Firewall workaround?

[Vystup]

Hallo geliebte Community,

Ich bin ueber mein Uni-Netzwerk mit dem Internet verbunden. Funktioniert alles einwandfrei, bis auf dass die Uni natuerlich eine nette Firewall hat, die alles boese draussen haelt. Leider sind die beliebten Battle.net-Ports nicht offen, jedenfalls muss ich mir schon beim Verbinden Wartezeiten von > 1 Minute antun. Spielen ist egal in welcher Zusammensetzung unmoeglich. Also nicht das uebliche Router-Lagproblem bei dem das 1on1 einwandfrei funktioniert.

Ich hab jetzt schon einiges probiert, u.a. habe ich einen PvPGN Server auf dem Campus eingerichtet, was allerdings daran gescheitert ist, dass hier sonst so gut wie keine Brood War-Spieler sind.

Meine letzte Idee waere jetzt, mit irgendwem in Deutschland ein VPN einzurichten und bei dem dann den Server laufen zu lassen. Meint ihr, dass das moeglich ist/ hilft? Falls ja, welche Software ist zu empfehlen? Bin WinXP Professional user. Andere Ideen?

Falls ihr noch Infos braucht bitte sagen.

Waere lieb, wenn hier wirklich nur Leute posten, die auch ein bisschen Ahnung von der Sache haben. Thx.

 

[[For]Hood2]

Ich würde einfach mal den Admin ansprechen, dabei ne Buddel feines ihm überreichend. Bei mir hat das bei sowas immer Wunder gewirkt.

Wenn ich allerdings mitbekommen habe das mir einer ohne Erlaubnis die Firewall tunnelte gabs ein paar links und rechts.

Fragen hilft!

 

[Vystup]

Gefragt hab ich schon, hat nicht geholfen :[

Trotzdem danke

 

[Busta_inaktiv]

so dick deine leitung auch sein mag, die entfernung ist doch recht groß. welche latenz hast du z.B. zu deutschen dsl-dialups oder auch uni-netzen?

 

[RRA^StArFiRe]

versuch doch ma den port 6112 übern port 80 zu tunneln.
spiele hosten kannst dann damit immer noch nicht, aber joinen könnte klappen. wär dann halt so, wie bei dem routerproblem, dass du kein remoteport 6112 hast

 

[Vystup]

Original geschrieben von Busta
so dick deine leitung auch sein mag, die entfernung ist doch recht groß. welche latenz hast du z.B. zu deutschen dsl-dialups oder auch uni-netzen?

Die Entfernung stoert nicht, das Problem tritt auf allen Servern (auch Asia, West und East) auf. Zumindest auf Asia sollte ich spielen koennen

@Starfire: meinst Du ueber den Registry-Eintrag fuer Brood War? Ich versuch das mal, allerdings weiss ich nicht, ob Brood War wirklich ueber jeden Port spielen mag. Danke soweit.

 

[RRA^StArFiRe]

ja entweder in der registry einstellen, oder lad dir n tunnelprog runter.
n kumpel hatte bei sich inner firma auch jeden scheiss über den port 80 getunnelt, weil sein chef die ports für kazaa usw. nicht freischalten wollt *g*

 

[Vystup]

Was ist ein Tunnelprog? Sorry, hab auf dem Gebiet nicht so die Moerderahnung, aber ich werd mal googlen.


EDIT: Ich hab mir gerade mal die HTTPort FAQ durchgelesen und ich bin mir nicht mehr so ganz sicher, ob ich das wirklich benutzen will, weil koennte ja doch ein bisschen Aerger geben :]

EDIT2: GameDataPort auf 80 stellen hat leider nix gebracht Andere Ideen, wie ich das bewerkstelligen kann, ohne dass der Netzwerkadmin sich daran stoert?

 

[Gast]

wenns ihn nicht stören würde hätte ers nicht dicht gemacht.

mein tipp: miracel whipp!

