Serversicherheit 101

    Hi,

    hier sind einmal kurz die wichtigsten und grundlegenden Einstellungen für einen ArmA Server, damit euer Server kein Paradies für Scriptkiddies wird. Die Liste bezieht sich nicht auf die Sicherheit von Scripten und Missionen, sondern auf Servereinstellungen und soll euch vor den häufigsten Fehlern schützen.

    Basic:

    Diese Einstellungen in der server.cfg sind unbedingt nötig und kann durch keine anderen Maßnahmen ersetzt werden.

    battlEye = 1; - Aktiviert allgemein BattlEye für euren Server. BattlEye hält die Spieler auf verschiedenen Wegen davon ab, ihr Spiel zu manipulieren. Zudem wird dadurch die Global Banlist von BattlEye für euren Server aktiv, die die meisten Hackeraccounts beinhaltet.

    verifySignatures = 2; - Durch diese Einstellung überprüft der Server, ob die Spieldateien der Clients manipuliert worden sind und kickt die Spieler bei Auffälligkeiten. Ohne diese Einstellung könnten Spieler unbemerkt Cheatscripte in die Spieldateien untermischen.

    Außerdem: Verwendet lange und zufallsgenerierte Passwörter, aber das sollte selbsterklärend sein.

    Wenn ihr diese beiden Einstellungen so in die server.cfg schreibt, habt ihr schonmal ~99% aller potentiellen Scriptkiddies aufgehalten. Ein paar weitere Einstellungen für die server.cfg gibt es hier, aber der Schutzfaktor ist im Vergleich zu den beiden Einstellungen von oben nur ein minimaler Zusatz.

    Erweitert:

    Die Basiceinstellungen bieten schon einen enormen Schutz, aber hier geht es nochmal um weitere beliebte Methoden:

    AntiHack Scripte (z.B. infiStar):

    Sogenannte "AntiHack" oder "AntiCheat" Systeme bestehen in der Regel aus gewöhnlichen Scripts die durch verschiedene Abfragen überprüfen, ob noch alles in Ordnung ist.

    Vorteile:

    • Bieten einen (sehr kleinen) zusätzlichen Schutzfaktor.

    Nachteile:

    • Erkennen Cheats erst, nachdem sie ausgeführt wurden und können Cheating dadurch nicht verhindern, sondern nur als Schadensbegrenzung dienen. Der Schutzfaktor ist dadurch sehr gering.
    • Die meisten dieser Systeme sind sehr performancehungrig und wirken sich negativ auf die Spielleistung aus.
    • Einfach zu umgehen (diese Systeme erkennen meistens nur alte und bekannte Cheatscripte).
    • Kosten häufig Geld.
    • Sind Third-Party Systeme und können entsprechend mehr Schaden verursachen als sie aufhalten (z.B. durch Backdoors).

    Community Banlisten:

    Diese Systeme sind kombinierte Banlisten von vielen verschiedenen Servern, wodurch bekannte Cheater nicht auf jedem Server einzeln gebannt werden müssen.

    Vorteile:

    • Cheater versuchen ihr Glück i.d.R. auf verschiedenen Server. Die Wahrscheinlichkeit, dass ein anderer Server einen Cheater bereits entdeckt hat, ist also groß. Bietet daher einen mittelgroßen Schutzfaktor.
    • Keine negativen Auswirkungen auf die Performance.
    • Kostenlos.

    Nachteile:

    • Die Serveradmins können selbst entscheiden, wer gebannt wird. Dadurch entstehen viele unrechtmäßige Banns. Die Systeme, die dies verhindern sollen, greifen nur mit mäßigen Erfolg.

    BattlEye Scriptfilter:

    Auch "BE Filter" genannt. Diese überprüfen Scripte noch bevor Sie ausgeführt werden auf bestimmte verbotene Keywords. Mehr dazu hier.

