# netzwerksicherheit

## flammenflitzer

Hallo

Ich wollte einen Bekannten zum Umstieg auf Linux ermuntern. Dazu fehlen mir aber einige Informationen. (Ich habe Kabelmodem und teilweise andere Ansprüche, deshalb die Fragen, da ich mich bis dato nicht mit dem Problem beschäftigt habe.)

Gibt es Programme zum Dialerschutz/ 0190-Warner? Gibt es eine Möglichkeit Kindersicherungen einfach zu konfigurieren und ggf. einfach zu ändern? Kann man daß System so einrichten, daß bei Browserstart die Modemverbindung gestartet und beim Beenden des Browser beendet wird?

----------

## slick

 *flammenflitzer wrote:*   

> Gibt es Programme zum Dialerschutz/ 0190-Warner?

 

Unter Linux gibt es das Problem der Dailer nicht da es 1) Windows-Software ist, und 2) wenn es welche für Linux geben würde, diese wahrscheinlich nicht funktionieren sollten, da nur der root Netzwerk-(Einwähl-)Verbindungen konfigurieren kann und der Nutzer unter Linux nie als root arbeiten sollte/wird. Das (Benutzer-) Konzept ist einfach ein anderes wie unter Windows.

 *flammenflitzer wrote:*   

> Gibt es eine Möglichkeit Kindersicherungen einfach zu konfigurieren und ggf. einfach zu ändern?

 

Was verstehtst Du darunter? Böse Internetseiten verbieten oder das nur bestimmte Programme benutzt werden dürfen? Also für Internetseiten wüßte ich jetzt nichts, aber wenn man dem Kind ein Benutzerprofil einrichtet kann man sehr fein justieren was dieser Nutzer auf der Maschine darf und was nicht.

 *flammenflitzer wrote:*   

> Kann man daß System so einrichten, daß bei Browserstart die Modemverbindung gestartet und beim Beenden des Browser beendet wird?

 

Alle gängigen Lösungen die mir dazu bekannt sind basieren entweder darauf das der Nutzer die Verbindung selbst herstellt und auch trennt, oder die Verbindung sich bei Bedarf selbst aufbaut und nach einer gewissen Leerlaufzeit von selbst getrennt wird. D.h. es liese sich durch ein paar Anpassungen sicherlich so regeln das die Verbindung getrennt wird wenn der Browser nicht mehr läuft, allerdings, schätze ich, wird das für Durchschnittsanwender nicht ganz so einfach zu realisieren sein.

<meinung>

Nimms mir nicht übel, aber wenn Du die Frage mit dem Dialerschutz/ 0190-Warnern erst gemeint hast, würde ich vorschlagen Du machst Dich selbst noch etwas über deine ganzen Fragen kundig, denn wenn Du mit diesem schlechten Grundlagenwissen jemanden Linux empfehlen bzw. sogar installieren willst könnte das u.U. mehr Schaden anrichten als ein gut gepflegtes Windowssystem.

</meinung>

----------

## flammenflitzer

 *slick wrote:*   

> 
> 
> Unter Linux gibt es das Problem der Dailer nicht da es 1) Windows-Software ist, und 2) wenn es welche für Linux geben würde, diese wahrscheinlich nicht funktionieren sollten, da nur der root Netzwerk-(Einwähl-)Verbindungen konfigurieren kann und der Nutzer unter Linux nie als root arbeiten sollte/wird. Das (Benutzer-) Konzept ist einfach ein anderes wie unter Windows.
> 
> 

 

Ich habe mich mit dem Problem der (Einwähl-)Verbindungen bisher nicht beschäftigt, da ich eine Standleitung über ein kabelmodem habe. Das solche Software nur für Windows ein Problem darstellt, und unter Linux nicht funktionieren würde halte ich nicht für korrekt. Eher, das sich bisher vielleicht noch niemand die Mühe gemacht hat, solche Programme zu schreiben. (Ähnlich wie mit Viren für Linux.) 

 *slick wrote:*   

> 
> 
> Was verstehtst Du darunter? Böse Internetseiten verbieten oder das nur bestimmte Programme benutzt werden dürfen? Also für Internetseiten wüßte ich jetzt nichts, aber wenn man dem Kind ein Benutzerprofil einrichtet kann man sehr fein justieren was dieser Nutzer auf der Maschine darf und was nicht.
> 
> 

 

Filterung von Webseiten, die nicht jugendfrei sind, mit vorkonfigurierten Filtern.