 

[Busta_inaktiv]

mit entfernung bezog ich mich auf zu erwartende hohe pings. sonst wäre ein vpn nach deutschland, der dich ins bnet durchroutet eine komfortable und einfache möglichkeit

Original geschrieben von mAiLmAn
wenns ihn nicht stören würde hätte ers nicht dicht gemacht.

nicht übertreiben.
die allgemeine portsperre richtet sich gegen so ziemlich alles, aber bestimmt nicht gegen (minimalen traffic verursachendes) spielen

 

[Gast]

die meisten uni-netze sind nicht zockfähig.
warum nur?
vielleicht, weil die admins wollen, dass die studenten das netz fürs studium nutzen, und nich zum zocken?

im studiheim mit uninetz is das nochmal was anderes, aber aufm campus?!

 

[HERR 2FICKENDEHUNDE]

fw tunneln ist gar kein problem, davon kricht der admin ja eben nichts mit. das ist ja der witz daran. es sei denn, du ziehst halt über dl tools und verursachst damit traffic ohne ende. dann würde es ihm sicherlich auffallen. da du aber nur bw zocken willst, sieht das für ihn ganz normal aus. ich denk kaum das der deine tcp/ip header auslesen wird, wenn er keinen verdacht schöpft. testen kannste es mal, ich bezweilfe nur, das du lagfrei über port80 spielen kannst.

wenn du in der nähe eines wohngebietes bist, kanst du auch ganz frech nen wl adapter in den pc stecken und versuchen über ungesicherte wl dsl zugänge zu zocken. mach das bei meiner freundin ab und zu, da sie nur einen analogen zugang hat. hab hier 13 accesspoints davon sind 6 unverschlüsselt und ungesichert, da sag ich doch glatt danke schön.

 

[Vystup]

Original geschrieben von Busta
mit entfernung bezog ich mich auf zu erwartende hohe pings. sonst wäre ein vpn nach deutschland, der dich ins bnet durchroutet eine komfortable und einfache möglichkeit

Also ich hab gerade mal die Uni Goettingen angepingt und das waren 300ms, was zum BW zocken absolut ausreichen sollte. Ich hab auch schon mit nem Kumpel in Deutschland UT gespielt, ohne irgendwelche Probleme. Hast Du irgendwelche Empfehlungen bzgl. VPN?

@hunde: Hab sowieso nur ein Notebook und das hat einen WLAN-Adapter eingebaut, allerdings finde ich nur den Accesspoint meiner Uni. Aber sobald ich wieder in Deutschland bin werd ich das mal ausprobieren Trotzdem danke fuer den Tipp.

Filesharing wollte ich nicht betreiben. Koenntest Du mir das mit den TCP/IP Headern nochmal genauer erlaeutern?

 

[HERR 2FICKENDEHUNDE]

jedes tcp/ip paket enthällt diese header, in denen stehen allerlei informationen drin, source, destination, protocoll usw.

an dem protocol, würde bei "normalen" surfen http drinstehen. wenn der admin das ausliest, würde er es sicherlich schnell bemerken, das du keine internet seite aufsuchst. allerdings musst du dazu auffällig werden. mit filesharing würde dies der fall sein. weil keine normale internetseite 1gig zum laden bereitstellt ^^ kein admin kommt auf die idee jedes tcp/ip paket auszulesen, das würde für einen tag warscheinlich jahrhunderte dauern ...

bei der masse an daten die an der uni über die fw gehen, sollte das überhaupt kein problem darstellen, wenn du zockst.

mit JAP von der tu dresden kannst du ganz easy tunneln, alle anfragen werden über localhost:4001 umgeleitet. die frage ist, kann man bw so konfigurieren, das es das ebenfalls tut. dann könntest du es mal ausprobieren.

hab leider nicht mehr zeit genauer drauf einzugehen aber hier gibts ja genug andere schlaue köpfe, die das mit den ip headern etwas genauer erklären können.

