Programme, Websites und AdWare sperren + Proxy

Programme, Websites und AdWare sperren + Proxy

Sehr geehrte Experten!

Ich möchte die Sicherheit und Stabilität unserer kleinen Netzwerkes
verbessern und um dies zu erreichen, suche ich ein Programm, welches
umfangreiche Sperr- und Sicherheitsfunktionen hat.
Ich möchte einige Programme (wie ICQ und AIM/MSN) sperren lassen,
außerdem einzelne Websites und pauschale Suchbegriffe im Bereich
Pornographie und Rechtsextremismus. Weiterhin würde ich gerne per
Liste alle bekannte AdWare sperren, bzw. die Installation automatisch
verhindern lassen, oft ist das ja sehr geschickt versteckt! Ein
netter Zusatz wäre noch ein Proxy-Feature mit automatischem
Listenupdate, wobei ich selbst das als Einzelimplementation noch
nirgends gesehen habe.
Bisher ging es natürlich ohne, aber manche werden sich aufregen und
genau aus dem Grund möchte ich auch dass das jetzt angegangen wird,
weil ich denke , wenn man Personal Computer benutzt, sollte man sich
über deren Risiken bewusst sein und alle möglichen Sicherheitslöcher
und Problemstellen schließen! Wir nutzen momentan noch die Fritz!Box
FON WLAN 7050, eventuell kann man auch hier einzelne dieser Dinge
einstellen? Ich kenne mich da kaum aus, schaue gerne nochmal in’s
Handbuch, am liebsten wäre mir jedoch auch eine Komplett –
allesineinem – Lösung.

Vielen Dank für Ihre Hilfe schon im Voraus!

Mit freundlichen Grüßen

Philipp

_{Team: Name entfernt}

Hallo.

Ich möchte die Sicherheit und Stabilität unserer kleinen
Netzwerkes verbessern und um dies zu erreichen, suche ich ein
Programm, welches umfangreiche Sperr- und
Sicherheitsfunktionen hat.

Damit verringert man allenfalls die Wahrscheinlichkeit sich digitales Ungeziefer einzufangen. Ein paar Ideen gehen aber auch manuell

Ich möchte einige Programme (wie ICQ und AIM/MSN) sperren

Benutzerrechte minimieren und das Installieren von Software unterdrücken, z.B. durch systemweit schreibgeschützte Ordner.

lassen, außerdem einzelne Websites und pauschale Suchbegriffe
im Bereich Pornographie und Rechtsextremismus. Weiterhin würde

Cache der installierten Browser auf Null stellen.

ich gerne per Liste alle bekannte AdWare sperren, bzw. die
Installation automatisch verhindern lassen, oft ist das ja
sehr geschickt versteckt! Ein netter Zusatz wäre noch ein
Proxy-Feature mit automatischem Listenupdate, wobei ich selbst
das als Einzelimplementation noch nirgends gesehen habe.
Bisher ging es natürlich ohne, aber manche werden sich
aufregen und genau aus dem Grund möchte ich auch dass das
jetzt angegangen wird, weil ich denke , wenn man Personal
Computer benutzt, sollte man sich über deren Risiken bewusst
sein und alle möglichen Sicherheitslöcher und Problemstellen
schließen!

Stimmt. Hier ein wenig Werbung für https://www.sicher-im-netz.de/?initiative/sicheresof…
Wir nutzen momentan noch die Fritz!Box FON WLAN

7050, eventuell kann man auch hier einzelne dieser Dinge
einstellen? Ich kenne mich da kaum aus, schaue gerne nochmal
in’s Handbuch, am liebsten wäre mir jedoch auch eine Komplett
– allesineinem – Lösung.

Noch eine Idee: der Router lässt nur bestimmte MAC-Adressen (*) zu.
Alle Karten mit anderen Adressen bleiben dann draussen
(*)damit ist die eindeutige Identifikationsnummer der Netzwerkkarte gemeint.

Vielen Dank für Ihre Hilfe schon im Voraus!

Noch eine Seite: http://www.tecchannel.de/netzwerk/

HTH
mfg M.L.

Hallo,

Noch eine Idee: der Router lässt nur bestimmte MAC-Adressen
(*) zu.
Alle Karten mit anderen Adressen bleiben dann draussen

crystalline:/home/niehaus# ifconfig eth1
eth1 Protokoll:Ethernet **Hardware Adresse 00:0C:F1:34:smiley:8:0C** 
 inet Adresse:192.168.0.100 Bcast:192.168.0.255 Maske:255.255.255.0
 inet6 Adresse: 2001:6f8:1311:0:20c:f1ff:fe34:d80c/64 Gültigkeitsbereich:Global
 inet6 Adresse: fe80::20c:f1ff:fe34:d80c/64 Gültigkeitsbereich:Verbindung
 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
 RX packets:1350578 errors:3592 dropped:0 overruns:0 frame:0
 TX packets:1661844 errors:0 dropped:0 overruns:0 carrier:1
 Kollisionen:0 Sendewarteschlangenlänge:1000 
 RX bytes:322053270 (307.1 MiB) TX bytes:212734674 (202.8 MiB)
 Interrupt:11 Speicher:c0214000-c0214fff 