 *slick wrote:*   

> 
> 
> <meinung>
> 
> Nimms mir nicht übel, aber wenn Du die Frage mit dem Dialerschutz/ 0190-Warnern erst gemeint hast, würde ich vorschlagen Du machst Dich selbst noch etwas über deine ganzen Fragen kundig, denn wenn Du mit diesem schlechten Grundlagenwissen jemanden Linux empfehlen bzw. sogar installieren willst könnte das u.U. mehr Schaden anrichten als ein gut gepflegtes Windowssystem.
> ...

 

Kann ja nicht

 *slick wrote:*   

> 
> 
> Unter Linux gibt es das Problem der Dailer nicht.....
> 
> 

 

----------

## pawlak

 *flammenflitzer wrote:*   

> 
> 
> Ich habe mich mit dem Problem der (Einwähl-)Verbindungen bisher nicht beschäftigt, da ich eine Standleitung über ein kabelmodem habe. Das solche Software nur für Windows ein Problem darstellt, und unter Linux nicht funktionieren würde halte ich nicht für korrekt. Eher, das sich bisher vielleicht noch niemand die Mühe gemacht hat, solche Programme zu schreiben. (Ähnlich wie mit Viren für Linux.) 

 

Natürlich ist es _theoretisch_ möglich. Unter Windows wäre es imho auch nicht möglich, eine neue DFÜ Verbindung zu erstellen ohne Administratorrechte. Aber unter Windows arbeiten halt 95% mit Admin-Rechten. Unter linux ist Arbeiten mit root-Rechten nicht nötig, also wird hier keine Gefahr ausgehen.

 *flammenflitzer wrote:*   

> 
> 
> Filterung von Webseiten, die nicht jugendfrei sind, mit vorkonfigurierten Filtern.
> 
> 

 

/etc/hosts

----------

## think4urs11

 *flammenflitzer wrote:*   

> 
> 
> Ich habe mich mit dem Problem der (Einwähl-)Verbindungen bisher nicht beschäftigt, da ich eine Standleitung über ein kabelmodem habe. Das solche Software nur für Windows ein Problem darstellt, und unter Linux nicht funktionieren würde halte ich nicht für korrekt. Eher, das sich bisher vielleicht noch niemand die Mühe gemacht hat, solche Programme zu schreiben. (Ähnlich wie mit Viren für Linux.) 

 

Sehe ich ähnlich wobei die Gefahr dafür unter Windows generell aufgrund des ganzen Systems höher ist. Mal sehen was Vista da besser macht in Zukunft.

 *flammenflitzer wrote:*   

>  *slick wrote:*   
> 
> Was verstehtst Du darunter? Böse Internetseiten verbieten oder das nur bestimmte Programme benutzt werden dürfen? Also für Internetseiten wüßte ich jetzt nichts, aber wenn man dem Kind ein Benutzerprofil einrichtet kann man sehr fein justieren was dieser Nutzer auf der Maschine darf und was nicht.
> 
>  
> ...

 

Squid + squidguard/dansguardian mit passender URL-Datenbank

 *slick wrote:*   

> 
> 
> Unter Linux gibt es das Problem der Dailer nicht.....
> 
> 

 

Noch nicht, der Tag wird aber kommen. Je mehr Leute Linux ähnlich wie Windows einfach nur benutzen wollen, sich aber nicht damit beschäftigen wie es 'funzt' desto früher. Da wird dann genauso aus Bequemlichkeit mit root-Rechten gearbeitet wie in Windows, Updates werden nur alle Schaltjahre eingespielt, etc...

