Equinox Posted December 31, 2009 Share Posted December 31, 2009 Hallo zusammen, ich benutze den Webserver des Recording Service jetzt schon längere Zeit, um bei mir im Netzwerk zu streamen oder Aufnahmen zu programmieren. Jetzt wäre es natürlich praktisch, den Webserver auch vom Internet aus zugänglich zu machen. Nur habe ich hier ein paar Bedenken wegen der Sicherheit, weil ich leider nicht wirklich Informationen dazu gefunden habe, welche Technik hinter dem Webserver steckt. Gibt es hier nähere Informationen, wie sicher das Login-System des Webservers ist (ein sicheres Passwort natürlich vorausgesetzt)? Und falls der Webserver nicht wirklich sicher ist: Bestünde die Möglichkeit, ihn durch einen anderen Webserver, z.B. Apache oder lighttpd zu ersetzen? Vielen Dank schonmal für eure Antworten. Link to comment
Lars_MQ Posted December 31, 2009 Share Posted December 31, 2009 Der Recordingservice unterstützt Basic und Digest Access Authentication. Die Browser wählen normalerweise die sichere (Digest) methode, dabei wird das Passwort verschlüsselt an den Server übertragen. Der Webserver ist integraler bestandteil des Service und kann nicht durch andere server ersetzt werden. Link to comment
dbraner Posted December 31, 2009 Share Posted December 31, 2009 Gibt es hier nähere Informationen, wie sicher das Login-System des Webservers ist (ein sicheres Passwort natürlich vorausgesetzt)?Und falls der Webserver nicht wirklich sicher ist: Bestünde die Möglichkeit, ihn durch einen anderen Webserver, z.B. Apache oder lighttpd zu ersetzen? Die gleichen Bedenken hatte ich auch. Hier die Lösung: Einen Apache Webserver auf dem Rechner mit dem Recording Service installieren. Darauf achten, dass die Module https und proxy dabei sind. Den Apache für https/ssl Zugriff konfigurieren. Dann folgende Befehle in die Apache Config Datei eintragen: ProxyPass /rs/ http://localhost/ ProxyPassReverse /rs/ http://localhost/ Diese Befehle gehen davon aus, dass der Webserver des Recordingservice auf Port 80 lläuft. locahost kann auch durch den Hostnamen des Rechners ersetzt werden. Nun passiert folgendes: Wenn Du auf Deinen Rechner per https://rechnername/rs/ zugreifst, werden alle Anfragen, die mit dieser URL beginnen, an den RS-Webserver weitergeleitet. Dabei greift Dein Client nicht auf den RS-Webserver zu. Vielmehr führt der Apache alle Anfragen an den RS-Webserver stellvertretend aus. Es erfolgt keinerlei direkte Kommunikation zwischen einem Webbrowser und dem RS-Webserver. Das hat den Vorteil, dass die Kommunikation zwischen Browser und RS-PC komplett verschlüsselt abläuft. Den gleichen Effekt erreicht man mit einer RewriteRule, z.B. RewriteRule /rs/(.*) http://localhost/$1 [P] Der RS-Webserver läßt sich also zwar nicht ersetzen, aber zumindest so kapseln, dass er nach außen nicht sichtbar ist. Link to comment
Equinox Posted December 31, 2009 Author Share Posted December 31, 2009 Danke dbraner! Genau nach sowas habe ich gesucht! Eine Frage noch: Ich habe bei mir im Netzwerk noch ein Linux NAS hängen, auf dem ich den Apache auch installieren könnte. Wäre es denn auch möglich, die Weiterleitung nicht auf localhost sondern auf die IP des PCs mit dem Recording Service im lokalen Netzwerk zu machen? Link to comment
dbraner Posted January 1, 2010 Share Posted January 1, 2010 (edited) Danke dbraner!Genau nach sowas habe ich gesucht! Eine Frage noch: Ich habe bei mir im Netzwerk noch ein Linux NAS hängen, auf dem ich den Apache auch installieren könnte. Wäre es denn auch möglich, die Weiterleitung nicht auf localhost sondern auf die IP des PCs mit dem Recording Service im lokalen Netzwerk zu machen? Selbstverständlich! Die Kommunikation läuft dann so: Client(Browser) <--> Apache(Linuxserver) <--> Recserv(Windows) In diesem Fall können Apache und RS-Webserver sogar den gleichen Port verwenden. Wenn beides auf einem Rechner läuft müssen die Ports natürlich verschieden sein (aber ist mit https und http sowieso gegeben). Es wird die gleiche Technik eingesetzt, die auch verwendet wird, wenn man einen Apache als Webproxy betreibt. Nur eben mit einer dedizierten Zieladresse. Im Übrigen sind mehrere solche Proxy- oder Rewriteregeln möglich. So kannst Du z.B. alle URLs, die mit /rs/ aufhören an den Recservice schicken, alle mit /xy/ zu einem anderen Server und den Rest lokal vom Apache behandeln lassen. Für mehr Info: http://httpd.apache.org/docs/2.0/mod/mod_proxy.html Edited January 1, 2010 by dbraner Link to comment
