Hamachi

Allgemeine Tipps zur Internet Sicherheit
Antworten
thbrueck
Admin
Admin
Beiträge: 462
Registriert: Do 13. Sep 2007, 18:54

Hamachi

Beitrag von thbrueck »

Hamachi ist ein sog. proprietärer VPN- Client, der sehr einfach zu konfiguriren ist und keine Probleme mit der "Umgehung" von Proxyservern und
Firewalls zu haben scheint.
Hier noch mal eine Erklärung dazu: http://de.wikipedia.org/wiki/Hamachi

Außer Zweifel steht wohl die Tatsache, daß dieses kleine Tool sehr effektiv für die vorgesehenen Zwecke eingesetzt werden kann. Aus Sicht des Users, der dieses Tool nutzen möchte, ist das bestimmt sehr erfreulich. Doch wie sieht die Sache aus dem Blickwinkel eines Netzwerk- Admins aus, der verantwortlich für ein LAN ist ?

Eigene Tests haben mir bestätigt, daß ich per Hamachi gleichzeitig einen Firmen- PC im "sicheren" LAN mit beispielsweise einem Laptop an einem öffentlichen Hotspot verbinden kann. Korrespondenz, Datenaustausch ist problemlos möglich, ohne daß irgendwelche Sicherheitsmechanismen greifen würden. Betrachtet man nun den Firmen- PC, ist dieser eigentlich in 2 Netzsegmenten gleichzeitig präsent, obwohl ein VPN eigentlich so konzipiert sein sollte, daß der Zugriff auf andere Netze gleichzeitig unterbunden werden sollte...

Das Thema scheint mir sicherheitsrelevant zu sein und hätte dazu gerne weitere Expertenmeinungen.

Gruß,
TB
Bild

ayin
Master Chief Petty Officer
Master Chief Petty Officer
Beiträge: 670
Registriert: Do 13. Sep 2007, 17:37

Re: Hamachi

Beitrag von ayin »

Mit einem Contentfilter lässt sich auch Hamachi rausfiltern, da er eine eindeutige Signatur hat. Aber wie alles so ist, kann Hamachi leider auch furch Port 80 durchtunneln, allerdings ist das dann sehr schwer feststellbar. Ich würde generell die Firewall so einstellen, dass Hamachi.exe geblockt wird.

thbrueck
Admin
Admin
Beiträge: 462
Registriert: Do 13. Sep 2007, 18:54

Re: Hamachi

Beitrag von thbrueck »

Hallo ayin,
Ich würde generell die Firewall so einstellen, dass Hamachi.exe geblockt wird.
beziehst du das auf eine professionelle Hardware- Firewall, auf eine Linux- Kiste als Firewall oder auf eine Personalfirewall auf Windows- Clients ? DSL- NAT Router bieten meistens diese Möglichkeit nicht...

Gruß,
Thomas
Bild

ayin
Master Chief Petty Officer
Master Chief Petty Officer
Beiträge: 670
Registriert: Do 13. Sep 2007, 17:37

Re: Hamachi

Beitrag von ayin »

Also bei den Firewalls für Windows hat man oft die Möglichkeit auch das Programm direkt zu sperren. Es geht aber auch durch einen Eingriff in die Registry das Ausführen von diversen Programmen zu sperren: http://www.computerwissen.de/thema/netz ... ramme.html

Unter Linux entzieht man dem Programm für die User einfach die Rechte es ausführen zu dürfen (chmod -x Programm).

Gummimaus
Crewman 3rd Class
Crewman 3rd Class
Beiträge: 11
Registriert: Di 18. Sep 2007, 12:47

Re: Hamachi

Beitrag von Gummimaus »

Hallo Ihr beiden,

ich bin zwar leider keine Expertin auf diesem Gebiet, möchte mich aber trotzdem einbringen, da mich das Thema sehr interessiert. :)

@thbrueck

Du sprichst von Sicherheitsbedenken, die ich teile, nachdem ich einiges über dieses Tool gelesen habe. Wie schaut es z. B. aus, wenn ich mir beispielsweise Hamachi zuhause installiere, um mit Bekannten/Freunden Daten etc. auszutauschen? Gleichzeitig habe ich über einen VPN-Client eine Verbindung mit dem Firmen-Netzwerk, in welchem ein Proxy eingebunden ist, oder kann ein Proxy bei so einer virtuellen Verbindung nicht eingebunden werden? Ich frage deshalb weil ich über die Möglichkeiten, die ein virtuelles Netzwerk bietet, keine Idee habe. (Von daher nochmal meine Frage, ob das ok ist, wenn ich mich einklinke, falls nicht, dann sage mir das bitte, ich bin dann auch nicht eingeschnappt oder so, denn Du wolltest ja ursprünglich Expertenmeinungen haben ;) )