crystalline:/home/niehaus# _ **ifconfig eth1 hw ether "00:smiley:E:AD:11:BE:EF"** _


crystalline:/home/niehaus# ifconfig eth1
eth1 Protokoll:Ethernet **Hardware Adresse 00:smiley:E:AD:11:BE:EF** 
 inet Adresse:192.168.0.100 Bcast:192.168.0.255 Maske:255.255.255.0
 inet6 Adresse: 2001:6f8:1311:0:20c:f1ff:fe34:d80c/64 Gültigkeitsbereich:Global
 inet6 Adresse: fe80::20c:f1ff:fe34:d80c/64 Gültigkeitsbereich:Verbindung
 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
 RX packets:1350690 errors:3592 dropped:0 overruns:0 frame:0
 TX packets:1662010 errors:0 dropped:0 overruns:0 carrier:2
 Kollisionen:0 Sendewarteschlangenlänge:1000 
 RX bytes:322087534 (307.1 MiB) TX bytes:212747578 (202.8 MiB)
 Interrupt:11 Speicher:c0214000-c0214fff 

crystalline:/home/niehaus# 

Soviel dazu.

HTH,

Sebastian

Hallo nochmL:

Hallo,

Noch eine Idee: der Router lässt nur bestimmte MAC-Adressen
(*) zu.
Alle Karten mit anderen Adressen bleiben dann draussen

Damit war sowas wie hier gemeint: http://www.aidex.de/internet/wlan-sicherheit.html -> ‚Unbekannte Computer aussperren‘

crystalline:/home/niehaus# ifconfig eth1

crystalline:/home/niehaus# ifconfig eth1 hw ether
"00:smiley:E:AD:11:BE:EF"
crystalline:/home/niehaus# ifconfig eth1
Soviel dazu.

Sehr schön, aber siehe den link
Unter Suse >= 9.2 gibt es unter /etc/sysconfig/network übrigens eine Datei eth0–…, die die MAC Adresse(n) anzeigt (=…)

mfg M.L.

Hi,

Ich möchte einige Programme (wie ICQ und AIM/MSN) sperren
lassen, außerdem einzelne Websites und pauschale Suchbegriffe
im Bereich Pornographie und Rechtsextremismus. Weiterhin würde
ich gerne per Liste alle bekannte AdWare sperren, bzw. die
Installation automatisch verhindern lassen, oft ist das ja
sehr geschickt versteckt! Ein netter Zusatz wäre noch ein
Proxy-Feature mit automatischem Listenupdate, wobei ich selbst
das als Einzelimplementation noch nirgends gesehen habe.

vergiß das, was Markus geschrieben hat, das bringt’s nicht.
Die einzige effektive Lösung, einen solchen „Schutz“ zu realisieren ist ein Proxy-Server, also eine zusätzliche Maschine, auf der bspw. Squid o.ä. läuft und die solche Zugriffe kontrolliert. Damit geht das (halbwegs!) wirksam.

Je nach Schutzbedarf empfehle ich allerdings, https nicht zuzulassen, da man einen Proxy, der https erlaubt, sehr leicht tunneln kann und dann doch wieder freie Hand hat - ja, das geht auch mit eingeschränkten Benutzerrechten auf den PCs.

Die Einrichtung eines solchen Proxy ist allerdings nicht ganz ohne…

Gruß,

Malte

Antwort
Vielen Dank für Ihre Antworten! Auch danke für die interessanten und
nützlichen Links.
Zu einzelnen Punkten will ich noch etwas sagen:

Benutzerrechte minimieren und das Installieren von Software

unterdrücken, z.B. durch systemweit :schreibgeschützte Ordner.

Dies ist nicht mein Ziel, da ich sicher nicht allgemein Software
unterdrücken will, außerdem geht es um Rechnerspezifische
Einschränkungen und ich wüsste nicht wie / wo da schreibgeschützte
Ordner helfen sollten?! Ich will schlicht das Ausführen von einigen
*.exe Dateien unterbinden. Eventuell auch andere, je nachdem ob das
nötig sein sollte (denke eher nicht).

Cache der installierten Browser auf Null stellen.

Das verhindert in keiner Weise die Eingabe von Suchbegriffen und das
Auffinden bzw. das reine Aufrufen von Müll, den ich nicht da sehen
will. Ich gehe natürlich davon aus, dass das sowieso keiner sucht,
aber ich dachte mir, hey warum nicht gleich einfach die Begriffe
sperren lassen, wie ich das von anderen Rechnernetzwerken kenne?