----------

## think4urs11

 *pawlak wrote:*   

> /etc/hosts

 

Schwer zu pflegen und  leicht zu umgehen ('freien' Proxy im Browser eintragen und gut ists)

----------

## pawlak

 *Think4UrS11 wrote:*   

>  *pawlak wrote:*   /etc/hosts 
> 
> Schwer zu pflegen und  leicht zu umgehen ('freien' Proxy im Browser eintragen und gut ists)

 

Klar, aber man soll hier Kinder schützen. Ich persönlich würde meine Kinder (wenn ich welche hätte) eh nicht ohne Aufsicht im Internet surfen lassen. Da bringts der beste Filter nicht. Wenn die Kinder alt genug sind, oder clever genug, um über nen Proxy die Sperre aufzuheben, dann dürfen sie eh machen, was sie wollen  :Wink: 

----------

## think4urs11

 *pawlak wrote:*   

>  *Think4UrS11 wrote:*    *pawlak wrote:*   /etc/hosts 
> 
> Schwer zu pflegen und  leicht zu umgehen ('freien' Proxy im Browser eintragen und gut ists) 
> 
> Klar, aber man soll hier Kinder schützen. Ich persönlich würde meine Kinder (wenn ich welche hätte) eh nicht ohne Aufsicht im Internet surfen lassen. Da bringts der beste Filter nicht. Wenn die Kinder alt genug sind, oder clever genug, um über nen Proxy die Sperre aufzuheben, dann dürfen sie eh machen, was sie wollen 

 

Meine Befürchtung ging ja auch eher in Richtung 'das Pflegen überfordert die Eltern' - die Kids lernen solche Grundlagen eh auf dem Schulhof.  :Wink: 

----------

## the-pugnacity

dann schreibst du halt nen script was beim anmelden von dem kleinen ausgehenden verbindungen nur auf port 80 und 443 erlaubst. ist zwar auch nicht so dolle aber steigert die sicherheit nochmal. absolute sicherheit gibt es nicht.

ausserdem würde ich entweder dabei sein wenn mein kind surft oder ihm zumindest vertrauen. so viel dazu.

----------

## slick

 *flammenflitzer wrote:*   

> Eher, das sich bisher vielleicht noch niemand die Mühe gemacht hat, solche Programme zu schreiben. (Ähnlich wie mit Viren für Linux.) 

 

Ich bezweifel das es in absehbarer Zeit funktionierende Dailer für Linuxsysteme geben wird. Zumindest solche wie sie unter Windows bekannt sind (heimliche Installation...)

 *Think4UrS11 wrote:*   

> Meine Befürchtung ging ja auch eher in Richtung 'das Pflegen überfordert die Eltern' - die Kids lernen solche Grundlagen eh auf dem Schulhof. :wink

 

Die Befürchtung möchte ich teilen, allerdings hat Sicherheit nunmal ihren Preis, entweder im Form von kommerzieller Software  und/oder dem Wissen der Eltern. 

Bei der Filterung würde ich vom Alter des Kindes ausgehen, sagen wir mal 0-12 sollte es ausreichen nur die Lieblinsseiten des Kindes durchzulassen (Whitelisting), für jedes Alter darüber die bösen rausfiltern (Blacklisting) Allerdings hat Blacklisting den Nachteil den bisher jede Filter-Software hat: Auf der einen Seite wird zu viel gefiltert (z.B. was ist mit "guten" Aufklärungsseiten auf denen bestimmte Begriffe nunmal vorkommen), auf der anderen Seite wird zu wenig gefiltert (oder hat wer eine ständig aktuelle Liste aller "bösen" Seiten?) Wenn es eine 100% sichere Filterlösung gebe würde das nicht nur manche Eltern freuen, sondern auch so manche Regierung. Von daher ist ab einem gewissen Alter eine gewisse Aufklärung des Kindes notwendig, weil es nicht verhindert werden kann das es 1) Zugriff auf böse Seiten erhält, 2) den Pedo. im Lieblingschat deines Kindes kannst Du damit auch nicht verhindern, 3) es sollte wissen das es nicht jedem seine persönlichen Daten geben darf. Fazit: Gute aufklärende Gespräche und eine gewissse "Medienerziehung" wirken mehr wie der beste Filter.

http://www.mediengewalt.de/erziehung/erziehung-internet.shtml

Wie würde ich ein System für den jugendlichen Möchtegernhacker absichern? Die o.g. Lösung mit Proxy und Blacklist (oder Whitelist (besser)) wählen, dann per iptables und den Option owner alle (Ziel-) Ports bis auf 80 sperren, jeden Traffic zu Port 80 über den, als transparenten konfigurierten, Proxy jagen. https ausschliesslich über Whitelisting. Mails nur über den lokalen Mailserver mit Spamfilter. Die effektivste Maßnahme das zu umgehen sollte für das Kind sein einen freien Proxy auf Port 80 zu suchen, das sollte aber beim anschauen der Logs auffallen was man regelmäßig tun sollte. Falls Dualboot mit Windows (zum spielen) den Zugriff von Windows aufs Internet komplett verhindern oder die o.g. Maßnahmen am Gateway konfigurieren sodass das Desktop-OS egal ist.

