RxH81 Posted March 9, 2010 Share Posted March 9, 2010 Hallo, Ich habe alles auf den Recording Service umgestellt, den Webserver aktiviert und alle nötigen Ports am Router auf durchrouten gestellt. Das heißt: Port 80, 3552 und 7522 wird über TCP und UDP direkt an meinen Fernseh PC geroutet. Firewall am Router ist ausgeschaltet Kaspersky Internet Security (mit Firewall) am FernsehPC hab ich nicht extra was einstellen müssen, das mischt sich nicht ein. Jetzt die Frage an die Experten von euch: "Habe ich Sicherheitstechnisch da was zu befürchten, wenn wie könnte ich das Risiko verringern?" Danke, Roland Link to comment
Tjod Posted March 9, 2010 Share Posted March 9, 2010 Also wenn du am Router Ports Richtung Internet aufmachst ist immer vorsieht angebracht. Grade auf den Standard Ports wie 80 suchen einige nach verwundbaren Systemen. Auch wenn ich nicht davon ausgehen das sich der Passwort Schutz leicht umgehen lässt wenn Benutzername und Passwort gut gewählt sind gibt es keinerlei Schutzmechanismen gegen Brute-Force Angriffe. http://de.wikipedia.org/wiki/Brute-Force-Methode Und wirklich auf Sicherheit ist der Recording Service auch nicht getestet. Außerdem werden die Zugangsdaten unverschlüsselt übertragen wenn du dich einloggst, da SSL nicht unterstützt wird. http://www.DVBViewer.info/forum/index.php?...st&p=286261 Ich logge mich per VPN auf meinem Router ein und habe sonst keinerlei Ports geöffnet. Link to comment
Lars_MQ Posted March 9, 2010 Share Posted March 9, 2010 Außerdem werden die Zugangsdaten unverschlüsselt übertragen wenn du dich einloggst, da SSL nicht unterstützt wird. Das ist nicht korrekt. Die zugangsdaten werden nach RFC2617 mit digest authentication übertragen, sofern der browser das unterstützt. Die datenübertragung an sich ist nicht verschlüsselt (standard http protokoll). SSL ist eine verschlüsselung der gesamten datenübertragung und hat erstmal nichts mit der authenfikation zu tun... Liesse sich theoretisch recht einfach einbauen. Aber dazu muss mich erstmal jemand überzeugen, das EPG-Daten/timerprogrammierung so schützenswert sind, das man einen aufwendigen overhead darumbauen muss. Link to comment
Tjod Posted March 9, 2010 Share Posted March 9, 2010 OK RFC2617 hatte ich mich noch nicht wirklich beschäftigt. Du hast das zwar schon mal erwähne aber das hatte ich grade nicht mehr im Kopf. Damit ist die Übertragung der Login Daten Verschlüsselt. Bei RFC 2617 sind zwar Man-in-the-middle-Angriff leichter möglich. Aber dafür muss man sich da nicht mit Zertifikaten herumschlage. SSL würde aus meiner Sicht dann dann höchstens noch beim ändern der Passwörter in den Optionen Sinn machen. Aber dass muss man ja nicht grade machen wenn man unterwegs ist. Wegen den möglichen Brute-Force Angriffen, gibt es da eine Begrenzung der Versuche pro Minute? Wäre es da vielleicht möglich zu sagen nach dem ersten und zweiten Falschen versuch wird jeweils erst nach 5 Sek. wieder ein Versuch zugelassen und ab dem dritten Versuch muss man für jeden weiteren 60 Sek. warten. Versuche in der Sperrzeit werden einfach als Falsch angesehen (aber setzen den Timer nicht zurück). Wie lange man ab dem öffnen des Passwort Dialoges noch warten muss könnte man ja mit in die Nachricht schreiben wo ur Zeit nur "DVBViewer" steht. Das würde Brute-Force Angriffen deutlich erschwerten, da man keinen Fertigen Script nehmen kann (da die ja auch in den Sperrzeiten Passwörter Senden würden) und mit mit dann mehr oder weniger einem Versuch pro Minute dauert es auch etwas einfachere Passwörter zu finden. Aber ich weiß nicht wie kompliziert es ist so was einzubauen. Link to comment