Noch eine Idee: der Router lässt nur bestimmte MAC-Adressen (*) zu.
Alle Karten mit anderen Adressen bleiben dann draussen
(*)damit ist die eindeutige Identifikationsnummer der Netzwerkkarte

gemeint.

Das ist ja schon so eingerichtet, wobei es ja anscheinend da
Umgehungsmaßnahmen gibt?:

crystalline:/home/niehaus# ifconfig eth1

Etc.

Was auch immer das ist, ich habe keine Ahnung davon!! Und ich freue
mich natürlich über Ihre Hilfe, nur werde ich damit nichts anfangen
können.

Die einzige effektive Lösung, einen solchen „Schutz“ zu realisieren

ist ein Proxy-Server, also eine :zusätzliche Maschine, auf der bspw.
Squid o.ä. läuft und die solche Zugriffe kontrolliert. Damit
geht :das (halbwegs!) wirksam.

Das finde ich interessant, weil ich jetzt nicht davon ausgegangen
bin, alle Punkte auch über einen Proxy realisieren zu können! Darf
ich fragen wie das funktioniert? Ich habe mir das dann wohl bisher
falsch vorgestellt bzw. kein komplettes Bild von der Technik gehabt.
Gibt es zu „Squid“ einen Link, bzw. etwas, wo ich mich dann genauer
informieren kann?

Je nach Schutzbedarf empfehle ich allerdings, https nicht

zuzulassen, da man einen Proxy, der https :erlaubt, sehr leicht
tunneln kann und dann doch wieder freie Hand hat - ja, das geht auch
mit :eingeschränkten Benutzerrechten auf den PCs.

Nun ja, https würde ich schon gerne zulassen, aber sie haben sicher
recht. Kann man diese Tunnelung irgendwo erklärt bzw. auf Screenshots
sehen? Kommt das denn oft vor?
Und wieso sind gerade diese „sicheren“ Verbindungen anfälliger als
normale?!?!
Das sollte doch eigentlich überhaupt nicht der Fall sein!!
Das Thema „eingeschränkte Benutzerrechte“ unter Windows ist mir auch
wieder zu unflexibel, eingeschränkt und unsauber. Ob es sicher ist,
bezweifele ich dann auch…

Die Einrichtung eines solchen Proxy ist allerdings nicht ganz

ohne…

Nun gut, ich bin bereit zu lernen, wenn ich etwas
Anfangsunterstützung bekomme!

Vielen Dank nochmals für all Ihre Hilfe!

Mit freundlichen Grüßen

Philipp

_{Team: Name entfernt}

Hallo nochmal.

Vielen Dank für Ihre Antworten! Auch danke für die
interessanten und nützlichen Links.

Bitte bitte

Dies ist nicht mein Ziel, da ich sicher nicht allgemein
Software unterdrücken will, außerdem geht es um
Rechnerspezifische Einschränkungen und ich wüsste nicht wie /
wo da schreibgeschützte Ordner helfen sollten?! Ich will
schlicht das Ausführen von einigen *.exe Dateien unterbinden.
Eventuell auch andere, je nachdem ob das nötig sein sollte
(denke eher nicht).

Das Konzept des Schreibers dieser Zeilen dient eher dazu die auf
dem Computer angekommene ‚böse‘ Software nach Möglichkeit keinen
Schaden anrichten zu lassen. Zumindest sollten nur Admins die
Berechtigung zum Schreibzugriff und die Installation haben.

Cache der installierten Browser auf Null stellen.

Das verhindert in keiner Weise die Eingabe von Suchbegriffen
und das Auffinden bzw. das reine Aufrufen von Müll, den ich
nicht da sehen will. Ich gehe natürlich davon aus, dass das
sowieso keiner sucht, aber ich dachte mir, hey warum nicht
gleich einfach die Begriffe sperren lassen, wie ich das von
anderen Rechnernetzwerken kenne?

Schon klar. Zumindest macht man es potentiellen Spurensuchern aber
schwerer die Platte nach verdächtigem Material zu durchkämmen.

crystalline:/home/niehaus# ifconfig eth1

Etc.

Was auch immer das ist, ich habe keine Ahnung davon!! Und ich
freue mich natürlich über Ihre Hilfe, nur werde ich damit
nichts anfangen können.

…damit erfährt man (auch) die MAC Adresse einer Karte.

Die einzige effektive Lösung, einen solchen „Schutz“ zu realisieren ist ein Proxy-Server, also eine :zusätzliche Maschine, auf der bspw. Squid o.ä. läuft und die solche Zugriffe kontrolliert. Damit geht :das (halbwegs!) wirksam.