Wenn der Proxy möglich wäre, ist dann in diesem Fall von einer zusätzlichen Sicherheit zu sprechen, oder spielt das in diesem Zusammenhang keine Rolle ? Hier wäre dann viel Vertrauen meinerseits in meine *Hamachi-Partner* gefragt, denn ich müßte mich darauf verlassen, daß sie in bezug auf Sicherheit am PC genau so pingelig wie ich wären, oder? Ich reite deshalb auf dem Proxy herum, weil ich ihn als eine weitere *Barriere* ansehe, bevor ich in das vertrauenswürde LAN der Firma rein könnte. (Sollte das nicht stimmen, bitte mich korrigieren!) Ferne bitte ich, meine laienhafte Ausdrucksweise zu entschuldigen und ich hoffe weiterhin, daß Ihr versteht, worauf ich hinaus will. ;)

Da Du ja schon schriebst, daß es möglich sei, in beiden Netzwerken parallel zu sein, wie sieht es dann mit der von mir aufgeworfenen Frage aus, ob der oder die Bekannten, die über Hamachi mit mir verbunden sind, ebenfalls *Zugriff* auf das Firmen-Netzwerk bekommen könnten? Wie würden sie es bemerken, daß ich noch in einem 2. Netzwerk bin, gibt es da irgendwelche Anzeigen, oder wie muß ich mir das vorstellen? Ist dieses Szenario jetzt nun sehr unwahrscheinlich, weil es zuviel KnowHow vom *Bekannten/Freund* voraussetzen würde? Gesetzt den Fall, er käme ins Firmen-Netzwerk, spielt der fiktive Proxy dann überhaupt noch eine Rolle? Oder ist das Gefahrenpotential woanders zu suchen? Ich denke da z. B. an die Unvorsichtigkeit des Bekannten, der sein System nicht pflegt, und sich z. B. einen Trojaner installiert, ohne es zu bemerken. Wäre es denkbar, daß dieser Trojaner durch die Hamachi-Verbindung Zugriff auf das Firmen-Netzwerk bekäme? Wenn dem so wäre, ist Hamachi dann nicht im Prinzip ein Tool, das auf einen *Index* oder sowas gesetzt werden müßte, oder bin ich jetzt paranoid?

Die Sicherheitsfrage in diesem Zusammenhang würde mich sehr interessieren. Danke schonmal für entsprechende Antworten.

@ayin

Ich habe zwar thbrueck angesprochen, aber logo nehme ich auch gerne Erklärungen von Dir entgegen, nicht, daß Du das in den falschen Hals bekommst, weil ich thbrueck explizit angesprochen habe. :)

Grüße, Gummimaus

thbrueck
Admin
Admin
Beiträge: 462
Registriert: Do 13. Sep 2007, 18:54

Re: Hamachi

Beitrag von thbrueck »

Hallo Gummimaus,
Hamachi ist nicht zuletzt wegen seiner einfachen Bedienbarkeit ein geniales Tool, Messengerfunktionen dort zu nutzen, wo es eigentlich durch gegebene Sicherheitsinfrastrukturen in Netzwerken mit konventionellen Maßnahmen nicht möglich ist. In sensiblen Unternehmensnetzwerken werden oft sog. IRC- Tools (beliebt und berüchtigt ist da ICQ) gesperrt bzw. untersagt. Hamachi stört sich nicht an Proxyservern oder zentralen Hardwarefirewalls, sofern die Admins nicht expizit dagegen was unternehmen. Das Tool ist in der Lage, ein virtuelles Netzwerk über einen Hamachiserver im Internet zu einem oder mehreren anderen Hamachi Clients herzustellen. Dabei verwenden die Entwickler nicht einmal unbekannte Lücken, sondern typische Verbindungswege der Netzwerkinfrastruktur einfach mit. Ports wie 80 (http) und 443 (https) bieten sich förmlich dazu an, da diese auch zur Standard- Kommunikation zwischen Webserver und Browser gehören. Um es mal möglichst verständlich auszudrücken, kann man sich das vorstellen, wie ein Parasit, der in oder an senem Wirt lebt...

