Sicherheit Teamspeak auf Teamspeak Laptop

Wikinger85

Newbie
Dabei seit
Sep. 2014
Beiträge
5
Hallo Community,

hätte hier mal eine Frage an alle Fachmänner und Frauen und Erfahrenden :evillol:

Ich habe einen alten unbenutzen Laptop zu einem TS umfunktioniert. Dieser funktioniert einwandfrei. Down- und Uploadgeschwindigkeit ist mehr als ausreichend.

Jetzt habe ich den im Netzwerk mit integriert und nur die notwendigen Ports freigegeben. Ich habe einen NAS-Server, Drucker sowie noch weitere PCs/Laptop im netzwerk mit drin.

Jetzt meine Frage, besteht die Gefahr das man von dem "Teamspeak-Server/Laptop" sich im gesamten Netzwerk breitmachen kann? Sollte ich etwas beachten? Würdet ihr empfehlen neben der Firewall im Router noch eine Softwarelösung auf den PC zu installieren (anstelle der Windwos-FW)? Muss ich sogar noch weitergehen um auf Nummer sicher zugehen und ein DMZ einzurichten?

Könnt ihr mir dazu etwas sagen, Empfehlungen geben oder bestätigen das dies vollkommend ausreichend ist und ich mir keine sorgen machen muss?

Betriebssystem auf dem Laptop ist Vista. (hatte es noch rumliegend ;)

Um jede Hilfe wäre ich dankbar.

Gruss

Wikinger85 :cool_alt:
 

Masamune2

Vice Admiral
Dabei seit
Okt. 2009
Beiträge
6.229
Solange nur die Ports weitergeleitet sind die benötigt werden bringt dir eine zusätzliche Softwarefirewall auch nicht. (Und installieren brauchste die auch nicht, hat Windows schon dabei)

Du solltest aber zur Sicherheit den TS Server nicht mit Admin Rechten starten, denn kann ein Angreifer der eine Lücke im Teamspeak selbst ausnutzt sich nicht sehr gut im System festsetzen.
 

Wikinger85

Newbie
Ersteller dieses Themas
Dabei seit
Sep. 2014
Beiträge
5
Hey das geht ja schnell. :)

Also das mit der Firewall klingt gut. Wie gesagt der Laptop ist wirklich nur für den Server gedacht. Evtl mag ich zur TS Ordnung noch nen Bot mit raufpacken aber mehr nicht.

Du solltest aber zur Sicherheit den TS Server nicht mit Admin Rechten starten, denn kann ein Angreifer der eine Lücke im Teamspeak selbst ausnutzt sich nicht sehr gut im System festsetzen.
Du meinst mit Adminrechten, als Admin für den Teamspeak oder als Admin für Windoof?

Danke schonmal und weitere Gedanken und Erfahrungen sind gern gesehen :)
 

Masamune2

Vice Admiral
Dabei seit
Okt. 2009
Beiträge
6.229
Als Admin im Windows natürlich. Wenn es eine Lücke im Teamspeakserver gibt (bzw jemand eine findet, es gibt bestimmt welche) kann darüber in der Regel Code mit den Rechten der Applikation ausgeführt werden. Wenn diese Applikation jetzt keine oder nur wenige Rechte hat kann nicht viel passieren.
Ich hab selbst einen TS auf einem Windows Server laufen und habe dafür einen eigenen Benutzer Account. Der Account darf per NTFS Berechtigungen nur im Teamspeak Ordner selbst schreiben und ansonsten am System nichts tun.
 

Wikinger85

Newbie
Ersteller dieses Themas
Dabei seit
Sep. 2014
Beiträge
5
Sorry das ich dich nochmal belästigen muss.

Also du meinst ich solle einen neuen benutzer anlegen. z.b. TS-User mit dem sich beim Windowsstart angemeldet wird. Diesen kann ich dann so einrichten das er nur zugriff hat auf den Ordner TS wo er schreib/lesezugriff hat. Den Adminaccount daher mit einem sicheren PW vergeben?

Sehe ich das richtig das ich jetzt folgendes tun müsste:

- Useraccount für TS errichten. Schreib und Lesezugriff für den Ordner Teamspeak/server samt unterordner für Bot.
- im Adminaccount so einstellen das nur der Admin auf die restlichen Ordner und Dateien zugreifen kann, sprich wenn ich mit dem Adminaccount eingeloggt bin?

Ist das so simpel wie ich es mir denke oder kannste mir da ein Tool empfehlen?

Sorry das ich so frage aber will einfach wirklich auf der sicheren Seite sein.
 

Masamune2

Vice Admiral
Dabei seit
Okt. 2009
Beiträge
6.229
Der Benutzer braucht noch nicht einmal das Recht eine interaktive Sitzung zu starten, der wird nur genutzt um per geplantem Task die Teamspeakserver.exe in dessen Kontext beim Hochfahren des Rechners zu starten.

Ich weiß nicht wie viel davon ohne Umwege bei einem Client Betriebssystem funktioniert aber spätestens wenn du eine Home Edition drauf hast wird es knifflig das umzusetzen:

- Neuen Benutzer Teamspeak anlegen und aus allen Gruppen entfernen
- Berechtigungen des Programmordners von Teamspeak so anpassen das der Benutzter Schreib- und Leserechte hat
- Geplanten Task anlegen der beim Starten des Rechners die exe des Server mit dem neuen Benutzer ausführt

Und natürlich das offensichtlichste: Den Server regelmäßig updaten um mögliche bekannte Sicherheitslücken zu schließen.
 

Wikinger85

Newbie
Ersteller dieses Themas
Dabei seit
Sep. 2014
Beiträge
5
Ja das habe ich schon mehrfach gelesen das es bei einer Home Edition da zu problemen kommen kann. Habe auch gestern Onkel google schon gequält aber irgendwie scheinen beim Vista Home nicht solche möglilchkeiten so einfach zu existieren oder ich habe sie einfach nicht richtig gefunden :(

Aber es ist ja eigentlich auch sinnlos extra ein Windoof zu installieren auf einem Laptop der nur dafür gedacht ist und dann eine Virtual Box nochmal drauf zu packen oder?

Danke auf jeden Fall
 
Zuletzt bearbeitet:

Masamune2

Vice Admiral
Dabei seit
Okt. 2009
Beiträge
6.229
Naja ich würde mir da auch nicht zu viele Gedanken machen. Lass den Server nicht auf dem Standard Port laufen, dann findest den auch niemand. Es geht ja hauptsächlich darum sich gegen automatisierte Scripts zu wehren die das Internet abklappern und veraltete Teamspeakinstallationen suchen.
 

Wikinger85

Newbie
Ersteller dieses Themas
Dabei seit
Sep. 2014
Beiträge
5
Du meinst einfach folgende Ports abändern? Weil das sind ja die Standardports von Teamspeak

Default port (UDP eingehend): 9987
Default filetransfer port (TCP eingehend): 30033
Default serverquery port (TCP eingehend): 10011
Software gegen solche Skripte gibt es nicht, bzw etwas was man zur zusätzlichen Absicherung tun kann?

Hoffe verstehst mein Problem bzw meine Sorge die ich habe speziell im Bezug auf NAS und Daten etc.
 

Masamune2

Vice Admiral
Dabei seit
Okt. 2009
Beiträge
6.229
Wichtig ist ja nur der Port auf dem der virtuelle TS läuft. Den Filetransfer und Queryport kannste dir sparen wenn du die Funktionen nicht unbedingt haben möchtest.
 
Top