Das finde ich interessant, weil ich jetzt nicht davon
ausgegangen bin, alle Punkte auch über einen Proxy realisieren
zu können! Darf ich fragen wie das funktioniert? Ich habe mir
das dann wohl bisher falsch vorgestellt bzw. kein komplettes
Bild von der Technik gehabt. Gibt es zu „Squid“ einen Link,
bzw. etwas, wo ich mich dann genauer informieren kann?

http://www.squid-cache.org

Je nach Schutzbedarf empfehle ich allerdings, https nicht zuzulassen, da man einen Proxy, der https :erlaubt, sehr leicht tunneln kann und dann doch wieder freie Hand hat - ja, das geht auch mit :eingeschränkten Benutzerrechten auf den PCs.

Nun ja, https würde ich schon gerne zulassen, aber sie haben
sicher recht. Kann man diese Tunnelung irgendwo erklärt bzw.
auf Screenshots sehen? Kommt das denn oft vor?
Und wieso sind gerade diese „sicheren“ Verbindungen anfälliger
als normale?!?!

http://www.tecchannel.de/sicherheit/aktuell/427644/i… (passt aber nicht richtig…)

Das sollte doch eigentlich überhaupt nicht der Fall sein!!
Das Thema „eingeschränkte Benutzerrechte“ unter Windows ist
mir auch wieder zu unflexibel, eingeschränkt und unsauber. Ob
es sicher ist, bezweifele ich dann auch…

Deswegen sollten sensible Bereiche auch für einen normalen Nutzer
gar nicht erst einsehbar sein

HTH
mfg M.L.

Hallo,

vergiß das, was Markus geschrieben hat, das bringt’s nicht.
Die einzige effektive Lösung, einen solchen „Schutz“ zu
realisieren ist ein Proxy-Server, also eine zusätzliche
Maschine, auf der bspw. Squid o.ä. läuft und die solche
Zugriffe kontrolliert. Damit geht das (halbwegs!) wirksam.

[21:25:54][niehaus@crystalline:~]$ apt-cache show squidguard
Package: squidguard
Priority: optional
Section: web
Installed-Size: 428
Maintainer: Ivan E. Moore II 
Architecture: i386
Version: 1.2.0-5
Depends: libc6 (\>= 2.3.2-1), libdb4.1, perl, squid, liburi-perl, libwww-perl, debconf
Suggests: chastity-list
Filename: pool/main/s/squidguard/squidguard\_1.2.0-5\_i386.deb
Size: 132176
MD5sum: 68e2a568db73ad6fc366f3059b7b5765
Description: filter, redirector and access controller plug for Squid
 squidGuard is a free (GPL), flexible and ultra fast filter, redirector
 and access controller plugin for squid. It lets you define multiple
 access rules with different restrictions for different user groups on
 a squid cache. squidGuard uses squid's standard redirector interface.

[21:25:55][niehaus@crystalline:~]$ 

Je nach Schutzbedarf empfehle ich allerdings, https nicht
zuzulassen, da man einen Proxy, der https erlaubt, sehr leicht
tunneln kann

Nun, einen Proxy mit http kann man genauso tunneln. Ich sehe wirklich keinen Grund, https zu verbieten. Wenn die Leute sich stattdessen im Falle einer Wahlmöglichkeit den non-SSL-Login zu nutzen, hat man nichts gewonnen und viel verloren.

Gruß,

Sebastian

Hallo,

Je nach Schutzbedarf empfehle ich allerdings, https nicht
zuzulassen, da man einen Proxy, der https erlaubt, sehr leicht
tunneln kann

Nun, einen Proxy mit http kann man genauso tunneln. Ich sehe
wirklich keinen Grund, https zu verbieten. Wenn die Leute sich
stattdessen im Falle einer Wahlmöglichkeit den non-SSL-Login
zu nutzen, hat man nichts gewonnen und viel verloren.

http-Traffic kannst Du abhängig vom Inhalt filtern. https-Traffic nicht.
Was das für Auswirkungen auf eine Sicherheitspolitik hat, ist eine andere Frage.

Gruß,

Malte

Hallo,

Je nach Schutzbedarf empfehle ich allerdings, https nicht
zuzulassen, da man einen Proxy, der https erlaubt, sehr leicht
tunneln kann

http-Traffic kannst Du abhängig vom Inhalt filtern.
https-Traffic nicht.

Ja, nun braucht es ein wenig Steganographie …

Was das für Auswirkungen auf eine Sicherheitspolitik hat, ist
eine andere Frage.

Jo, eben.

Gruß,

Sebastian

Hallo nochmal.

Morgen,

Das Konzept des Schreibers

Irgendwie kann ich vom Konzept noch nicht so viel sehen.

dieser Zeilen dient eher dazu die auf dem Computer
angekommene ‚böse‘ Software nach Möglichkeit keinen Schaden
anrichten zu lassen.

Dummerweise ist Schadsoftware (in diesem Zusammenhang zaehle ich ICQ einfach mal mit dazu) dafuer konzipiert, solche Massnahmen zu umgehen und dem Admin das Leben schwer zu machen. Eigentlich hilft hier ein schriftliches Verbot, welches die Netzwerkteilnehmer unterschreiben muessen. Ein Verstoss bewirkt Ausschluss aus dem Netzwerk. Das automatische installieren kann durch Verwendung eines Browsers verhindert werden.

