Christoph Zurnieden: Filesharing verbieten (Router)

Beitrag lesen

Hi,

Im Prinzop soll nurnoch FTP, HTTP, POP3, SMPT, Telnet funktionieren.

Kein SSH? Kein IMAP? Was ist mit SSH auf "exotischen" Ports (wird gerne gemacht, um die Zahl der Probier-Kiddies zu reduzieren)?

Was nicht benötigt wird, wird eben auch nicht benötigt ;-)

Welche Ports muss ich dann alle sperren?

Wie auch Tom ausführte: Es reicht nicht, einfach nur einen Port zu sperren. Du mußt vielmehr einen Inhaltsfilter implementieren, der die erwünschten Protokolle erkennt und erlaubt, und die unerwünschten Protokolle nicht erlaubt.

Es sollten beide Filter implementiert werden. Hintereinander weg: Portfilter -> L7-Filter (oder Application-FW oder wie auch immer das Buzzword du-jour lautet) und nach Möglichkeit auf zwei verschiedenen Kisten mit zwei verschiedenen Betriebsystemen (ich benutze meist OpenBSD für den Portfilter und Linux für den L7-Filter).
Nein, das ist natürlich an den OP, nicht an Dich, ich war nur zu faul zwei getrennte Postings abzusetzen, ist schließlich Sonntag! ;-)

Dann hast du aber wiederum ein Problem mit verschlüsselten Protokollen wie z.B. HTTPS, denn in deren Daten kannst du nicht reingucken, sondern mußt sie entweder sperren (dann geht kein Internet-Banking mehr), oder erlauben (dann geht aber grundsätzlich Filesharing auch wieder, auch wenn bislang wohl kein Protokoll SSL benutzt).

Das ist schon etwas komplizierter, immerhin kann man alles über einen zwischengeschalteten Router laufen lassen. Da so auf dem Router Klartext anfällt kann man den auch filtern. Das größte Problem dabei ist die gebrochene End2End-Verschlüsselung, streng genommen ist also SSH damit wirkungslos.
So ein Router steht aber für gewöhnlich im Intranet und ist nicht direkt mit der Außenwelt verbunden. Man könnte also theoretisch das Intranet als Einheit nehmen und damit die End2End-Verschlüsselung wieder als funktionierend betrachten.
Zwischen Theorie und Praxis liegen aber insbesondere bei der Netzwerksicherheit für gewöhnlich Welten, deshalb ist die pragmatische Lösung: "Entweder ganz oder gar nicht" in den meisten Fällen vorzuziehen. Im Falle des "Ganz" sind dann halt die Clients regelmäßig zu kontrollieren (benötigt eine rechtlich wasserdichte Absicherung!).

so short

Christoph Zurnieden