Jump to content

Wie sicher ist der Webserver des Recording Service?

Equinox

By Equinox
in DVBViewer Recording Service 1.x

Recommended Posts

Equinox Newbie

Equinox

Posted
Posted

Hallo zusammen,

ich benutze den Webserver des Recording Service jetzt schon längere Zeit, um bei mir im Netzwerk zu streamen oder Aufnahmen zu programmieren. Jetzt wäre es natürlich praktisch, den Webserver auch vom Internet aus zugänglich zu machen. Nur habe ich hier ein paar Bedenken wegen der Sicherheit, weil ich leider nicht wirklich Informationen dazu gefunden habe, welche Technik hinter dem Webserver steckt.

 

Gibt es hier nähere Informationen, wie sicher das Login-System des Webservers ist (ein sicheres Passwort natürlich vorausgesetzt)?

Und falls der Webserver nicht wirklich sicher ist: Bestünde die Möglichkeit, ihn durch einen anderen Webserver, z.B. Apache oder lighttpd zu ersetzen?

 

Vielen Dank schonmal für eure Antworten.

Link to comment
dbraner Newbie

dbraner

Posted
Posted
Gibt es hier nähere Informationen, wie sicher das Login-System des Webservers ist (ein sicheres Passwort natürlich vorausgesetzt)?

Und falls der Webserver nicht wirklich sicher ist: Bestünde die Möglichkeit, ihn durch einen anderen Webserver, z.B. Apache oder lighttpd zu ersetzen?

 

Die gleichen Bedenken hatte ich auch. Hier die Lösung:

 

Einen Apache Webserver auf dem Rechner mit dem Recording Service installieren. Darauf achten, dass die Module https und proxy dabei sind. Den Apache für https/ssl Zugriff konfigurieren. Dann folgende Befehle in die Apache Config Datei eintragen:

 

ProxyPass /rs/ http://localhost/

ProxyPassReverse /rs/ http://localhost/

 

Diese Befehle gehen davon aus, dass der Webserver des Recordingservice auf Port 80 lläuft. locahost kann auch durch den Hostnamen des Rechners ersetzt werden.

 

Nun passiert folgendes: Wenn Du auf Deinen Rechner per https://rechnername/rs/ zugreifst, werden alle Anfragen, die mit dieser URL beginnen, an den RS-Webserver weitergeleitet. Dabei greift Dein Client nicht auf den RS-Webserver zu. Vielmehr führt der Apache alle Anfragen an den RS-Webserver stellvertretend aus. Es erfolgt keinerlei direkte Kommunikation zwischen einem Webbrowser und dem RS-Webserver.

 

Das hat den Vorteil, dass die Kommunikation zwischen Browser und RS-PC komplett verschlüsselt abläuft.

 

Den gleichen Effekt erreicht man mit einer RewriteRule, z.B.

 

RewriteRule /rs/(.*) http://localhost/$1 [P]

 

Der RS-Webserver läßt sich also zwar nicht ersetzen, aber zumindest so kapseln, dass er nach außen nicht sichtbar ist.

Link to comment
Equinox Newbie

Equinox

Posted
  • Author
Posted

Danke dbraner!

Genau nach sowas habe ich gesucht!

 

Eine Frage noch: Ich habe bei mir im Netzwerk noch ein Linux NAS hängen, auf dem ich den Apache auch installieren könnte. Wäre es denn auch möglich, die Weiterleitung nicht auf localhost sondern auf die IP des PCs mit dem Recording Service im lokalen Netzwerk zu machen?

Link to comment
dbraner Newbie

dbraner

Posted
Posted (edited)
Danke dbraner!

Genau nach sowas habe ich gesucht!

 

Eine Frage noch: Ich habe bei mir im Netzwerk noch ein Linux NAS hängen, auf dem ich den Apache auch installieren könnte. Wäre es denn auch möglich, die Weiterleitung nicht auf localhost sondern auf die IP des PCs mit dem Recording Service im lokalen Netzwerk zu machen?

 

Selbstverständlich! Die Kommunikation läuft dann so:

 

Client(Browser) <--> Apache(Linuxserver) <--> Recserv(Windows)

 

In diesem Fall können Apache und RS-Webserver sogar den gleichen Port verwenden. Wenn beides auf einem Rechner läuft müssen die Ports natürlich verschieden sein (aber ist mit https und http sowieso gegeben).

 

Es wird die gleiche Technik eingesetzt, die auch verwendet wird, wenn man einen Apache als Webproxy betreibt. Nur eben mit einer dedizierten Zieladresse. Im Übrigen sind mehrere solche Proxy- oder Rewriteregeln möglich. So kannst Du z.B. alle URLs, die mit /rs/ aufhören an den Recservice schicken, alle mit /xy/ zu einem anderen Server und den Rest lokal vom Apache behandeln lassen.