Zumindest sollten nur Admins die Berechtigung zum
Schreibzugriff und die Installation haben.

ACK. Als zusaetzliche Massnahme kann das nuetzlich sein. Da ein Grossteil der Schadsoftware wohl sowieso davon ausgeht, dass sie Admin-Rechte kriegt.

Cache der installierten Browser auf Null stellen.

Versteh ich auch nicht.

Das verhindert in keiner Weise die Eingabe von Suchbegriffen
und das Auffinden bzw. das reine Aufrufen von Müll, den ich
nicht da sehen will.

Eben.

Zumindest macht man es potentiellen Spurensuchern aber
schwerer die Platte nach verdächtigem Material zu durchkämmen.

Haeh? Es geht doch nicht darum, Spurensucher abzuwuergen. Die Netzwerkteilnehmer sollen keine Pr0nz suchen. Das machen sie mit oder ohne Cache.

crystalline:/home/niehaus# ifconfig eth1

Was auch immer das ist, ich habe keine Ahnung davon!! Und ich
freue mich natürlich über Ihre Hilfe, nur werde ich damit
nichts anfangen können.

…damit erfährt man (auch) die MAC Adresse einer Karte.

Nein. Sieh nochmal genau hin. Damit aendert man die MAC-Adresse einer Karte. Filterung nach MAC-Adressen ist bestenfalls Obfuscation.

Die einzige effektive Lösung, einen solchen „Schutz“ zu
realisieren ist ein Proxy-Server, also eine zusätzliche
Maschine, auf der bspw. Squid o.ä. läuft und die solche
Zugriffe kontrolliert. Damit geht das (halbwegs!) wirksam.

Das finde ich interessant, weil ich jetzt nicht davon
ausgegangen bin, alle Punkte auch über einen Proxy realisieren
zu können! Darf ich fragen wie das funktioniert?

Man stellt sich einen aeltlichen Rechner hin, installiert auf dem ein unixoides Betriebssystem (kann sein, dass es squid auch fuer andere gibt; dann stellt das genannte eine Empfehlung nach persoenlichem Geschmack dar) und dazu dann den squid. Anschliessend faengt man an die Doku von dem (gesamten) Ding zu lesen.

Je nach Schutzbedarf empfehle ich allerdings, https nicht
zuzulassen, da man einen Proxy, der https erlaubt, sehr
leicht tunneln kann und dann doch wieder freie Hand hat -
ja, das geht auch mit eingeschränkten Benutzerrechten auf
den PCs.

Nun ja, https würde ich schon gerne zulassen, aber sie haben
sicher recht. Kann man diese Tunnelung irgendwo erklärt bzw.
auf Screenshots sehen?

Aehm… auf Screenshots? Naja, Tunneln ist halt ein allgemeiner Begriff, der das Unterwandern einer Sicherheitseinrichtung beschreibt. Eigentlich muss es sich noch nicht mal um eine Sicherheitseinrichtung handeln. Das Grundprinzip ist so, dass man seine eigentlichen Verbindungsdaten (evtl. nach Verschluesselung) in eine andere Verbindung verpackt. Der Zweck ist meist, dass der erste Kommunikationsstrom fuer das Umfeld ungeeignet ist (unverschluesselt, am Gateway nicht zugelassen, etc.), ein ebensolcher der zweiten Art aber schon. Der Trick beim HTTPS ist, dass Dein Proxy nicht unterscheiden kann, ob es sich um eine echte HTTPS-Verbindung handelt oder um irgendwelchen anderen Muell (weil’s halt verschluesselt ist). Generell kannst Du auch die Inhalte einer HTTPS-Verbindung nicht einsehen und daher dort auch keine Pr0nz und Warez rausfiltern. Du kannst maximal in gewissen Grenzen die beiden Endpunkte der Verbindung einsehen und dahingehend Massnahmen ergreifen.

Kommt das denn oft vor?

Was willst Du jetzt hoeren? Du solltest davon ausgehen, dass es vorkommt, wann immer es notwendig ist.

Und wieso sind gerade diese „sicheren“ Verbindungen anfälliger
als normale?!?!

http://www.tecchannel.de/sicherheit/aktuell/427644/i…
(passt aber nicht richtig…)

Passt eigentlich ueberhaupt nicht.

Alles in Allem, wuerde ich sagen, fehlt Dir, Philipp, gehoerig das Know How fehlt, um zu stemmen, was Du da vor hast. Wenn es schnell gehen soll, beauftrage eine Firma. Hast Du Zweifel an der Qualitaet ihres Konzept, kannst Du das hier gern zur Diskussion stellen. Hast Du Zeit (ca. 2 Jahre) solltest Du anfangen, Dir die genannte Doku zum Thema zu Gemuete zu fuehren und dann Schritt fuer Schritt die Moeglichkeiten damit auszuschoepfen. Ich habe im Augenblick aber schon Zweifel, ob sich Dein Vorhaben in aller Vollstaendigkeit bei genannten Voraussetzungen realisieren laesst.