 

[Vystup]

Danke, hab schon einigermassen verstanden

 

[Vystup]

So, ich hab dann nochmal ein wenig rumprobiert und bin dabei auf ein paar interessante Dinge gestossen:

Zunaechst habe ich in der Registry testweise den Game Data Port auf 6113, 110 und 80 gesetzt:

Regmon zeigte mir dann auch, dass dieser Key tatsaechlich abgefragt wird:

Dann hab ich mich mal mit einem Server verbunden und dabei die Ports ueberwacht.
TCPView sagte mir folgendes:

Und meine Firewall kam zu folgendem Ergebnis:
zum Vergroessern klicken

Ich gehe mal davon aus, dass TCPView nur die Remote Ports anzeigt. Offensichtlich verbindet sich Starcraft aber ueber jeden beliebigen Port. Einziges Problem ist, dass dieser Port nur fuer den eigenen Rechner gilt, er fragt trotzdem den Port 6112 am Remote-Rechner (also dem mit der Firewall) ab, der diesen aber blockiert. Soweit irgendwelche Denkfehler?
Gut, was mir noch ein wenig komisch vorkommt, ist die Tatsache, dass das Spiel teilweise auf 2xxx-er Ports zurueckgreift, obwohl ich diese defintiv nicht an meinem Rechner eingestellt habe.

 

[Gast]

lol@fickende

ganz im sinne des wahren hackers!

bei mir gegenüber wohnt n typ der ne pc-service-ag betreibt, der hat auch n wlan... is zwar verschlüsselt aber ich glaub das betrachte ich demnächst mal als einstellungstest.
keine wlan hardware!

wenn der admin entweder gut oder psycho ist kannst du die methode mit dem tunneling dank dem von hunde erwähntem header auch vergessen. man kann die firewall so einstellen, dass sie per default auf den jeweiligen ports auch nur die vorgesehenen applikationen erlaubt, und wenn du auch noch ip header fälschen willst wird das mit dem lagfrei zocken immer unwahrscheinlicher...

zu den registry screens: genaues kann ich dir leider auch nicht sagen, aber ich denke, dass du einfach nicht durchkommst.
sc versucht den port den du festgelegt hast, bekommt keine antwort -> versucht den nächsten... und gibt irgendwann die meldung aus, dass du keine udp pakete empfangen kannst.
aber is schon ziemlich kompliziert mit sc und ports... vor allem, weil man offiziell von blizzard nix gescheites dazu bekommt.

 

[[For]Hood2]

ne ist ganz einfach:
Die Verbindung zum server wird immer über Port 6112 gemacht egal was ihr als Game Data Port eintragt. Das Game läuft dann allerdings über den eingestellten Port. Was ist denn daran schwer? Deine einzige Chance ist der VPN tunnel mit einem eigenen Bnetserver der von aussen erreichbar ist.

nochmal zum thema Firewall, sprich noch mal mit ihm...
Wenn er nur bissel denken kann läßt er automatisch auswerten und sich dann nur die ungewöhnlichen Header anzeigen. Dann logt er eine Woche Deine IP mit und peng... Warum glaubt Ihr eigentlich immer das IHR schlauer seid?

 

[Gast]

eben, admins sind meist nicht umsonst admins.
und an unis schon gar nicht. da wird schliesslich auch informatik unterrichtet... und die haben überdurchschnittlich viele mitglieder im ccc

 

[Vystup]

Gut, dann spar ich mir den Tunnel. Das ist das Schoene an diesem Forum, es gibt ein paar Leute mit sehr viel Ahnung.

Die Verbindung zum server wird immer über Port 6112 gemacht egal was ihr als Game Data Port eintragt. Das Game läuft dann allerdings über den eingestellten Port.

Das glaube ich irgendwie nicht ganz, denn ich hab mich nie bis zum Spiel durchgeklickt, ich hab immer nur beim Login-Screen geschaut und dann naechsten Port ausprobiert. Demnach ist der Port fuer den Server-Login durchaus relevant, den die Firewall zeigt ja die entsprechenden Verbindungen/ Ports an.

Hat irgendwer eine gute VPN-Anleitung fuer Anfaenger da? Ich werd auch mal googlen, vielleicht findet sich das ja.

 

[Observator]

Original geschrieben von mAiLmAn
wenn der admin entweder gut oder psycho ist kannst du die methode mit dem tunneling dank dem von hunde erwähntem header auch vergessen. man kann die firewall so einstellen, dass sie per default auf den jeweiligen ports auch nur die vorgesehenen applikationen erlaubt,...

