas irgendwohin verschickt wird was aber nicht sein dürfte usw (zb mit wireshark)

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

wenn du dich an besagte sicherheitsregeln hällst kannst du auch nicht auf solchen listen landen..

das hat im prinzip simple hintergründe:
es gibt leider CS'ler die alle ports sinnlos weiterleiten, oder sogar manche die CS mit einem internet server betreiben und dort ebenfals nichts absichern.. es gibt leider auch viele die ihr EMU/Cam WebInterface's nicht absichern usw und nochdazu mit der halben menschheit sharen.. solche leute landen dann eben auf solchen listen - man kann danach sogar googlen und findet gleich ein paar....

aber nicht nur CS-Server die unsicher sind landen auf solchen listen, sondern auch deren clients mit ihren dyndns's und deshalb ist es eben auch wichtig das man seine clients überprüft ob die sicher sind usw
Es kann nämlich auch sein das Du super sicher bist aber einer deiner Clients hat ein sicherheitsproblem und von dem wird dann deine C-line ausgelesen und landet auf so einer liste...

man muss auch beachten das es heutzutage mehr als normal is das botnetze ganze subnetze ( 1.2.x.x ) nach potenziellen rechnern abscannen um diese zu infiltrieren usw, nicht nur im bezug auf trojaner oder würmer usw sondern auch uim bezug auf cardsharing - denn viele richten das einmal ein und vergessen es dann.. somit kann sich bei unsicherer einrichtung ein fremder einen eigenen zugang einrichten und postet sowas dann in irgendwelchen foren von wegen "free cardsharing" oder sowas und schon hat man fremde clients drauf die deine karte nutzen..

deshalb ist wirklich das A und O sich an die sicherheits geschichten zu halten und nichts einfach blind einzurichten

 

[beasti]

AW: CS und welchen VPN-Aufbau

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

SSD mit Over-Provisioning sind davon nicht betroffen, bzw. nur gering.
Zum Thema Performance, sowohl dm-crypt und LUKS unterstützen mittlerweile die TRIM Funktion.

Die zusätzlich benötigte Leistung für eine Verschlüsselung ist in diesen Anwendungsfall wohl zu vernachlässigen.

Zurück zum Thema:
Die CF-Karte, besser ein zu erstellender Container darauf, kann verschlüsselt werden um darauf z.B. die oscam.server, oscam.user zu legen.
Als Speicher für das OS sollte man sie nur verwenden, wenn man das System so konfiguriert, dass es auf unnötige Schreibvorgänge verzichtet.

Klar sind CF-Karten keine Datenschleudern, aber sie sterben auch nicht vom anschauen.

Mach es einfach, richtig konfiguriert läuft es.
Wir haben über 600 auf CF-Karten basierende ThinClients im Einsatz. Vom Linux Internet Terminal bis zum Arbeitsplatz mit lokalen Excel und Windows Embedded Standard 7.
Es geht vieles, wenn man es richtig macht.

 

[aragorn]

AW: CS und welchen VPN-Aufbau

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

das hat aber nichts mit Compact Flash karten zu tun..

davon abgesehen hat jede SSD "Over-Provisioning".. damit die lebensdauer aber nicht negativ beeinträchtigt wird muss diese Spare-Area für verschlüsselung vergrössert werden.. dennoch wird die lebensdauer dadurch negativ beeinflusst ..
aber wie gesagt ist das hier offtopic (und aus meiner sicht für ein solches vorhaben absolut nicht notwenig)

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

das kommt wie bereits gesagt auf die stärke der verschlüsselung an und auch auf die "art" der verschlüsselung..
da es sich aber bei den eingesetzten thinclients nicht um irgendwelche high-end rechner handelt, protzen die nicht gerade vor leistung und gerade auf das thema CompactFlash bezogen bremst es die cf empfindlich aus (zB nicht mehr 10mb/s schreiben sondern nurnoch 4mb/s)

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

das hab ich auch in den besagten links (post#3) geraten und auch beschrieben wie man sowas installiert usw..

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

es gibt hier leider einige user die denken sie können debian 5x neu installieren und wundern sich anschliesend wieso die cf nach 6 monaten kaputt ist..
wie sowas richtig konfiguiert wird wissen hier auch leider die wenigsten - die meisten wollen einfach nur CS einrichten aber nicht erst IT studieren

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

genau - wenn man es richtig macht - und genau das versuchen wir hier detailierter zu beschreiben, damit es richtig gemacht wird und derjenige auch länger davon etwas hat - aber gleichzeitig (zumindest lege ich darauf wert) versteht wieso er das so und so machen soll..
"wie" sowas richtig geht beschreibst du ja leider auch nicht

 

[der-wolf3]

AW: CS und welchen VPN-Aufbau

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

ok, du hast recht. das mit der verschlüsselung lasse ich erstmal. und wenn dann werde ich es so machen, wie von dir beschrieben.

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

sry, ich glaube wir haben hier etwas aneinander vorbei geredet. wenn ich den vpn-server ja gleich auf dem cardserver betreibe, der ja einen igel darstellt, dann brauche ich ja trotzdem eine portweiterleitung für die vpn-anfrage der clients. sonst wird deren anfrage ja nicht weitergeleitet. danach funktioniert das über lie lokalen adressen und man braucht keine portweiterleitungen, das ist klar.
nur wenn ich erstmal diese portweiterleitung zum vpn-server gemacht habe, hat man ja die weiterleitung auf den server, oder nicht? somit hat eben jeder zugang zum server wg der portweiterleitung...

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

genau das meinte ich ja in post 10. die zeitintervalle für die anfragen bleiben ja trotz vpn-tunnel gleich.
aber was meinste jetzt mit fehler machen? verplappern? weil wenn man sich ja an die sicherheitsmaßnahmen gehalten hat, dann dürfte ja hoffentlich keiner zugang haben. und das vpn hätte ich gerne eben, dass man eben nur über portweiterleitungen via vpn zugang zum cs-server hat, deswegen mein gedanke mit der fritzbox als vpn-server.


zu der sache mit den listen: danke, sehr interessant. und ich denke nicht, dass einer meiner kumpels nen ddns hat. selbst wenn, ich denke nicht, dass sie meine karte resharen würden, sie kennen sich mit der materie auch nicht wirklich aus. und sollte ich merken, dass bei einem doch weiter geshared wird, isser weg.

lg
der-wolf3