    Vorteile:

    • Können einen großen Schutzfaktor bieten.
    • Kostenlos.
    • (Fast) keine negativen Auswirkungen auf die Performance.

    Nachteile:

    • Sehr aufwändige und zeitintensive Erstellung per Hand notwendig.
    • Das Erstellen guter Filter kann recht komplex werden.


    Das war ein kleiner Überblick über die grundlegenden und bekanntesten Schutzmaßnahmen. Wenn noch etwas wichtiges fehlt, bitte Bescheid geben.

    MfG Stig

    Diese Nachricht wurde automatisch generiert. Antworten auf diese Nachricht können nicht empfangen werden. Bitte wenden Sie sich mit Anliegen an einen Administrator.

    Sehr schön erklärt und Formuliert.

    Für einsteiger sicherlich übersichtlich und hilfreich ;) .

    Weiter so !


    Mit Freundlichen Grüßen

    Hilfsbereiter, netter und Lustiger Typ.

    Mit viel Blödsinn, sowie Ideen im Kopf ;) .

    Ich bin für jeden Spaß zuhaben, solange es realistisch ist.

    Wenn fragen oder Sonstiges da sind, einfach anschreiben ^^.

    [PS: Für Rechtschreibfehler sowie Grammatikfehler, übernehme ich keine Haftung. Ihr dürft sie aber behalten, oder weiter schenken.]

    Schönes Ding :) Verschoben und angepinnt ^^

    Zitat von Stig

    BattlEye Scriptfilter:

    ...

    Nachteile:

    Sehr aufwändige und zeitintensive Erstellung per Hand notwendig.


    Das Erstellen guter Filter kann recht komplex werden.

    War früher so, inzwischen gibt es dafür Tools, welche die Logs scannen und dann die Filter erstellen.

    Der wichtigste Filter ist sowie so die Script.txt wofür BEM perfekt ist. http://bem.themeq.xyz/

    Zitat von Stig

    AntiHack Scripte (z.B. infiStar):

    ...

    Nachteile:

    Erkennen Cheats erst, nachdem sie ausgeführt wurden und können Cheating dadurch nicht verhindern, sondern nur als Schadensbegrenzung dienen. Der Schutzfaktor ist dadurch sehr gering.
    Die meisten dieser Systeme sind sehr performancehungrig und wirken sich negativ auf die Spielleistung aus.
    Einfach zu umgehen (diese Systeme erkennen meistens nur alte und bekannte Cheatscripte).
    Kosten häufig Geld.
    Sind Third-Party Systeme und können entsprechend mehr Schaden verursachen als sie aufhalten (z.B. durch Backdoors).

    Einfach selber eins schreiben.

    Ist nicht so schwer, einfach mal Infistar anschauen und selber machen.

    Wenn man es richtig macht, zieht das AH keine Performance, hat keine Backdoors und hält Skriptkiddies auf, die keine Engine/Netzwerk-Hacks verwenden.

    Unsere Erfahrung zeigt dass alles zu verhindern ist bis auf Network Hacks welche teilweise sehr komplex sind und man verfälschen Packet nicht so einfach ausmachen kann. Anticheat ist auch Performant zu gestalten selbst bei 150+ Spielern.

    Gruß

    Ps. Battleye ist ein sehr mächtiges Tool wenn Mann die Filter richtig eingestellt :)

    Schön geschrieben jedoch leider nicht richtig.

    Der Schutzfaktor beim infiSTAR nicht klein sondern Immens, bei dem aktuellem Battleye Problem (darauf gehen wir hier lieber nicht ein) sogar absolut nicht zu vernachlässigen.


    Die von dir aufgeführten Nachteile scheinen auch eher eine Meinung zu vertreten als die Wahrheit.

    Allein schon wegen des "Ban-Systems" ist es das ganze Wert :).