Proxyserver könnten natürlich, wie es ayin bereits angesprochen hat, ähnlich wie Personalfirewalls explizit sperren. Problem: Das wird dann quasi über Blacklists realisiert und der Name des Programmes/Prozesses eingetragen.
(Es gibt sicher auch Proxyserver und Hardwarefirewalls, die noch restriktiver administriert werden können, doch Voraussetzung ist, daß die Problematik auch bekannt ist)
Ändert sich die Version und der Name, kann u.U. wieder eine Kommunikation stattfinden. Bei Personalfirewalls sieht es noch schlechter aus, wenn der User Adminrechte auf dem Client besitzt. Das ist, als würde man dem Dieb den Haustürschlüssel geben...derzeit gibt s leider kaum PFW's die serverseitig administriert werden können (Vista Firewall über Group Policies, BlackIce von RealSecure kenne ich persönlich)...

Grundsätzlich geht keine unmittelbare Gefahr durch die Nutzung von Hamachi aus, das möchte ich klarstellen, damit niemand denkt, daß dieses Tool von Grund auf "böse" sei und mit Malware gleichzusetzen wäre. Die Gefahr geht wie sooft von den Usern aus, die das Tool nutzen. Wie bereits angesprochen, wird ein VPN- Tunnel von Client zu Client
über das Internet eingerichtet, der über einen Hamachiserver im öffentlich nicht definierten Netzsegment 5.x.x.x (guckst du: http://www.oberthal-online.de/netzwerk.html )
betrieben wird. Wenn auch die Betreiber nachdrücklich versichern, daß sie keinen Zugriff auf die verschlüsselten Datenpakete haben, ist das eine grundsätzliche Vertrauensfrage. Serverbetreiber und Entwickler sind hierbei die gleichen Personen - was das bedeuten kann, brauche ich nicht weiter zu erläutern.
Ein weiterer sicherheitsrelevanter Aspekt ist die Tatsache, daß bei aktiven VPN- Tunnel ins Hamachi- Netz auch gleichzeitig eine Verbindung ins eigene LAN besteht. Das ist einfach festzustellen, da mit der entsprechenden "Erlaubnis" der Korrespondenzpartner auf die Freigaben des anderen zugreifen kann. Alles wieder Vertrauenssache, ohne den beteiligten Hamachi Partnern dieses absprechen zu wollen. Doch was ist, wenn es trotzdem jemand schafft, ins virtuelle Hamachi VPN Netz unbemerkt zu gelangen ? Hier beginnt die Spekulation und ich will auch gar nicht den Teufel an die Wand malen. Wer sich mit Malware beschäftigt, weiß, daß die Möglichkeiten vielfältig sind, ein System zu kapern und zu komprimitieren, deshalb sollte man lediglich vorgewarnt sein. Vielleicht ist diese Überlegung auch schon zu paranoid und Hamachi ist wirklich niemals zu missbrauchen, wie das vor Jahren dem Remotetool Netbus widerfahren ist. Durch Modifikationen dieser Client/Server Applikation wurde Netbus zu einem gefürschteten und berüchtigten Hackertool, das sich seither einen Platz in den Definitionslisten von Antivirensoftware gesichert hat...

Gruß,
TB
Bild

Gummimaus
Crewman 3rd Class
Crewman 3rd Class
Beiträge: 11
Registriert: Di 18. Sep 2007, 12:47

Re: Hamachi

Beitrag von Gummimaus »

Hi thbrueck

erstmal vielen Dank für den ausführlichen Exkurs, den ich wie immer sehr interessant finde. :)
Grundsätzlich geht keine unmittelbare Gefahr durch die Nutzung von Hamachi aus, das möchte ich klarstellen, damit niemand denkt, daß dieses Tool von Grund auf "böse" sei und mit Malware gleichzusetzen wäre. Die Gefahr geht wie sooft von den Usern aus, die das Tool nutzen.
Ja, habe ich auch nicht so aufgefaßt, Dreh- und Angelpunkt ist auch hier, wie bei jedem anderen Tool, der User selbst, klar. Da aber die Malware-Wege so vielfältig sind, schließe ich nichts aus. Und auch, wenn ich jetzt ein wenig übertrieben vorsichtig erscheine, aber in Anbetracht der möglichen Risiken käme ich in 100 Jahren nicht auf die Idee, mir Hamachi zu installieren, das widerspräche meinem Sicherheitsgedanken.

Nun ja, ich will es auch nicht verdammen, wer es nutzt und die nötige Vorsicht walten läßt, hat sicher seine Freude daran, aber das muß jeder selber wissen.

Grüße, Gummimaus

Antworten