Wie Samsung Allshare blockiren?

Matthieu · 17. Okt 2012

Auf welcher Grundlage schließt man denn Geräte aus? Synology macht das soweit ich weiß anhand der MAC. Wie man die manipulieren kann, findet man im Netz mehr als ein mal. In DLNA und damit auch UPnP ist keine Zugriffsverwaltung vorgesehen und wenn Synology mit "standardmäßig verbieten" da eine Funktion bringen würde, wäre das falsch suggerierte Sicherheit. Solang sich die Geräte nicht eineindeutig identifizieren, ist derartige Sicherheit nicht möglich.

MfG Matthieu

PS: Unter Standard fällt für mich alles, was öffentlich einsehbar und allgemein anerkannt (sprich genutzt) ist (wird). Das sind für mich z.b. RFC mit dem Status "Standard". Nach der Definition ist weder DLNA noch UPnP ein Standard, ebenso wenig aber Airplay.

Anzeige · 15. Okt 2012

Hallo alfonso,

Bücher und Hardware zum Thema gibt es bei Amazon: Wie Samsung Allshare blockiren?

winxi · 17. Okt 2012

Puppetmaster schrieb:
Hab nicht gesagt, daß es nicht standardisiert ist, nur, daß es schlecht standardisiert ist.
Die Anforderungen sind viel zu gering für heutige Anwendungen. Zur Zertifizierung genügtja (wurde hier ja schon erwähnt) jpeg für Fotos, LPCM für Audio und MPEG-2 für Video. Wie fasst Wikipedia das zusammen: absolut realitätsfremd. Alle anderen Formate sind dann jeweils herstellerabhängig implementiert oder eben auch nicht. Unter einem sinnvollen Standard verstehe ich was anderes.
Für mich ist übrigens auch einer der Zwecke meiner DS das Streamen von Audio/Video. Aber eben nur das Streamen. Das Decodieren überlasse ich einer dafür entwickelten Hardware.

UPnP ist der übergeordnete Standard und der ist im wesentlichen gut. Das Problem liegt, wie du schon angedeutet hast, beim kommerziellen DLNA. Die Anforderungen sind tatsächlich ein Witz. Die großen Hersteller von Unterhaltungselektronik zahlen eine Menge Kohle für die Zertifizierung und sobald sie den DLNA-Stempel haben, wird in der Regel in diese Richtung nicht mehr weiterentwickelt.
Deshalb muss, wenn man das ordentlich betreiben will, der Fokus auf einer geeigneten Auswahl der Renderer-Hardware liegen.
Das 'Decodieren' von Audio/Video übernimmt übrigens in keinem Fall der Synology Medienserver, das macht der Renderer. Der Medienserver stellt dem Renderer lediglich die Mediendateien zur Verfügung.

Puppetmaster · 17. Okt 2012

Matthieu schrieb:
Auf welcher Grundlage schließt man denn Geräte aus? Synology macht das soweit ich weiß anhand der MAC. Wie man die manipulieren kann, findet man im Netz mehr als ein mal. In DLNA und damit auch UPnP ist keine Zugriffsverwaltung vorgesehen und wenn Synology mit "standardmäßig verbieten" da eine Funktion bringen würde, wäre das falsch suggerierte Sicherheit.

Dann könnten sie sich auch sparen, das Häkchen zum Zugriff auf den Dienst nachträglich zur Abwahl anzubieten. Ich möchte nur, daß erstmal KEIN Zugriff möglich ist, wenn sich ein neues Gerät anmeldet. Wie willst du MAC-Spoofing betreiben wenn du gar kein aktuell aktives Gerät hast? Du weißt ja auch nicht, welche MAC bereits in der Tabelle der erlaubten Geräte gelistet ist. Und zu guter Letzt: wir sind immer noch im Privathaushalt. Was sollte ein potentiell erfolgreicher Hacker also finden? Meine Urlaubsvideos?
Klar die Kids von heute knacken das auch, und wenn es nur dazu dient Mama oder Papa auf die Palme zu bringen!