    Letztendlich sollte es jedem selbst überlassen sein, wenn man lieber selbst basteln möchte und auf dem neuestem Stand bleiben, dann soll mans tun. Ich hab das Arma3 Script nun schon seit 2013 und halte es auf dem laufenden... ist gar nicht mal so wenig passiert in der Zeit und so manch einer kann und möchte es eben nicht selbst. Zu all dem gibt es natürlich auch neben dem AntiHack noch das Admin Menu welches diverse Möglichkeiten bietet Kontrolle, Spaß und Sicherheit zu verbinden.

    Ich hab jetzt keine Lust auf ein hin- und her mit dir. Allerdings solltest du solche Aussagen / Posts ein wenig kritischer betrachten und vor allem bedenken was so eine Aussage für Folgen haben kann. Dir bringt es absolut nichts, mir schadet es jedoch.

    ---

    crackhead

    wir (Torndeco, Maca134, Grim, {..}) haben so ziemlich alles schon gemacht mit Arma... von BE Replacement mit eigenem service über rework der des Network codes, mallocs, mobile apps und mehr

    Möglich ist wirklich alles, allerdings ist das Problem halt, wie leider überall. Dinge kaputt machen ist super viel einfacher als sie heile zu machen und dabei auch noch stabil, bzw in diesem Fall auch noch "schnell" also fps/performance technisch.

    --


    Ich verstehe nicht so ganz warum network hacks eurer Meinung nach nicht so einfach zu detecten sind?

    Zuletzt hatte doch dieses "D*** Hacks" so etwas im größerem Stil genutzt und dort waren sogar die Pakete nicht einmal identisch zu normalen und es wurde ausschließlich von einem "VPN" bzw immer dem selben ISP / Host aus injected ^^

    Da hätte also schon simples blocken der IP-Range gereicht, wenn man nicht Pakete filtern möchte


    Sollte jedoch tatsächlich einfach mal von Seiten Armas geändert werden... aber wie immer, werden wir darauf wohl bis zum "End-of-Life" patch warten.

    infiSTAR

    Ich würde mich freuen wenn du eine Konversation mit mir startest, dann können wir das klären und ich den Beitrag aufbessern. Mit dir kann man im Forum keine Konversation starten, das hast du auf deinem Profil geblockt.

    Diese Nachricht wurde automatisch generiert. Antworten auf diese Nachricht können nicht empfangen werden. Bitte wenden Sie sich mit Anliegen an einen Administrator.

    Guter Beitrag Stig !

    Bei den meisten Punkten stimme ich dir voll zu und ich sehe kaum etwas das ich nach meiner doch langen Zeit in und um ArmA so nicht unterschreiben würde.

    Zitat von Stig

    Die Serveradmins können selbst entscheiden, wer gebannt wird. Dadurch entstehen viele unrechtmäßige Banns. Die Systeme, die dies verhindern sollen, greifen nur mit mäßigen Erfolg.

    Dieses Manko ist vermutlich das grösste Problem. Man holt sich dabei (aber auch bei extern entwickelten Anti-Hack Tools) oft fremde Abhängigkeiten ins Haus. Die Challenge die es gilt zu lösen ist beides zu wahren: Sicherheit und Zuverlässigkeit.
    Als jemand der sich jetzt schon einige Zeit mit der Konzeptionierung und Umsetzung einer besseren BanList sowie diversen Implementierungen zu Game- und Network Security beschäftigt, kann ich sehr sicher sagen, dass nichts davon einfach ist.
    Bestehende Lösungen tun bereits was sie können, doch meist reicht das eben nicht aus.

    Wie ich immer versuche anzumerken, liegt hier die Aufgabe bei uns allen als Community und ich möchte deinen Thread auch nochmal für etwas Aufmerksamkeit in dieser Richtung missbrauchen (sorry 0:-) ).
    Es gibt viele Ansätze und viel Konkurrenz, doch ich sehe uns als Community in der Pflicht bei Themen wie Sicherheit und Abwehr aktiv zusammen zu arbeiten!

