Teamspeak / Guest Server Query. Wie versprochen, eine kurze Ausführung zur Eilmeldung “Eindringen über Guest Server Query” vom 02. November 2020.
Am Morgen des 02. Novembers 2020 erreichte die Arbeitsgemeinschaft Funkspiele drei Nachrichten kleinerer Funkspiele, die in ihren Serverprotokollen (Teamspeak) verdächtige Einträge bemerkten.
Allesamt betrafen den “Server Query Login”. In der Regel geschieht dies über den “Guest Server Query”, in Ausnahmefallen über den normalen “Server Query Login”. Bei Zugriffen über den “Server Query Login” wiegt das Problem schwerer. In Fällen des “Server Query Logins” besitzt der Invasor bedeutend mehr Rechte, dadurch sind Änderungen durch Unbefugte am Teamspeak nicht auszuschließen.
Daher ist es dringend von Nöten, dass Serveradministratoren regelmäßig die Serverprotokolle des Teamspeaks im Auge haben.
Beispieleintrag:
dd.mm.YYYY HH:mm:ii VirtualServer Info query client connected 'AAAA'(id:B) from CCC.CCC.CCC.CCC:DDDDD
Aber nicht jeder “Query Login” ist ein Eindringling!
Leitstellensysteme, TS-Viewer oder andere Applikationen (z.B. YaTQA ) nutzen diesen Login, um Status zu übermitteln oder die Teamspeakserver-Einstellungen zu bearbeiten. Insbesondere Leitstellen oder Administrationshilfen haben hierfür erweiterte Rechte zugewiesen bekommen, um ihre Aufgaben wahrnehmen zu können. Sind die Zugangsdaten dieser geschützten Logins in fremde Hände geraten (bspw. durch das Dekompilieren von Leitstellensystemen), ist der zu erwartende Schaden kaum absehbar. Invasoren nutzen dies nämlich selten zur reinen Überwachung aus.
Was man jetzt unternehmen sollte
1. Erstmal Ruhe bewahren!
2. Die Logs durchgehen. Sobald man “Server Query Logins” gefunden hat, erstmal überprüfen, ob es sich um Freund oder Feind handelt. Hierbei sind die ID (B) und die IP (C) von Bedeutung. Zusätzlich geben hierüber die weiteren Einträge Aufschluss.
3. Servergruppen-Rechte und Client-Rechte überprüfen. Wer kann sich einen “Server Query Login” erstellen? Wer hat sich bereits einen entsprechenden Zugang angelegt?
4. Die Rechte des “Guest Query Logins” überprüfen.
5. Keine unüberlegten Handlungen und Einstellungen vornehmen!
Wie kann man sich davor schützen?
Bei Teamspeaks auf Self-Hosting-Basis ist das ganz einfach.
1. Der Query-Port beträgt standardmäßig 9987. Dieser lässt sich sehr einfach ändern.
2. In der Whitelist / Blacklist (query_ip_allowlist / query_ip_denylist, ab Version 3.13.0) entsprechende Eintragungen vornehmen.
3. Serveradministratoren sollten das Recht haben, “Server Querys” sehen zu dürfen. Aber Vorsicht! Aus Gründen des Datenschutzes sollte dies nur befugten Personen ermöglicht werden.
4. Bei erstellten “Server Query Logins” für Leitstellensysteme zum Beispiel, sollten nur Rechte vergeben werden, die auch benötigt werden. Ein sehr gern gemachter Fehler ist, dass man “Server Query Logins” als “Serveradmin” erstellt. Das heißt im Umkehrschluss, dieser Login hat die gleichen Rechte wie ein Admin!
5. Für benötigte “Server Query Logins” stets einen eigenen Teamspeakuser und eine eigene Servergruppe mit den nötigsten Rechten erstellen und hierüber den “Login” anlegen.
6. NIEMALS Servergruppen, wie beispielsweise “Serveradmin”, an Unbekannte – auch nicht für kurze Zeit – vergeben! Sollte dies doch mal von Nöten sein, dann ist dringend darauf zu achten, dass dieser User gelöscht wird. Hier unterscheiden sich nämlich Theorie und Praxis des Rechtesystems von Teamspeak.
Bei gestellten bzw. gemieteten Teamspeaks wende man sich an den Hoster.
Für weitere Fragen oder Hilfestellungen stehen wir gerne zur Verfügung.