nicht angemeldet
Filesharing verbieten (Router)
Hallo,
ich suche nach einer Möglichkeit, jegliches Filesharing (Kazaa, Emule) etc per Routereinstellung zu verbieten.
Emule scheint ja kein Problem zu sein, ohne gerouteten Port läuft da ja garnichts. Wie sieht es mit den anderen Programmen aus?
Im Prinzop soll nurnoch FTP, HTTP, POP3, SMPT, Telnet funktionieren.
Welche Ports muss ich dann alle sperren?
Reicht es, alle Ports bis auf 21 (FTP), 80(HTTP), 23(TELNET), 25(SMPT), 110 (Pop3) zu sperren, oder wie stelle ich das am Besten an?
Was ist "PPTP (Port 1723)
Danke!
Karsten
-
Ah, sorry, Nahtrag:
ICQ, MSN etc. sollen natürlich auch funktionieren!
-
Hello,
ICQ, MSN etc. sollen natürlich auch funktionieren!
Und Scype dann sicher auch? ;-))
Da sehe ich mit einem Router schwarz.
Vermutlich wirst Du eine Application Firewall benötigen.
Wieveil Geld hast Du denn für die Lösung zur Verfügung?Harzliche Grüße vom Berg
esst mehr http://www.harte-harzer.deTom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
-
-
Tag FireFox.
ich suche nach einer Möglichkeit, jegliches Filesharing (Kazaa, Emule) etc per Routereinstellung zu verbieten.
M.E. ist eine Whitelist, wie du sie ja schon hast, die beste Lösung. Auf die Schnelle bei Google gefunden: http://www.cmgrill.de/computer/cc-tcpipports1.htm.
Was ist "PPTP (Port 1723)
http://de.wikipedia.org/wiki/PPTP
Siechfred
-
Moin!
ich suche nach einer Möglichkeit, jegliches Filesharing (Kazaa, Emule) etc per Routereinstellung zu verbieten.
Wird nicht funktionieren. Sowas geht nur, wenn du deinen Clients intern jeglichen Datenaustausch mit dem Internet verbietest.
Das aber willst du ja nicht. Die Sharing-Protokolle sind aber allesamt nicht an bestimmte Ports gebunden, sondern können auch problemlos auf Port 80 etc. laufen - und tun das teilweise auch schon.
Das aber bedeutet, dass du keine wirksame Filterung basierend auf der Ziel-Portnummer durchführen kannst. Selbst das Verbieten von eingehenden Verbindungen ist kein wirksames Mittel, denn alle diese Protokolle sind darauf eingerichtet, dass ein Teil der Teilnehmer hinter entsprechend wirkenden NAT-Routern etc. sitzt und nur selbst initiierte Verbindungen nutzen kann.
Im Prinzop soll nurnoch FTP, HTTP, POP3, SMPT, Telnet funktionieren.
Kein SSH? Kein IMAP? Was ist mit SSH auf "exotischen" Ports (wird gerne gemacht, um die Zahl der Probier-Kiddies zu reduzieren)?
Welche Ports muss ich dann alle sperren?
Wie auch Tom ausführte: Es reicht nicht, einfach nur einen Port zu sperren. Du mußt vielmehr einen Inhaltsfilter implementieren, der die erwünschten Protokolle erkennt und erlaubt, und die unerwünschten Protokolle nicht erlaubt.
Dann hast du aber wiederum ein Problem mit verschlüsselten Protokollen wie z.B. HTTPS, denn in deren Daten kannst du nicht reingucken, sondern mußt sie entweder sperren (dann geht kein Internet-Banking mehr), oder erlauben (dann geht aber grundsätzlich Filesharing auch wieder, auch wenn bislang wohl kein Protokoll SSL benutzt).
- Sven Rautenberg
--
My sssignature, my preciousssss!-
Wie auch Tom ausführte: Es reicht nicht, einfach nur einen Port zu sperren. Du mußt vielmehr einen Inhaltsfilter implementieren, der die erwünschten Protokolle erkennt und erlaubt, und die unerwünschten Protokolle nicht erlaubt.
Hallo,
naja, also ich habe bei meinem Rounter eine "hardware Firewall" und einen Menüpunkt "Filter Set Configuration", wo ich Filter anlegen kann.
