• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Wie kann ich den Zugang zu Websites sperren und diese Sperren wieder umgehen?

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Hi Leute,

Würde gerne mal ein paar Methoden zusammentragen, wie man Websites sperren und wie man diese Sperre umgehen kann. Wäre insbesondere toll, wenn wir Möglichkeiten finden könnten, diese Umgehung zu verhindern.

Was ich nicht möchte: SSL aufbrechen. Insbesondere mit Zwangsproxies ist das natürlich ein Problem.

Meine Ideen bisher:

SperreUmgehungErzwingungsmöglichkeit
lokaler DNSanderen DNS einstellenRouter: Port 53 mit DNAT auf lokalen DNS zwangsumleiten
Sperre von IPs/DNSVPN, Webproxy, TunnelVPN-Tools etc. sperren
ZwangsproxyVPN, Webproxy, Tunnel???
IP WhitelistAufsetzen eines Servers auf einer whitelisted IPDeep Packet Inspection
Nur HTTP, SMTP Ports zulassenEigener VPN/Proxy auf Port 80Deep Packet Inspection?

Habt ihr weitere Methoden? Eventuell Quellen für Filterlisten, insbes. von IPs, die sich ja oft ändern?

Wenn ich irgendwo raus will, habe ich auf einem meiner Server-IPs einen SSH-Agent laufen und tunnle mich mit sshuttle durch. Das konnte bisher noch nie geblockt werden – die einzige Möglichkeit, die mir da einfiele, ist die IP direkt zu blocken. Mit genügend Ressourcen kann man sich allerdings "beliebig viele" IPs zulegen…



Weiterführende Links, die ich im Laufe meiner Recherchen gefunden habe:
 
Zuletzt bearbeitet:

alter_Bekannter

N.A.C.J.A.C.

Registriert
14 Juli 2013
Beiträge
4.823
Ort
Midgard
Mit einer Whitelist kann man alle VPN und Proxyverbindungen unterbinden.

Dann ists auch egal wie viele IP's du hast.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
  • Thread Starter Thread Starter
  • #3
Und woher bekomme ich eine solche Whitelist?
 

virtus

Gehasst

Registriert
24 Apr. 2015
Beiträge
1.689
Ort
AUF DEM MOND
Es wäre einfacher, wenn du dein Vorhaben genauer beschreiben kannst.
Soll es nur eine Sperre sein oder willst du wirklich Traffic manipulieren?
Wer und wo ist "Angreifer" (derjenige, der aus deiner Sperre ausbrechen möchte)..
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
  • Thread Starter Thread Starter
  • #6
Ein Szenario:

Ich bin Veranstalter einer Hackerkonferenz und möchte dort WLAN anbieten, ohne dass die Leute dort auf Pornoseiten die Bandbreite klauen.
Github und diverse Social Networks sollen erreichbar sein.


Alternative:

Ich bin Betreiber eines Firmennetzwerks und habe des Öfteren Abmahnungen kassiert, weil Nutzer illegale Machenschaften betrieben hatten. Ich habe zwar die jeweiligen Leute aus dem Unternehmen entfernt, allerdings möchte ich in Zukunft auch das Budget der Rechtsabteilung kürzen und daher effektive Sperren errichten.


Szenario 3:

Ich bin Erdogan, der Gottimperator. Bildung ist scheiße, mein Volk soll aber dennoch nicht merken, dass sie von einem Diktator regiert werden.
Daher möchte ich nur manche Wikipedia-Artikel und kritische Websites sperren, andere Artikel und Seiten auf denselben Servern sollen aber eventuell erreichbar sein. Eine Zensur findet nicht statt, niemand hat die Absicht, eine Mauer zu errichten.
 

virtus

Gehasst

Registriert
24 Apr. 2015
Beiträge
1.689
Ort
AUF DEM MOND
Ich würde in den verschiedenen Szenarien unterschiedliche Ansätze verfolgen, einfach schon, weil sich die Rahmenbedingungen ändern und weil irgendwie Kosten und Nutzen in ein Gleichgewicht gebracht werden müssen.


Ich bin Veranstalter einer Hackerkonferenz und möchte dort WLAN anbieten, ohne dass die Leute dort auf Pornoseiten die Bandbreite klauen.
Github und diverse Social Networks sollen erreichbar sein.
--> IP basierte Whitelist: Du hast einen stark eingegrenzten Bereich des WWW, welcher verfügbar sein soll. Das kannst du mit einer Whitelist erschlagen. Auf den bekannten Seiten, werden gewöhnlich keine Web-Proxys/ VPNs gehostet.