----------

## sebastianm

Wenn man mal davon absieht, dass BlackListing und WhiteListing zwei entgegengesetzte Prinzipien sind, die sich gegenseitig gänzlich ausschließen kann man dem nur beipflichten. 

BlackListing: Alles ist erlaubt was nicht explizit verboten ist - die Wurzel vieler Probleme und kaum vernünftig zu managen!

WhiteListing: Alles ist verboten, was nicht explizit erlaubt wurde - ein schlüssiges Konzept, dass auch angewandt werden sollte.

----------

## toskala

und bald kleben wir die fenster mit schwarzer folie zu damit man nich mehr rauskucken kann... verbotsmechanismen sind nie die lösung von problemen. das sind natürlich nur meine 2cents...

----------

## think4urs11

 *sebastianm wrote:*   

> Wenn man mal davon absieht, dass BlackListing und WhiteListing zwei entgegengesetzte Prinzipien sind, die sich gegenseitig gänzlich ausschließen kann man dem nur beipflichten. 

 

So kannst du das auch nicht stehenlassen. Beide lassen sich sehr wohl kombinieren.

Beispiel:

Blacklisting-DB mit Ad-Servern, Pornozeugs, Partnerbörsen, Chats, Onlineradio und was weiß ich.

Whitelist mit deinen eigenen Domains bzw. eben denen deines Konzerns.

Um nun auszuschließen das (die eigenen) Werbebanner in der Blackliste hängenbleiben fährst du erst gegen eine Whitelist - damit kommen die Ads deiner eigenen Firma auf jeden Fall mal durch und anschließend gegen eine Blacklist wo alles andere hängenbleibt das du explizit nicht willst.

Und irgendwo dazwischen ist alles was weder white- noch black-listed wurde, aber trotzdem erlaubt/geduldet wird.

In der Whitlist würde dann nur stehen firma.de(/*) firma.com(/*) subfirma.de(/*) ...

Analog für zuhause: disney.com teletubbies.de, mainzelmaennchen.de ...

Eine Blacklist kann genausowenig vollständig wie eine (detailierte) Whitelist managebar sein; oder um mit toskala zu sprechen:

Es kann niemals eine gute Idee sein soziale Probleme mit technischen Lösungen erschlagen zu wollen.

----------

## sebastianm

So kannst Du das aber auch nicht sehen:

Wenn ich eine WhiteList benutze ist alles was nicht explizit erlaubt wurde verboten. Damit ist die BlackList überflüssig.

Benutze ich eine BlackList ist alles was ich nicht verbiete erlaubt.

Sobald ich beides kombinieren will komme ich an die logische Barriere, die darin liegt, dass ich gleichzeitig alles definierte erlaube und verbiete, während ich per default alles verbiete und gleichzeitig erlaube... Das ist ne Schlange die sich selber in den Schwanz beisst.

Ich persönlich würde WhiteLists immer vorziehen, denn in öffentlich erreichbaren Netzen wie dem Internet (in dem man nunmal mit seinem Rechner hängt) MUSS man davon ausgehen, dass jede Anfrage erst einmal ein potentielles Risiko und alles andere als freundlich ist. 

Die Scheiben schwarz zuzukleben ist schwachsinn, aber wer von Euch benutzt eine Klingel und eine Türe um Leute ins Haus zu lassen, die man drinnen haben will (WhiteList) und wer lässt die Tür den ganzen Tag offen und wirft nur Leute raus, die stören (BlackList)... Ich denke, dass das Ergebnis recht eindeutig sein dürfte.

Und natürlich ist es keine Lösung - nicht mal ansatzweise - soziale Probleme mit Technik zu erschlagen.

----------

## think4urs11

gut, irgendwo haben wir beide recht.