    Klar, jeder denkt an sich, so sind und waren viele schon immer, doch was könnten wir erreichen, wenn wir kollektiv an Lösungen arbeiten? Wenn nicht jeder seinen Scheiß macht und gegen Geld mit anderen "teilt", wenn die Frage "was habe ich denn davon" zweitrangig ist?

    Es muss ja nicht alles OpenSource sein, natürlich nicht! Aber die Community unter uns Entwicklern braucht einen starken Push.

    Tools wie das von Infi haben sich durchaus etabliert, auch Playerindex nutzen viele, doch alles sind geschlossene Systeme, ob nun kostenlos oder nicht.

    Es gibt keine Standards, keine Kooperation und keine Transparenz. Jeder macht was er will, wie er will und alleine.

    Als Pac und ich mit GoRcon angefangen haben, haben wir nach Leuten gesucht, die es nutzen oder in eigenen Lösungen integrieren wollen. Viele Gespräche waren eher Diskussionen, da keiner den Sinn hinter einem gemeinschaftlichen Standard was Kommunikation angeht verstehen wollte.
    Nicht mal Playerindex, das damit sehr einfach Linux Support umsetzen könnte war an einem Gespräch interessiert.


    Wir müssen uns zusammenraufen, sowohl Konkurrenten als auch Freunde und gemeinsam an Plänen arbeiten um unsere Welt hier ein Stück sicherer zu machen.
    Ich habe schon mal versucht eine CoP (Community of Practice) ins Leben zu rufen, gekommen ist keiner.

    PlayNet selbst ist sogar genau die Umsetzung dieser Idee (auch wenn viele das nicht wissen oder glauben)...

    Jeder kann ein Teil davon sein, jedes Projekt ist willkommen und erhält Untersützung. Die einzige Gegenleistung: Kooperation und Kommunikation.

    Es geht dabei nicht darum Produkte zu bauen, nicht nur. Der Zweck liegt darin eine Front zu bilden und relevantes Wissen in einen Pool aus Ressourcen zu werfen und zu teilen. Wir müssen uns austauschen und zusammenarbeiten um etwas zu erreichen.

    Ich freue mich immer sehr, wenn cat24max mir etwas schickt das er an RCon neues falsches gefunden hat. Genau so arbeite ich an einem Bohemia Wiki Eintrag zu RCon.

    Jeder der zu mir kommt, egal was er wissen möchte bekommt nach bestem Wissen und Gewissen Hilfe. Etwas anderes kann keiner behaupten, denn mir ist es wichtig etwas zurück zu geben. Doch warum kommen die Leute zu mir und nicht zu uns als Gemeinschaft?

    Warum schlagen die Leute bei mir auf dem PlayNet Discord auf und werden von mir abgefertigt? Wo sind all die anderen Entwickler? Als hätte ich die Zeit! Ich nehme mir sie in den wenigen Fällen in denen ich kann.


    Wir können uns auf so viele Arten helfen, kommunizieren und sogar Spaß zusammen haben bei dem was wir tun, wir müssen uns nur aufraffen!

    Wer das schafft, kann sich jederzeit bei mir melden und mir helfen in der Richtung etwas aufzuziehen. Ganz egal wer und wozu!

    Genug gelabert (und genug von Stig 's Thread geklaut), ich hoffe ich konnte den ein oder anderen erreichen.

    Wenn nicht, bin ich auch nicht überrascht :rolleyes:.

    Grüsse,

    Finch

    Discord: https://discord.gg/dWZkR6R

    Tech Lead - Google Cloud Partnership

    Developer // Designer // SysAdmin // Manager // Consultant

    One of the people here really employed in this great profession

    Einmal editiert, zuletzt von Finch (23. August 2017 um 21:15)

    Klar und den weg sind wir auch gegangen wireshark an packete tracken etc. im entwfekt bin ich hin gegangen un habe die IP Ranges gesperrt aber da sollte bohemia einfach mal nachbessern das sowas einfach nicht möglich ist.