Ich bin Betreiber eines Firmennetzwerks und habe des Öfteren Abmahnungen kassiert, weil Nutzer illegale Machenschaften betrieben hatten. Ich habe zwar die jeweiligen Leute aus dem Unternehmen entfernt, allerdings möchte ich in Zukunft auch das Budget der Rechtsabteilung kürzen und daher effektive Sperren errichten.

--> NAT, Protokoll/Port-Filter, IP-Blacklist, DNS Sperren: Du gibst potentiell einen großen Bereich des Webs frei. Nur bestimmte Angebote sollten ausgefiltert werden. Ein 100% Schutz ist zu aufwändig und wartungsintensiv. In diesem Szenario solltest du lieber versuchen die Hürde für unerwünschte Web-Zugriffe möglichst hoch zu legen.
Mit NAT umgehst du viele P2P-Syteme. Zusätzliche P2P Anwendungen, welche über Hole Punching-Mechanismen verfügen frühstückst du mich einem Protokoll/ Port-Filter ab. Für Hole Punching muss die "öffentliche" Gegenstelle zumindest einen bekannten Port haben. Bekannte, unerwünschte Angebote im WWW filterst du mit IP und/ oder DNS Sperren. Damit deine Netzwerk-Teilnehmer keinen DNS-Server außer deinen eigenen verwenden, kannst du an deinem Gateway entsprechende DNS Pakete, welche vom öffentlichen ins interne Netz gehen filtern.
Hier kannst du zwar keine 100% Sicherheit erreichen, aber den größten Anteil unerwünschter Webzugriffe kannst du damit bereits abfangen.

Möglich wäre es beispielsweise sich einen WWW-Proxy für DNS-Resolution zu bauen, aber wenn deine Mitarbeiter dazu in der Lage sind dann werden sie wahrscheinlich auch kein XXX über das Firmennetz verbreiten.


Ich bin Erdogan, der Gottimperator. Bildung ist scheiße, mein Volk soll aber dennoch nicht merken, dass sie von einem Diktator regiert werden.
Daher möchte ich nur manche Wikipedia-Artikel und kritische Websites sperren, andere Artikel und Seiten auf denselben Servern sollen aber eventuell erreichbar sein. Eine Zensur findet nicht statt, niemand hat die Absicht, eine Mauer zu errichten.

--> DPI, IP-Black-/Whitelist, DNS Sperren, Angriff auf TLS mit gefälschten Zertifikaten: Als Diktator, der auf Menschenrechte scheißt, wirst du vor DPI und MITM in TLS mit Hilfe von gefälschten Root-Zertifikaten, nicht zurückschrecken.


Geht es dir um Filesharing: Setze Rate-Limiting ein.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
Ein webproxy der nur mit integrierter Kerber Authentifizierung funktioniert hält sich erschreckend viel ab, vor allem weil die Software oft keine passende Möglichkeit bietet eine passende auth. Zu senden...
Ist aber definitiv noch als Schutz gedacht.

Sonst Protokoll Filter wie Virus schon schrieb, das geht erstmal auch für https, klar lässt sich aushebeln wenn man das vpn in htttps Traffic versteckt.

Sicher ist definitiv nur eine Whitelist, die kann man für einiges kaufen bei den üblichen wie cisco und co oder selber schreiben bzw ein System zur manuellen Freigabe einbauen wie es z.b. Auch die Familien / Kinderschutz Funktion in Windows hat.
 

Verbogener

VerboRgener nur mit 2R

Registriert
13 Aug. 2014
Beiträge
2.993
Ort
Vienna
Aufsetzen eines Servers auf einer whitelisted IP
Ist das nicht ein wenig weit hergeholt?

Man stelle sich vor es kommt jemand und klopft an die Bürotüre vom Zuckerberg. Hallo Mark, gibst du mir mal die Schlüsseln von der Besenkammer wo die Server stehen. Muss mal schnell einen Server aufsetzen, damit ich phre4k eins reinwürgen kann.

Ich werde keine IP freigeben, wenn ich solche bedenken dazu hätte. Die Whitelist wird vermutlich einen "überschaubaren" Bereich haben und keine tausenden Adressen umfassen?

Cu
Verbogener
 
Oben