Mein Ansatz war eher

a) 'white' list -> auf jeden Fall erlaubt, unabhängig von evtl. in der 'black' list geführten Regeln (eben z.B. konzerneigene Seiten)

b) 'grey' list -> grundsätzlich erlaubt -AUßER- es bleibt in c) hängen.

c) 'black' list -> Etwas das ich nicht haben will

Nur mal so als praktischen Bezug zum Thema:

Versuch mal - ohne jeden Tag geprügelt zu werden - für >3.000 User über Europas div. Zeitzonen und 8 verschiedene Internetzugänge/Proxies eine Whitelist zu führen wenn dein Team aus zwei armen Admins besteht. (Und nebenbei der GF zu erklären warum du die Seite X des Konzernauftritts im Web wegfilterst)

Allein aufgrund sprachlicher Barrieren ist das selbst in der Theorie nicht mehr zu machen. Ich kenne jedenfalls nicht viele Admins die neben Englisch auch nur noch eine andere Sprache fließend (genug) könnten.

Damit sind wir zwar ein ganzes Stück weg von dem was der OP wollte, aber da der Thread nunmal Netzwerksicherheit heißt paßt es ja doch noch (imho)...

----------

## slick

 *Think4UrS11 wrote:*   

> Versuch mal - ohne jeden Tag geprügelt zu werden - für >3.000 User über Europas div. Zeitzonen und 8 verschiedene Internetzugänge/Proxies eine Whitelist zu führen wenn dein Team aus zwei armen Admins besteht.

 

Beim Eingangspost war ja auch die Rede von Absichern des Zugriffs ("lokal") für ein Kind. Wenn es denn um solche große Szenarien geht muß man dann natürlich entsprechend größere Geschütze auffahren. _Ich_ würde hier einen mehrstufige Black-/Whitelist ansetzen. D.h. erst durch manuell gepflegte Blacklist, dann eine Whitelist welche die folgenden Filter überspringt, dann durch die Blacklists/Wortfilter verschiedener Programme/Anbeiter (Privoxy, Adzapper,...). Zumindest soweit mein theoretischer Ansatz. Aber bei einem Netz dieser Größenordnung (mit 2 Admins) sollte man über mehr Personal und/oder über kommerzielle Produkte nachdenken wenn man dem effektiv begegnen will.

----------

## think4urs11

[quote="slick"] *Think4UrS11 wrote:*   

>  _Ich_ würde hier einen mehrstufige Black-/Whitelist ansetzen. D.h. erst durch manuell gepflegte Blacklist, dann eine Whitelist welche die folgenden Filter überspringt, dann durch die Blacklists/Wortfilter verschiedener Programme/Anbeiter (Privoxy, Adzapper,...). Zumindest soweit mein theoretischer Ansatz. Aber bei einem Netz dieser Größenordnung (mit 2 Admins) sollte man über mehr Personal und/oder über kommerzielle Produkte nachdenken wenn man dem effektiv begegnen will.

 

So ähnlich wollen wirs ja auch machen - die derzeitige Lösung ist schlicht crap und das hat selbst die GF inzwischen verstanden. (Weil immer wieder ihre 'Lieblingsseiten' im Filter kleben bleiben, wir an dem aber andererseits auch nichts ändern dürfen - kranke Welt...)

Nur zum Thema Personal+Tools -> komm mal vorbei und machs unserer GF klar, die haben zur Zeit nur noch die costsaving-Brille auf und alles oberhalb von 50Euro ist schwierig zu bekommen  :Confused: 

----------

## slick

 *Think4UrS11 wrote:*   

> Nur zum Thema Personal+Tools -> komm mal vorbei und machs unserer GF klar, die haben zur Zeit nur noch die costsaving-Brille auf und alles oberhalb von 50Euro ist schwierig zu bekommen 

 

Och, schönes Argument bei großen Firmen ist immer das man in der derzeitigen Situation nicht in der Lage ist alle bösen Seiten zu blocken und es durchaus möglich ist das KiPos auf einem Rechner landen könnten, und falls das zufällig in die Medien kommt nicht grad toll für das Image ist ... außerdem sind auch die besten Virenscanner nicht in der Lage neueste Malware zu erkennen, die als Trojaner Firmendaten klauen könnten. Naja, Chefs, das Geld und IT-Sicherheit... das übliche Thema.

----------