Equinox Posted January 1, 2010 Author Share Posted January 1, 2010 Super, vielen Dank für deine Hilfe! Dann mache ich mich jetzt mal daran, auf dem NAS den Apache zu installieren. Link to comment
dbraner Posted January 1, 2010 Share Posted January 1, 2010 Super, vielen Dank für deine Hilfe! Dann mache ich mich jetzt mal daran, auf dem NAS den Apache zu installieren. Als kleine Starthilfe hier mein Eintrag in der httpd.conf <IfModule mod_proxy.c> ProxyRequests Off ProxyPass /rs/ http://localhost:8080/ ProxyPassReverse /rs/ http://localhost:8080/ </IfModule> Bei mir läuft der RS-Webserver auf dem gleichen Rechner wie der Apache mit Port 8080 Der Eintrag ProxyRequests Off ist noch wichtig. Link to comment
qupfer Posted April 13, 2010 Share Posted April 13, 2010 ich löse die Sicherheitsbedenken indem ich den http Server auf localhost lasse und mich mittels SSH-Portweiterleitung mir den Port auf meinen Rechner hole. Aber die Idee mit den Apache ist natürlich sogar noch etwas eleganter, da man nicht auf einen SSH-Clienten angeweisen ist und man sich nicht noch einen Zusätzlichen Login merken muss...werd ich bei gelegenheit testen Link to comment
dbraner Posted April 14, 2010 Share Posted April 14, 2010 ich löse die Sicherheitsbedenken indem ich den http Server auf localhost lasse und mich mittels SSH-Portweiterleitung mir den Port auf meinen Rechner hole. Aber die Idee mit den Apache ist natürlich sogar noch etwas eleganter, da man nicht auf einen SSH-Clienten angeweisen ist und man sich nicht noch einen Zusätzlichen Login merken muss...werd ich bei gelegenheit testen Die Authentifizierung im Recording Service Webserver kann/soll/muss man dann natürlich abschalten und besser den Apache mit einer Authentifizierung konfigurieren. Ist dann ja SSL verschlüsselt. Zertifikat für den Apache kann man sich selbst erstellen mit dem Nachteil eines Warnhinweises beim 1. Zugriff oder man beantragt ein offizielles Zertifikat im Internet (gibt es inzwischen auch kostenlos). Link to comment
joeyjukebox Posted June 11, 2010 Share Posted June 11, 2010 Hi... ich würde auch gerne meinen Server sichern... leider habe ich noch nie Apache installiert - gibts irgendwo eine schritt für schritt Anleitung ?! Danke für Eure Hilfe J-Box Link to comment
mague Posted June 11, 2010 Share Posted June 11, 2010 (edited) Denkfehler Edited June 11, 2010 by mague Link to comment
dbraner Posted June 11, 2010 Share Posted June 11, 2010 (edited) Hi... ich würde auch gerne meinen Server sichern... leider habe ich noch nie Apache installiert - gibts irgendwo eine schritt für schritt Anleitung ?! Danke für Eure Hilfe J-Box Wenn Du auf Windows installieren willst, gibt es ein fertiges Setup Programm. Die Konfiguration danach erfordert aber schon einige Kenntnisse. Da wirst Du Dich einlesen müssen. Vielleicht gibt es ja mal eine https Version des Recording Service Webservers. Oder aber Lars verwendet gleich den Apache und implementiert ein Apache Modul. Schließlich bieten die Apache Module interessante Möglichkeiten. Edited June 11, 2010 by dbraner Link to comment
WarswordAC Posted November 12, 2014 Share Posted November 12, 2014 ich habe nun auch versucht den RecordingService über einen Apache Proxy laufen zu lassen. Die Webseite ist auch ohne weiteres zu erreichen allerdings kann ich keinen Flash Stream starten. Dort bekomme ich immer den Fehler "200, Stream not found" Muss mann für einen Stream noch weitere einstellungen vornehmen? Meine Config soweit: <VirtualHost _default_:12345>DocumentRoot "C:/xampp/htdocs/asdf"ServerName asdf:12345ServerAdmin admin@asdfErrorLog "C:/xampp/apache/logs/error_asdf.log"TransferLog "C:/xampp/apache/logs/access_asdf.log"SSLEngine onSSLCertificateFile "conf/ssl.crt/server.crt"SSLCertificateKeyFile "conf/ssl.key/server.key"BrowserMatch "MSIE [2-5]" \ nokeepalive ssl-unclean-shutdown \ downgrade-1.0 force-response-1.0CustomLog "C:/xampp/apache/logs/ssl_request_asdf.log" \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"ProxyRequests OffProxyPass /rs/ http://localhost:8089/ProxyPassReverse /rs/ http://localhost:8089/</VirtualHost> Link to comment
Recommended Posts