Gruss vom Frank.

Hallo Ihr!

Also es sind nur einige Rechner, bei denen ich das umsetzen will und
es ist nicht so, dass es so wäre bzw. das ich davon ausgehe, dass
überhaupt jemand auf solche Ideen kommt! Nur will ich einfach wissen
wie es geht und wie du ja richtig sagst Frank, ich habe noch wirklich
keine Ahnung. Aber ich kann nicht glauben dass es so schwer ist!
Denn man kann es auch alles verkomplizieren und ich denke das muss
doch gehen! Bzw. konkret was fehlt mir denn, um es schneller als in 2
Jahren (!!) umsetzen zu können?! *stirnrunzel* Ähm, weil ich meine,
ist das in jedem (Firmen- o.a.) Netzwerk so? Kann ja nicht sein!
Ich will und brauche auch keine Firma, soll ja auch nicht schnell
gehen. Also es ist (noch) nicht unbedingt akut.
Zweitens ging es mir nicht nur um „P***“, sondern um die genannten
Begriffe bzw. einfach um eine Methodik das auszusperren.
Ich habe ja auch z.B. bei ICQ beschrieben wie ich es aussperren will,
da muss ich besonders Markus fragen, warum man nicht ausgehend von
meiner Beschreibung Lösungen vorschlägt? Ich meine, wenn keiner hier
eine weis oder es sie nicht geben sollte, ok, was solls.
Das wäre aber etwas seltsam.
Um es nochmals zu sagen, ich bin kein Firmenchef, sondern ich will
das einfach nur umsetzen, deswegen habe ich da auch niemanden dem ich
was zum unterschreiben vorlegen könnte.
Nochmals, ich weis nicht, wieso jemand irgendwelche Spuren (von
was??) suchen sollte, er soll nur das nicht suchen, was ich genannt
habe und zwar nicht auf der Platte (da ist es ja sowieso -
hoffentlich! - nicht!), sondern im Weltnetz, darum geht es!
Dass sich da die MAC Adresse sogar ändert ist natürlich
erschreckend…

Was ich noch sagen wollte: Da ich sowieso davon ausgehe, dass ich
eventuell einen Server installieren muss (wegen anderen
serverseitigen Programmen), wäre das eine Option für mich!
Ich lese mich auch gerne rein, wenn es dann vorwärts geht bzw. eine
echt Lösung gibt! Ich wundere mich immer wieder, wie (aus meiner
Sicht) unausgereift z.B. gerade die Punkte „Interface“ oder „für
Laien gemacht“ sind!
Muss es ein UNIX Betriebssystem sein? Ansonsten kann ich natürlich
nachvollziehen, dass UNIX beim Thema Sicherheit besser ist, kann man
das denn parallel zu Windows installieren und laufen lassen?
Weil ich will auf Windows eventuell noch so Dinge wie CRM laufen
lassen!
Das mit dem https verstehe ich teils, aber ich verstehe nicht, warum
man den INHALT des Pakets überprüfen muss? Klar, geht nicht wenn es
verschlüsselt ist, aber man sollte doch viel mehr den Ursprung und
das Ziel des Paketes überprüfen und sonst nichts! Oder?

Du kannst maximal in gewissen Grenzen die beiden
Endpunkte der Verbindung einsehen und dahingehend Massnahmen
ergreifen.

Das ist wahrscheinlich das, was ich meinte. ^^

Welche Doku soll ich mir noch zu Gemüt führen? Habe ich die übersehen
oder meinst du eine noch nicht gesichtete?

Vielen Dank nochmal für die Hilfe!

MfG

Philipp

_{Team: Name entfernt}

Hoi,

Denn man kann es auch alles verkomplizieren und ich denke das
muss doch gehen! Bzw. konkret was fehlt mir denn, um es
schneller als in 2 Jahren (!!) umsetzen zu können?!
*stirnrunzel* Ähm, weil ich meine, ist das in jedem (Firmen-
o.a.) Netzwerk so? Kann ja nicht sein!

nein, aber Firmennetzwerke werden üblicherweise von Leuten betreut, die das gelernt haben. Da geht das dann schneller. Die haben übrigens meist mehr als zwei Jahre gebraucht, um auf einen solchen Stand zu kommen.

Was ich noch sagen wollte: Da ich sowieso davon ausgehe, dass
ich eventuell einen Server installieren muss (wegen anderen
serverseitigen Programmen), wäre das eine Option für mich!