 

Für mehr Info:

 

http://httpd.apache.org/docs/2.0/mod/mod_proxy.html

Edited by dbraner
Link to comment
dbraner Newbie

dbraner

Posted
Posted
Super, vielen Dank für deine Hilfe!

 

Dann mache ich mich jetzt mal daran, auf dem NAS den Apache zu installieren.

 

Als kleine Starthilfe hier mein Eintrag in der httpd.conf

 

<IfModule mod_proxy.c>
ProxyRequests Off
ProxyPass /rs/ http://localhost:8080/
ProxyPassReverse /rs/ http://localhost:8080/
</IfModule>

 

Bei mir läuft der RS-Webserver auf dem gleichen Rechner wie der Apache mit Port 8080

Der Eintrag ProxyRequests Off ist noch wichtig.

Link to comment
  • 3 months later...
qupfer Newbie

qupfer

Posted
Posted

ich löse die Sicherheitsbedenken indem ich den http Server auf localhost lasse und mich mittels SSH-Portweiterleitung mir den Port auf meinen Rechner hole. Aber die Idee mit den Apache ist natürlich sogar noch etwas eleganter, da man nicht auf einen SSH-Clienten angeweisen ist und man sich nicht noch einen Zusätzlichen Login merken muss...werd ich bei gelegenheit testen

Link to comment
dbraner Newbie

dbraner

Posted
Posted
ich löse die Sicherheitsbedenken indem ich den http Server auf localhost lasse und mich mittels SSH-Portweiterleitung mir den Port auf meinen Rechner hole. Aber die Idee mit den Apache ist natürlich sogar noch etwas eleganter, da man nicht auf einen SSH-Clienten angeweisen ist und man sich nicht noch einen Zusätzlichen Login merken muss...werd ich bei gelegenheit testen

 

Die Authentifizierung im Recording Service Webserver kann/soll/muss man dann natürlich abschalten und besser den Apache mit einer Authentifizierung konfigurieren. Ist dann ja SSL verschlüsselt.

 

Zertifikat für den Apache kann man sich selbst erstellen mit dem Nachteil eines Warnhinweises beim 1. Zugriff oder man beantragt ein offizielles Zertifikat im Internet (gibt es inzwischen auch kostenlos).

Link to comment
  • 1 month later...
joeyjukebox Newbie

joeyjukebox

Posted
Posted

Hi... ich würde auch gerne meinen Server sichern... leider habe ich noch nie Apache installiert - gibts irgendwo eine schritt für schritt Anleitung ?!

 

Danke für Eure Hilfe

 

J-Box

Link to comment
dbraner Newbie

dbraner

Posted
Posted (edited)

Hi... ich würde auch gerne meinen Server sichern... leider habe ich noch nie Apache installiert - gibts irgendwo eine schritt für schritt Anleitung ?!

 

Danke für Eure Hilfe

 

J-Box

 

Wenn Du auf Windows installieren willst, gibt es ein fertiges Setup Programm. Die Konfiguration danach erfordert aber schon einige Kenntnisse. Da wirst Du Dich einlesen müssen. Vielleicht gibt es ja mal eine https Version des Recording Service Webservers. Oder aber Lars verwendet gleich den Apache und implementiert ein Apache Modul. Schließlich bieten die Apache Module interessante Möglichkeiten.

Edited by dbraner
Link to comment
  • 4 years later...
WarswordAC Newbie

WarswordAC

Posted
Posted

ich habe nun auch versucht den RecordingService über einen Apache Proxy laufen zu lassen. Die Webseite ist auch ohne weiteres zu erreichen allerdings kann ich keinen Flash Stream starten. Dort bekomme ich immer den Fehler "200, Stream not found"

 

Muss mann für einen Stream noch weitere einstellungen vornehmen?

 

Meine Config soweit:

 

<VirtualHost _default_:12345>
DocumentRoot "C:/xampp/htdocs/asdf"
ServerName asdf:12345
ServerAdmin admin@asdf
ErrorLog "C:/xampp/apache/logs/error_asdf.log"
TransferLog "C:/xampp/apache/logs/access_asdf.log"
SSLEngine on
SSLCertificateFile "conf/ssl.crt/server.crt"
SSLCertificateKeyFile "conf/ssl.key/server.key"
BrowserMatch "MSIE [2-5]" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
CustomLog "C:/xampp/apache/logs/ssl_request_asdf.log" \
"%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
ProxyRequests Off
ProxyPass /rs/ http://localhost:8089/
ProxyPassReverse /rs/ http://localhost:8089/
</VirtualHost>

Link to comment
Go to topic listing
×
×
  • Create New...