ToDo: Kontrolle

FAQ - Hamster und Sicherheit

Die perfekte Sicherheit vor destruktiver Intelligenz gibt es in Netzwerken nicht. Völlige Sicherheit ist weder mit technischen noch mit konzeptionellen Mitteln auf irgendeinem hinreichend komplexen System zu erreichen. Es ist aber ein mehr oder minder starker Schutz möglich. Bevor man mit der technischen Realisierung eines Schutzkonzeptes beginnt, muss man sich allerdings umfassend über das Thema informieren. Die reine Installation einer sogenannten „Personal Firewall“ bringt keinerlei Zugewinn an Schutz, weil sie suggeriert, dass der Benutzer keinerlei Kenntnisse braucht. Wer nicht versteht, was ein Programm einem mitteilen möchte, braucht dieses nicht. Es ist im Gegenteil so, dass sogenannte „Personal Firewalls“ einem unerfahrenem Anwender mehr Probleme machen als dass sie ihn schützen.

Einen Schutz kann nur ein den jeweiligen Erfordernissen angepasstes Konzept bieten. In diesem Konzept müssen das jeweilige Betriebssystem und alle verwendete Hard- und Software mit einbezogen werden. Zu diesem Konzept gehören auch das Wissen des Betreibers um Gefahren und Risiken des Internets und den sicheren Umgang damit. Eine besondere Beachtung verdienen die lokalen Server des Hamsters. Ein Schutz der lokalen Server ist notwendig, damit fremde User nicht unbefugt über den Hamster Artikel oder News posten und Daten ausspähen können.

Die lokalen Server verwenden in der Standardkonfiguration die TCP-Ports 25 für SMTP, 110 für POP3, 143 für IMAP, 23 für Telnet (ReCo-Server) und 119 für NNTP. Diese Ports sind in der Voreinstellung an das lokale Netzwerkinterface (NIC) mit der IP-Adresse 127.0.0.1 (loopback-Adapter) gebunden. Diese Voreinstellung lässt sich über das Einstellungsmenü jedes lokalen Servers oder in der Datei „hamster.ini“ im Abschnitt „[Setup]“ ändern:

local.nntp.serverbind=127.0.0.1
local.pop3.serverbind=127.0.0.1
local.smtp.serverbind=127.0.0.1
local.imap.serverbind=127.0.0.1
local.reco.serverbind=127.0.0.1

Diese Einstellungen sollten allerdings nur wenn unbedingt nötig geändert werden. Mit der IP-Adresse 0.0.0.0 kann der Hamster an alle NIC des Rechners gebunden werden. Aber Vorsicht: Damit wird eventuell auch ein DoS-Angriff auf den Hamster möglich! Um die lokalen Server zu schützen, weist der Hamster zusäzlich Zugriffe von allen IP-Adressen ab, ausgenommen diejenigen des „localhost“ mit der IP-Adresse 127.0.0.1 und des für private Netze reservierten Bereiches 192.168.0.0 bis 192.168.255.255. Diese Standardkonfiguration kann aufgehoben und manuell konfiguriert werden, indem im Hauptverzeichnis des Hamsters eine Datei mit dem Namen „IPAccess.hst“ erstellt wird. Zum Aufbau und Format dieser lese man den entsprechenden Abschnitt der Hilfe.

Eine zweite Schutzstufe gegen die missbräuchliche Verwendung des Hamster bietet der Passwortschutz der lokalen Server. Auch wenn der Hamster nur auf Einzelplatz-Systemen verwendet wird, sollten Sie diesen Schutz unbedingt aktivieren. Die News- und Mailreader sind in der Regel für die Verwendung des Passwort-Schutzes ausgelegt. Lediglich einige Mailreader beherrschen keine Passwortschutzverfahren für den SMTP-Server. Bei solchen Readern sollte man den Passwortschutz des POP3-Servers für den SMTP-Server mitbenutzen. Dieses Verfahren nennt sich „SMTP after POP3“ und kann im Setup-Menü des lokalen SMTP-Servers eingeschaltet werden.

Die Passwörter der lokalen Server werden in der Standardkonfiguration mit dem „Blowfish“-Algorithmus gegen Diebstahl geschützt. Dieser Schutz sollte, wenn irgend möglich, nicht abgeschaltet werden. Dieses Verfahren bietet keinen völligen Schutz gegen Diebstahl der Passwörter, erschwert aber den Zugriff auf die Passwörter des Hamsters erheblich, wenn die Passwort-Datei übers Internet entwendet wird. Bei der Wahl der Passwörter sollten keine leicht zu erratenden Namen verwendet werden.

Als dritte Schutzstufe sollten die lokalen Server, wenn möglich, vor Beginn einer Online-Session beendet werden. Die lokalen Server lassen sich im Menü „Lokale Server“ ausschalten. Per Skript ist dieses mit den hs2-Befehlen

HamMessage(3, 0)
HamMessage(4, 0)
HamMessage(5, 0)

möglich. Sehen Sie sich folgende Skript-Vorschläge an. Diese Skripte können entweder in die eigenen Skripte integriert werden oder man legt sie im Hamsterskript-Verzeichnis ab und ruft sie dann bei Bedarf aus dem Menü heraus auf.

Verbindungsaufbau:

#!hs2
# Bestehen noch Verbindungen von Clients?
if(HamGetStatus(2, 1) + HamGetStatus(2, 2) + HamGetStatus(2, 3) > 0)
  error("Die Server-Sockets konnten nicht geschlossen werden, weil noch aktive Verbindungen zu Clients bestehen.")
  quit
endif
# Server-Sockets schließen
HamMessage(3, 0)
HamMessage(4, 0)
HamMessage(5, 0)
# Läuft noch ein Server?
if(HamGetStatus(1, 1) + HamGetStatus(1, 2) + HamGetStatus(1, 3) > 0)
  error("Mindestens ein Server-Socket konnte nicht geschlossen werden.")
  quit
endif
# Internetverbindung aufbauen
HamRasDial ("Verbindungsname")
quit

Verbindungsabbau:

#!hs2
# Warten, bis der Hamster fertig ist
HamWaitIdle
#Internetverbindung trennen
HamRasHangup
# Server wieder starten
HamMessage(3, 1)
HamMessage(4, 1)
HamMessage(5, 1)
quit

Anmeldepasswörter für externe Server werden in der Regel ungeschützt im Klartext übertragen. Aus Sicherheitsgründen sollte Providern der Vorzug gegeben werden, die sichere Verbindungen via „SSL“/„TLS“ und/oder bei POP3 wenigstens „APOP“ unterstützen.