Das mit dem https verstehe ich teils, aber ich verstehe nicht,
warum man den INHALT des Pakets überprüfen muss? Klar, geht
nicht wenn es verschlüsselt ist, aber man sollte doch viel
mehr den Ursprung und das Ziel des Paketes überprüfen und
sonst nichts! Oder?

Im Zweifel schon, weil sonst darüber Dein Sicherheitskonzept sehr leicht umgangen werden kann.
Gruß,

Malte

Guten Abend!

Also ich denke bzw. muss ehrlich sagen ich erwarte nicht, dass es so
schlimm wird. Und natürlich hat ein IT-Sicherheitsexperte da mehr
Wissen bzw. hat länger für gebraucht! Nur der will ich ja auch nicht
werden, kann man das nicht trotzdem selber machen?
Es muss ja nicht superperfekt bzw. so sicher wie bei Microsoft bzw.
beim NSA sein!
Ich denke, das Sicherheitskonzept meinerseits ist eher für den
internen Schutz bzw. Kontrolle gedacht, gegen Angriffe von außen sind
wir rudimentär gesichert, wie gesagt, ich rede hier von einer
Handvoll PCs und meiner Idee, das umzusetzen, ich meine, wie machen
das andere Kleinunternehmen und solche denn? Ich wette die meisten
haben sowieso GAR KEINE wirkliche Sicherheit da implementiert!

MfG

Philipp

_{Team: Name entfernt}

Hallo Ihr!

Hi Du,

Aber ich kann nicht glauben dass es so schwer ist!

Es ist sogar ziemlich einfach, wenn Du den Angriffsvektor kennst. Den aufzuspueren ist eigentlich das wirklich schwere, der Rest ist Handwerk, Bedienung von Werkzeugen, die man halt kennenlernen muss.

Bzw. konkret was fehlt mir denn, um es schneller als in 2
Jahren (!!) umsetzen zu können?!

Wie gesagt, ganz allgemein das notwendige Know How. Ich kann mich ja auch taeuschen, aber das lese ich so aus den Fragen heraus, die Du stellst. Grundsaetzlich waere da ein tiefgreifendes Verstaendnis von Netzwerken allgmein, TCP/IP im speziellen, statisches Routing kann nicht schaden, HTTP solltest Du auch koennen. Guter Einstieg koennte der NAG2 sein. Der ist zwar eigentlich fuer Linux geschrieben, bringt aber die Grundlage betriebssystemunabhaengig rueber: http://tldp.org/LDP/nag2/index.html

Ähm, weil ich meine, ist das in jedem (Firmen- o.a.) Netzwerk
so? Kann ja nicht sein!

Wie Malte schon sagte: dort sitzt jemand, der sich damit seit Jahren beschaeftigt. Du klingst eher so, als wuerdes Du von heute auf morgen damit anfangen wollen. Fuer zu Hause, als Trockenuebung, ist Dein Vorhaben aber ganz gut. Dann kannst Du sowas im genannten Zeitraum auch durchaus professionell machen.

Zweitens ging es mir nicht nur um „P***“, sondern um die
genannten Begriffe bzw. einfach um eine Methodik das
auszusperren.

Du darfst Pr0nz gern als metasyntaktische Variable ansehen, die fuer alles steht, was Du nicht in Deinem Netzwerk willst.

Dass sich da die MAC Adresse sogar ändert ist natürlich
erschreckend…

Dir werden sich noch mehr erschreckende Abgruende auftuen.

Ich wundere mich immer wieder, wie (aus meiner Sicht)
unausgereift z.B. gerade die Punkte „Interface“ oder „für
Laien gemacht“ sind!

Das versteh ich nicht.

Muss es ein UNIX Betriebssystem sein?

Das war eine Empfehlung nach persoenlichem Geschmack. Du solltest das Werkzeug waehlen, was Deine Ideen am besten umsetzt.

Ansonsten kann ich natürlich nachvollziehen, dass UNIX beim
Thema Sicherheit besser ist, kann man das denn parallel zu
Windows installieren und laufen lassen?

Parallel installieren schon, aber parallel laufe lassen eher nicht (mal von Kruecken wie wine abgesehen). Und dann wird eine parallele Installation ziemlich nutzlos: wer will auf einem Server schon Betriebssysteme hin und her booten.

Das mit dem https verstehe ich teils, aber ich verstehe nicht,
warum man den INHALT des Pakets überprüfen muss?

Weil teilweise nur daraus ersichtlich ist, ob dieser Traffic erwuenscht ist, oder nicht.

Klar, geht nicht wenn es verschlüsselt ist, aber man sollte
doch viel mehr den Ursprung und das Ziel des Paketes
überprüfen und sonst nichts! Oder?

Nicht unbedingt. Dann koennen Deine Nutzer ueber einen Anonymisierungsproxy wie JAP schon wieder beliebige Inhalte abfragen. Dann musst Du als Endpunkt auch gleich all diese Proxys verbieten, was ziemlich rigoros ist, da darueber ja auch vernuenftige Inhalte abgefragt werden koennten.

