MasterOfGizmo hat geschrieben:Genau an der Stelle greift mein netreq ein. Es unterbricht den Verbindungsaufbau zu besagtem Port (und auch allen anderen) [...]
Damit benimmt netreq sich so ein bißchen wie eine Firewall an der ich alle Ports gesperrt habe.
MasterOfGizmo hat geschrieben:[...] und lässt die Anfrage erst bis in die Netzwerkroutinen des Linux-Kernels durch, wenn der User Ok geklickt hat,
Das "OK" ist die besagte Anfrage auf dem Display des TXT? Ah ja. Also ein bißchen wie 'ne Firewall nur dass hier (ähnlich wie ZoneAlarm beim Anlernen) bei Bedarf beim 'Chef' nachgefragt wird.
MasterOfGizmo hat geschrieben:Bei so einer Lösung kann ich aber keine Annahmen über die Daten machen, die da über den Port gehen sollen und vor allem gibt es da nix, wo man eine Passwort-Abfrage zwischenschummeln könnte. Höchstens lokal auf dem Bildschirm des TXT.
Also läuft das etwa so ab: Anruf auf der 65000 - netreq nimmt den Anruf in die Warteschleife und fragt beim großen Operator am TXT ob der Anruf angenommen werden darf. Bei 'ja' wird der Anrufer ins Backoffice (RoboPro) durchgestellt, bei 'nein' läuft die Warteschleife bis zum Abwinken weiter. Ist der Anruf im Backoffice gibt es den vollen Service mit allem und Sahnehäubchen obendrauf. Ich gehe mal davon aus, dass bei 'ja' netreq alle Ports wieder öffnet?
Wäre es machbar sich vorab auf einem anderen Port mit einer bestimmten Nachricht an netreq zu wenden? Die Nachricht kennen der TXT und die autorisierten Teilnehmer weil der Benutzer sie (zumindest teilweise) vorgegeben hat. Natürlich geht das nur verschlüsselt über das Netz. Quintessenz: erbittet ein anderer Client mit dieser speziellen Nachricht den Zugang, so kann ihm dieser automatisch gewährt werden. Ansonsten fragt netreq lokal am TXT nach.
MasterOfGizmo hat geschrieben:Aber was soll da eine Passwort-Eingabe? Wenn der Angreifer eh meinen TXT ganz wörtlich in der Hand hat, dann braucht er ihn nicht zu hacken, dann kann er einfach einen langen Schuh machen.
Einverstanden. Wenn ich den TXT in der Hand habe, tausche ich die SD-Karte und mache mit dem was ich will
Wir gehen für die relevanten Szenarien mal davon aus, dass der Angreifer remote sitzt.
Aber wo Du SSH erwähnst, kommt mir noch dieser Gedanke:
netreq hat alle Ports gesperrt und ist in Lauerstellung. Verbindungsaufbau per RoboPro auf der 65000 wird wie alles andere auch abgeschmettert. Was ist mit der SSH-Konsole? Da gibt es ja die Möglichkeit der Passwortabfrage. Wenn sich ein anderer Client per SSH am TXT erfolgreich anmeldet, könnte das netreq erkennen und diesen Client (IP und MAC haben wir ja aus der Anmeldung über Port 22) als autorisiert einstufen? Kommt man denn überhaupt auf die SSH-Konsole wenn netreq alle Ports gesperrt hat? Oder macht netreq erst dicht, wenn die Anfrage auf Port 65000 eintrifft?
Oder ist das alles nix, weil dann noch ein paar Handgriffe extra zu machen sind, bevor sich RoboPro mit dem TXT verbinden kann?
Und dann ist da noch die Frage: Wie ist das mit Kamera und Mikrofon? Wieso geht das nur über RoboPro? Theoretisch kann ich 'ne USB-Cam auch übers (W)LAN übertragen lassen, mit Ton. Braucht es da bestimmte SW die auf dem TXT nur in Form von RoboPro vorhanden ist?
Gruß
H.A.R.R.Y.