c-o-m-m-a-n-d-e-r Posted March 9, 2010 Share Posted March 9, 2010 Wenn man wirklich Paranoia schiebt könnte man das Netz trennen...in normales Home Lan und TV Lan... Link to comment
Lars_MQ Posted March 9, 2010 Share Posted March 9, 2010 Ich denke man muss das ganze wirklich relativieren. Es gibt mehrere faktoren zu bedenken: 1. UPnP, die DVBViewer Streaming funktionen haben NICHTS im internet zu suchen. Diese ports sind grundsätzlich zu sperren bzw. gar nicht erst ins internet freizugeben. 2. Welches bedrohungssenario seht ihr? Jemand knackt per brute force den zugang zum webserver und dann? Sämtliche "offensichtliche" zugriffe direkt auf das filesystem (ausser dem lesenden zugriff auf den webroot ordner mit den templates) sind vom server her schon ausgeschlossen. SQL injection ist ebenso sinnlos, da das nirgendwo direkt möglich wäre (und selbst wenn es möglich wäre, lässt sich eine zerwürfelte recordings db innerhalb von minuten wieder neu aufbauen). Man braucht also einen exploit speziell auf diesen typ von server zugeschnitten. Ich schliesse nicht aus, das sowas möglich ist, aber delphi macht durch seine andersartige interne struktur das ganze schwieriger als bei c(++) programmen. Die Anzahl der Installationen des recording service liegt mit sicherheit in einem bereich, der nicht mal 5 stellig ist (wenn man sich die downloads anschaut). Also wer würde speziell dafür sich hinsetzen und mühsam einen exploit erarbeiten? Und was würde er dadurch erreichen? Sinnvolle Vorsicht ist immer gut, paranoia eine krankheit... Link to comment
Tjod Posted March 10, 2010 Share Posted March 10, 2010 2. Welches bedrohungssenario seht ihr? Das jemand der bei einem Portscan einen Anmelde Dialog findet, darauf einen Wörterbuch Attacke los lässt halte ich für nicht so unwahrscheinlich. Zumindest Portscans gibt es in den logs von meinem Router immer wenn ich die aktiviere. Sämtliche "offensichtliche" zugriffe direkt auf das filesystem (ausser dem lesenden zugriff auf den webroot ordner mit den templates) sind vom server her schon ausgeschlossen. das stimmt nicht ganz man kann alle aufnahmen Löschen SQL injection ist ebenso sinnlos, da das nirgendwo direkt möglich wäre (und selbst wenn es möglich wäre, lässt sich eine zerwürfelte recordings db innerhalb von minuten wieder neu aufbauen). wenn SQL injection möglich wären, wäre es wahrscheinlich interessanter da andere Dateien hinzu zu fügen. Da man mit den Dateien in der Datenbank schon mehr machen kann. Klar sorgt die niedrige Verbreitungs-Rate dafür das gezielte Angriffe unwahrscheinlich sind. Als realistische Szenario bleibt also ein Skriptkiddie dass es schlaft aufs Webinterface zu gelangen (falls jemand einen einfachen Benutzernamen wie Admin oder einen Echten Namen gewählt hat und ein Passwort mit nur sechs Zeichen) und da aus Frust das es nichts interessantes gibt alle Aufnahmen löscht (sicher auch noch andere Sachen ändert aber der Rest lässt sich leicht beheben). Aber für mich ist das nicht wirklich wichtig, da ich (auch für andere Sachen) schon länger, mein VPN eingerichtet habe. Link to comment
RxH81 Posted March 11, 2010 Author Share Posted March 11, 2010 Ahaaa, das heißt das schlimmste was mir passieren kann ist, dass mir einer die Aufnahmen löscht, auch wenn ich gar kein Passwort verwende??? Das Risiko kann ich eingehen :-) Befürchtete eher, dass vielleicht jemand mir nen Virus oder Trojaner einschleusen könnte oder Werbefenster oä.! Danke! Link to comment
Recommended Posts