Du kannst maximal in gewissen Grenzen die beiden
Endpunkte der Verbindung einsehen und dahingehend Massnahmen
ergreifen.

Das ist wahrscheinlich das, was ich meinte. ^^

Aber das reicht wahrscheinlich nicht. Das koenntest Du auch mit einem simplen Paketfilter erreichen, dazu brauchst Du keinen Proxy. Unter Linux wuerde ich dazu den netfilter und als als Doku Oskar Andreassons Anleitung empfehlen: http://netfilter.org/http://iptables-tutorial.frozentux.net/

Gruss vom Frank.

Hallo,

Es muss ja nicht superperfekt bzw. so sicher wie bei Microsoft
bzw. beim NSA sein!

Danke für den Lacher.

Ich denke, das Sicherheitskonzept meinerseits ist eher für den
internen Schutz bzw. Kontrolle gedacht,

Wenn Du Deinen Mitarbeitern traust, sag ihnen, was sie nicht dürfen. Wenn Du ihnen nicht traust, solltest Du damit rechnen, daß die Mitarbeiter halbgare Maßnahmen umgehen.

gegen Angriffe von
außen sind wir rudimentär gesichert, wie gesagt, ich rede hier
von einer Handvoll PCs

Sicherheitskonzepte sind oft erstaunlich unabhängig von der Anzahl der PCs.

und meiner Idee, das umzusetzen, ich
meine, wie machen das andere Kleinunternehmen und solche denn?

Manche haben einen Dienstleister beauftragt, andere machen es selber und wieder andere haben ein Problem.

Ich wette die meisten haben sowieso GAR KEINE wirkliche
Sicherheit da implementiert!

Über Zahlen würde ich nicht wetten wollen. Aber wenn ich Deine Vorstelung von der Sache hier lese, wird wohl unter Deiner jetztigen Regie auch „garkeine wirkliche Sicherheit“ rauskommen. Das ist jetzt nicht als persönlicher Angriff gemeint.

Als Schüler bist Du ja noch lernfähig. Also, ab heute intensiv mit Computersicherheit befassen, da kannst Du in zwei Jahren gut was schaffen.

Gruß,

Sebastian

Guten Mittag Frank

Dass sich da die MAC Adresse sogar ändert ist natürlich
erschreckend…

Dir werden sich noch mehr erschreckende Abgruende auftuen.

Ich sehe das ganz vernünftig, alle Lücken müssen zu.
Nochmals, ich glaube nicht, dass ein größeres Interesse von außen an
uns besteht, deswegen werde ich mich da auch keine 2 Jahre
(superintensiv) mit beschäftigen.
Wahrscheinlich wird mir darauf jetzt vorgeworfen, dann hätte ich
nicht fragen sollen…

Ich wundere mich immer wieder, wie (aus meiner Sicht)
unausgereift z.B. gerade die Punkte „Interface“ oder „für
Laien gemacht“ sind!

Das versteh ich nicht.

Ich meine damit z.B. die Software, die mir hier als Link präsentiert
wurde, gleiches gilt für diverse „Security“ Tools, sowie im
Besonderen für diverse Proxyprogramme. Mit Interface meine ich die
Benutzeroberfläche, Usability, intuitives Handling.
Ich brauche wohl was fürs Auge

Das mit dem https verstehe ich teils, aber ich verstehe nicht,
warum man den INHALT des Pakets überprüfen muss?

Weil teilweise nur daraus ersichtlich ist, ob dieser Traffic
erwuenscht ist, oder nicht.

Muss ja auch nicht. Denn: (Siehe unten)

Klar, geht nicht wenn es verschlüsselt ist, aber man sollte
doch viel mehr den Ursprung und das Ziel des Paketes
überprüfen und sonst nichts! Oder?

Nicht unbedingt. Dann koennen Deine Nutzer ueber einen
Anonymisierungsproxy wie JAP schon wieder beliebige Inhalte
abfragen. Dann musst Du als Endpunkt auch gleich all diese
Proxys verbieten, was ziemlich rigoros ist, da darueber ja
auch vernuenftige Inhalte abgefragt werden koennten.

Du kannst maximal in gewissen Grenzen die beiden
Endpunkte der Verbindung einsehen und dahingehend Massnahmen
ergreifen.

Wieso kann man das nicht trennen? Ich kenne für einige Browser z.B.
Website oder Begriffssperren! Hier kann man doch konkret rangehen!
Und wenn der Zugriff auf diese Inhalte so gesperrt ist, dann ist doch
gut und dann brauchen wir auch keine Proxypakete überprüfen!
Wie gesagt, ich habe das auch schon anderswo gesehen, werde mich da
jetzt auch noch mal informieren!

Danke ansonsten für die vielen Links.

Grüße

Philipp

_{Team: Name entfernt}