Folgendes "Einstellungsmöglichkeite habe ich:Active: y/n
IP-Protocol: ICMP/TCP/UDP
IP-Source-Route: y/n
Destination IP-Adress: <000.000.000.000>
Destination IP-Mask: <000.000.000.000>
Destination Port: <000>
Destination Port Comp: None/Less/Greater/Equal/Not Equal
Source IP-Adress: <000.000.000.000>
Source IP-Mask: <000.000.000.000>
Source Port: <000>
Source Port Comp: None/Less/Greater/Equal/Not Equal
TCP-Estab: y/nund dann halt nochl ob danach weitere Filter gecheckt werden, ob das Paket dropped oder forwarded wird und ob gelogt wird.
Lässt sich damit was anfangen?-
Moin!
naja, also ich habe bei meinem Rounter eine "hardware Firewall" und einen Menüpunkt "Filter Set Configuration", wo ich Filter anlegen kann.
Lässt sich damit was anfangen?Nein, nicht wirklich.
Alle Filesharing-Protokolle können z.B. auf Port 80 laufen, und außerdem sind die meisten lediglich eine Abwandlung von HTTP (wobei deinen Router das sowieso nicht interessiert).
Ein Sperren von sämtlichen Ziel-Ports außer 80 (weil du natürlich noch surfen willst) wird also Filesharing nicht absolut verhindern, sondern lediglich einschränken (weil alle Uploader, die nicht auf Port 80 erreichbar sind, als Quelle wegfallen).
Ich würde eher sagen, dass du ein "Layer-8-Problem" hast. Kläre deine Mitbenutzer über die Problematik des Filesharing auf und verlange eine mit deinen Vorstellungen über ethische Nutzung vereinbare Verhaltensweise.
- Sven Rautenberg
--
My sssignature, my preciousssss!
-
-
Hi,
Im Prinzop soll nurnoch FTP, HTTP, POP3, SMPT, Telnet funktionieren.
Kein SSH? Kein IMAP? Was ist mit SSH auf "exotischen" Ports (wird gerne gemacht, um die Zahl der Probier-Kiddies zu reduzieren)?
Was nicht benötigt wird, wird eben auch nicht benötigt ;-)
Welche Ports muss ich dann alle sperren?
Wie auch Tom ausführte: Es reicht nicht, einfach nur einen Port zu sperren. Du mußt vielmehr einen Inhaltsfilter implementieren, der die erwünschten Protokolle erkennt und erlaubt, und die unerwünschten Protokolle nicht erlaubt.
Es sollten beide Filter implementiert werden. Hintereinander weg: Portfilter -> L7-Filter (oder Application-FW oder wie auch immer das Buzzword du-jour lautet) und nach Möglichkeit auf zwei verschiedenen Kisten mit zwei verschiedenen Betriebsystemen (ich benutze meist OpenBSD für den Portfilter und Linux für den L7-Filter).
Nein, das ist natürlich an den OP, nicht an Dich, ich war nur zu faul zwei getrennte Postings abzusetzen, ist schließlich Sonntag! ;-)Dann hast du aber wiederum ein Problem mit verschlüsselten Protokollen wie z.B. HTTPS, denn in deren Daten kannst du nicht reingucken, sondern mußt sie entweder sperren (dann geht kein Internet-Banking mehr), oder erlauben (dann geht aber grundsätzlich Filesharing auch wieder, auch wenn bislang wohl kein Protokoll SSL benutzt).
Das ist schon etwas komplizierter, immerhin kann man alles über einen zwischengeschalteten Router laufen lassen. Da so auf dem Router Klartext anfällt kann man den auch filtern. Das größte Problem dabei ist die gebrochene End2End-Verschlüsselung, streng genommen ist also SSH damit wirkungslos.
So ein Router steht aber für gewöhnlich im Intranet und ist nicht direkt mit der Außenwelt verbunden. Man könnte also theoretisch das Intranet als Einheit nehmen und damit die End2End-Verschlüsselung wieder als funktionierend betrachten.
Zwischen Theorie und Praxis liegen aber insbesondere bei der Netzwerksicherheit für gewöhnlich Welten, deshalb ist die pragmatische Lösung: "Entweder ganz oder gar nicht" in den meisten Fällen vorzuziehen. Im Falle des "Ganz" sind dann halt die Clients regelmäßig zu kontrollieren (benötigt eine rechtlich wasserdichte Absicherung!).so short
Christoph Zurnieden
-