Puppetmaster · 17. Okt 2012

winxi schrieb:
Das 'Decodieren' von Audio/Video übernimmt übrigens in keinem Fall der Synology Medienserver, das macht der Renderer.

Schon klar. Ersetze Dekodieren durch Transkodieren.

Matthieu · 17. Okt 2012

Puppetmaster schrieb:
Klar die Kids von heute knacken das auch, und wenn es nur dazu dient Mama oder Papa auf die Palme zu bringen!

Das es keinen Hacker braucht, sondern nur eifrige Kids, wollte ich mit dem Hinweis auf Anleitungen sagen. Die meisten Endgeräte haben die MAC-Adressen als Aufkleber drauf. Also mal kurz ins Wohnzimmer laufen und dort die MAC abschreiben wenn die Eltern nicht da sind.
Wenn du keinen Zugriff gewähren möchtest, brauchst du den Medienserver auch gar nicht erst installieren ... Eine entsprechende Option zum Blockieren von Zugriffen würde IMHO aber Sicherheit suggerieren die nicht vorhanden ist.

MfG Matthieu

Puppetmaster · 17. Okt 2012

Matthieu schrieb:
Wenn du keinen Zugriff gewähren möchtest, brauchst du den Medienserver auch gar nicht erst installieren ... Eine entsprechende Option zum Blockieren von Zugriffen würde IMHO aber Sicherheit suggerieren die nicht vorhanden ist.

Du missverstehst mich.
Es gibt doch eine Option zum Blockieren von Zugriffen! Aber erst nachdem die Freigabe bereits erfolgte. In meinen Augen wird hier nicht weniger Sicherheit suggeriert!
Andersherum möchte ich mir als administrator einer DS nicht ständig Gedanken machen müssen, wer jetzt alles Zugriff hat, wenn sich wieder neue Geräte anmelden. Wer Zugriff will, soll sich melden!
Bei den Benutzerrechten ist es genauso unsinnig geregelt: Lege ich einen neuen Share an, dann hat standardmässig erstmal jeder Benutzer auf der DS Zugriff darauf! Das kann's ja auch nicht sein. Manchmal geht einem das einfach durch und dann sieht man erst viel später, das Benutzer XY,der eigentlich nur auf einen Ordner zugreifen können sollte, plötzlich einen Blumenstrauß von Ordner überschauen kann.

Matthieu · 17. Okt 2012

In meinen Augen ist es etwas anderes, ob man per Profil Zugriff verweigern kann, oder ob zwecks Sicherheit eine Freigabe von Zugriffen erforderlich ist. Ich hoffe mal niemand setzt die Profile so zur Berechtigungssteuerung ein. Dann fast noch lieber per Firewall.
Ordner anlegen hab ich zu lange nicht mehr gemacht. Dachte eigentlich man wird durch den Dialog geführt.

MfG Matthieu

alfonso · 17. Okt 2012

winxi schrieb:
In den Einstellungen des Medienservers unter DMA-Kompatibilität -> Geräteliste kannst du ganz einfach einzelne Geräte deaktivieren und ihnen somit den Zugriff verwehren.

Danke für den Tipp. Ich habe es an meinen Handy ausprobiert, so wie es aussieht funktioniert es. Was aber noch wichtig ist, am muss in der Fritzbox den Geräten eine feste Ip vergeben.

Matthieu · 17. Okt 2012

Man könnte sich auch statisch die IP eines zugelassenen Gerätes geben. Nur bekommt man die nicht ganz so leicht heraus wie die MAC wenn man nicht Zugang zu den Einstellungen des betroffenen Gerätes hat.

MfG Matthieu

Ap0phis · 17. Okt 2012

Puppetmaster schrieb:
...
Bei den Benutzerrechten ist es genauso unsinnig geregelt: Lege ich einen neuen Share an, dann hat standardmässig erstmal jeder Benutzer auf der DS Zugriff darauf! Das kann's ja auch nicht sein. ...