Dann muss man eben durch http zu einem eigenen externen Server tunneln über den dann Port- und Protokollunbeschränkt der SCBW Datenverkehr läuft. Oder besser wohl, durch https, dann sollte es keine Probleme mit Zwangsproxies geben und rumschnüffeln kann in den gesendeten Daten dank Verschlüsselung auch kein Netzwerkadmin mehr. Auch udp Pakete und Spiele selbst hosten wären so getunnelt und umgeleitet kein Problem mehr.
Super-admins könnten die https Verbindung per Übertragung(svolumen) / Zeit Diagramm analysieren und wegen des für Webseiten sehr ungewöhnlichen, für Spiele aber typischen konstanten hoch- und runterladens, anstelle von für webseiten Zugriff typischen abwechselnden Perioden von Datenübertragung und Stille, mißtrauisch werden und weiter nachforschen ?
=> Zugriff auf den https Tunnel Verbindungspunkt auf dem externen Server angemessen tarnen, z.B: als Webseite für die Echtzeitüberwachung und -kontrolle eines Experiments wobei der engültige Zugang verständlicherweise per Passwort geschützt ist.

Irgendeine Möglichkeit gibt es immer

.

( Schneller(Laufzeit) würde die Sache durch so einen Umweg natürlich nicht, ob ein lagfreies spielen möglich wäre müsste man vermutlich in der Praxis testen wenn man sowas aufbaut )

 

[[For]Hood2]

Original geschrieben von Observator
Super-admins könnten die https Verbindung per Übertragung(svolumen) / Zeit Diagramm analysieren und wegen des für Webseiten sehr ungewöhnlichen, für Spiele aber typischen konstanten hoch- und runterladens, anstelle von für webseiten Zugriff typischen abwechselnden Perioden von Datenübertragung und Stille, mißtrauisch werden und weiter nachforschen ?

( Schneller(Laufzeit) würde die Sache durch so einen Umweg natürlich nicht, ob ein lagfreies spielen möglich wäre müsste man vermutlich in der Praxis testen wenn man sowas aufbaut )

Gut erkannt... nur das man keine Superadmin sein muss.

@Vystup: Natürlich MUSS es einen gemeinsamen Port geben, stell Dir vor du stellst 6048 ein, Dein gegenüber 6159 wie sollen die Datenpaketen da je zu sammenfinden. Ob Du jetzt versucht hast Dich zu connecten oder nicht ist irrelevant.

Hm Dari könnte Dir das wahrscheinlich besser erklären, immerhin war er bei FSGS dabei.

guckmal bei sourceforge nach open VPN
http://sourceforge.net/projects/openvpn/

 

[HERR 2FICKENDEHUNDE]

Original geschrieben von [For]Hood

nochmal zum thema Firewall, sprich noch mal mit ihm...
Wenn er nur bissel denken kann läßt er automatisch auswerten und sich dann nur die ungewöhnlichen Header anzeigen. Dann logt er eine Woche Deine IP mit und peng... Warum glaubt Ihr eigentlich immer das IHR schlauer seid?

das hat doch nix mit schlauer sein zu tun. ich finde bei sowas darf man nichts unversucht lassen. bei mir in der firma hab ich ewig rumprobiert mit diversen tunnelprogs und hab dabei eine menge gelernt. solange man sich auf legalem weg im netzt bewegt, sprich keine warez, filesharing, pr0n usw, wird es dem admin ziemlich egal sein. unseren admins in der firma ist das ziemlich egal, da ich bzw wir dadurch keinen höheren traffic verursachen. im grunde ist dies das einzige, was unsere admins interessiert, denn je mehr traffic, umso mehr kosten entstehen. keine ahnung ob das bei unis ähnlich gehalten wird. und letztendlich verbietet dir ja keiner, tunnelprogramme zu nutzen, solange man sich halt an oben bereits genannte regeln hält.