Hab´ ich da was falsch verstanden?
Du legst doch wissentlich "gemeinsame" Ordner an, oder nicht?

Private Ordner "home" hat jeder User in einem linuxoiden System doch eh schon.

alfonso · 17. Okt 2012

Matthieu schrieb:
Man könnte sich auch statisch die IP eines zugelassenen Gerätes geben. Nur bekommt man die nicht ganz so leicht heraus wie die MAC wenn man nicht Zugang zu den Einstellungen des betroffenen Gerätes hat.

MfG Matthieu

Sie meinen?

borg2k · 17. Okt 2012

Also bei mir funktioniert das Sperren von IP´s nicht, wollte meinen PC auf Port 1 sperren, sodass der automatisch immer über Port 2 zugreift auf die DS, aber das hat nicht geklappt, der Zugriff über die IP von Port 1 funktioniert auch nach Sperrung der entsprechenden IP des PC.

winxi · 17. Okt 2012

alfonso schrieb:
Danke für den Tipp. Ich habe es an meinen Handy ausprobiert, so wie es aussieht funktioniert es. Was aber noch wichtig ist, am muss in der Fritzbox den Geräten eine feste Ip vergeben.

Ich denke nicht, das das notwendig ist. Ich glaube, zur Geräte-Identifizierung reicht die MAC.

Ap0phis · 17. Okt 2012

borg2k schrieb:
Also bei mir funktioniert das Sperren von IP´s nicht, ...

Das ist seltsam.
Ich habe mich beim Spielen mit den Einstellungen so mal wunderbar ausperren können.

Puppetmaster · 17. Okt 2012

Ap0phis schrieb:
Hab´ ich da was falsch verstanden?
Du legst doch wissentlich "gemeinsame" Ordner an, oder nicht?

Ich bereue schon, das geschrieben zu haben.

Als ich es eben nochmal durchgespielt habe, funktionierte es so wie gewollt. Ich werde beim Anlegen eines Shares ja auch nach Zugriffsrechten gefragt. Ich glaube, als das bei mir mal ein Problem war, ging es auch im Zusammenhang mit ftp. Da konnten später User auf Ordner zugreifen, die ich nie willentlich für sie freigegeben hatte. Gut, gesperrt hatte ich sie natürlich auch nicht explizit!
Ich nehm' das also erstmal zurück, bis es bei mir mal wieder aufpoppt. Aber dann...I'll be back!

Matthieu · 17. Okt 2012

alfonso schrieb:
Sie meinen?

Du hast für ein Gerät eine Freigabe in der Firewall erstellt. Nun möchte jemand auf deine DS, scheitert aber an der Firewall. Also schaut er, ob er die IP eines Gerätes findet die durchgelassen wird. (Beispiel: er geht zum Medienspieler im Wohnzimmer, weil er weiß dass es da geht und liest über die Einstellungen die IP aus.) Dann geht er zurück zum PC und gibt diesem eine feste IP (was ziemlich einfach ist, auch wenn bisher die IP per DHCP verteilt wurde). Zum sicheren Betrieb noch das Kabel vom Medienabspieler abziehen und schon kommt er auf die DS. Es geht zwar auch ohne Kabel abziehen, aber das ist etwas fummeliger.

MfG Matthieu

Suche

Wie Samsung Allshare blockiren?

Matthieu

Benutzer

Anzeige

winxi

Benutzer

Puppetmaster

Benutzer

Puppetmaster

Benutzer

Matthieu

Benutzer

Puppetmaster

Benutzer

Matthieu

Benutzer

alfonso

Benutzer

Matthieu

Benutzer

Ap0phis

Benutzer

alfonso

Benutzer

borg2k

Benutzer

winxi

Benutzer

Ap0phis

Benutzer

Puppetmaster

Benutzer

Matthieu

Benutzer

Kaffeautomat