@mailman das hat nix mit hacken zu tun, ich zieh da auch nix filesharing technisch. not macht bekanntlich erfinderisch und in dieser hinsicht war das echt nen glücksgriff. einer war besonders nett und hat den wl router auf dhcp eingestellt, ich hatte schneller ne ip als ich gucken kann. könnte man den eigentlich auf nötigung verklagen? ich hab ja nicht nach ner ip gefragt

 

[[For]Hood2]

Du willst mir echt erzählen das Du die Firewall tunnelst und das dann nicht nutzt? Ansonsten würdest Du ja Traffic verursachen....

Entschuldige aber wenn es Euren Admins egal ist, das Ihre Firewall getunnelt wird, gehören sie gefeuert und der der sie tunnelt gleich mit.

98% aller geglückten hacks kommen durch einen tunnel der von innen aufgebaut wurde. Zwar meist unwissend aber von innen.

 

[Observator]

Original geschrieben von [For]Hood
98% aller geglückten hacks kommen durch einen tunnel der von innen aufgebaut wurde. Zwar meist unwissend aber von innen.

Du meinst z.B. eine ie Sicherheitslücke wird ausgenutzt um einen lokaler Rechner kompromittiert und der tunnelt dann durch die Firewall ?

Zu versuchen es unmöglich zu machen, dass durch die firewall getunnelt wird, ohne die Kontrolle über alle Rechner hinter der firewall die nach draußen kommunzieren dürfen zu haben, ist in etwa genauso aussichtsreich wie zu versuchen, die technische Möglichkeit zu eliminieren, dass Filme und Musik unerlaubt vervielfätigt werden können. Es ist aus grundsätzlichen Gründen einfach nicht ohne extremste Maßnahmen möglich - egal wie schlau die admins sind. Aber wenn sie glauben sie könnten das, dann sind sie wohl doch nicht so schlau. *

Über eine bidirektionale Datenverbindung die zu einem beliebigen unbekannten Recher aufgebaut werden kann, und wenn's nur http ist, können auch auf die eine oder andere Weise andere Arten von Daten übertragen werden als vorgesehen. Alternative Lösung: Das ganze Internet in der firewall für alle Ports auf die schwarze Liste setzen und nur ausgewählte Verbindungen erlauben.

Daraus folgt, man kann firewalls auch gleich wegwerfen.
Gut, das war ein Scherz.
Eine firewall ist sicher zumindest dafür gut, um die Möglichkeiten für eine anfängliche Kompromittierung einzugrenzen.

* Wenn ich mir so das Spiel zwischen sicherheitsbedachten netzwerkadmins die alle Vorgänge genau überwachen, Tunnel entdecken wollen vorstelle, und hackern die ihren erlangten Zugang möglichst unbemerkt halten wollen oder schnell Ergebnisse erzielen wollen und eigenwilligen Benutzern die Beschränkungen umgehen wollen, vorstelle, glaube ich, dass das durchaus interessant sein kann, für beide Seiten.

 

[[For]Hood2]

naja meist durch eine infizierte Email, aber wen ich mir coolwebsearch mit der hidden.dll anschaue (allgemein bekannt unter about:blank oder sp.hmtl) ist da auch schon was in der Richtung gelaufen.

Das kann man schon in den Griff bekommen, Restricted Sites, kein IE etc und zwar mit minimalen Aufwand. Mitarbeiter Schulungen...

Eine Firewall hat nunmal die Aufgabe das Lan dahinter gegen "Angriffe" von aussenzuschützen.

Das tolle ist man braucht das nicht dauernd zu überwachen, das macht die Firewall selber. (Ab und an nachschauen muss man natürlich)

* Wenn ich mir so das Spiel zwischen sicherheitsbedachten netzwerkadmins die alle Vorgänge genau überwachen, Tunnel entdecken wollen vorstelle, und hackern die ihren erlangten Zugang möglichst unbemerkt halten wollen oder schnell Ergebnisse erzielen wollen und eigenwilligen Benutzern die Beschränkungen umgehen wollen, vorstelle, glaube ich, dass das durchaus interessant sein kann, für beide Seiten.

Si hombre nur das die Admins nicht alles überwachen wollen, sondern wegen der Dummheit der Benutzer müssen.
Aber wegen dem hin und her macht die Sache auch Spass, aml gewinnt man, mal verliert man und manchmal lacht man sich dumm und dämlich.