Wie kann ich den Zugang zu Websites sperren und diese Sperren wieder umgehen?

Jump to last post
sia

sia

gesperrt
Registriert
26 März 2015
Beiträge
5.926
Ort
FFM (NSFW)
Hi Leute,

Würde gerne mal ein paar Methoden zusammentragen, wie man Websites sperren und wie man diese Sperre umgehen kann. Wäre insbesondere toll, wenn wir Möglichkeiten finden könnten, diese Umgehung zu verhindern.

Was ich nicht möchte: SSL aufbrechen. Insbesondere mit Zwangsproxies ist das natürlich ein Problem.

Meine Ideen bisher:

[table="width: 900"]
[tr]
[td]Sperre[/td]
[td]Umgehung[/td]
[td]Erzwingungsmöglichkeit[/td]
[/tr]
[tr]
[td]lokaler DNS[/td]
[td]anderen DNS einstellen[/td]
[td]Router: Port 53 mit DNAT auf lokalen DNS zwangsumleiten[/td]
[/tr]
[tr]
[td]Sperre von IPs/DNS[/td]
[td]VPN, Webproxy, Tunnel[/td]
[td]VPN-Tools etc. sperren[/td]
[/tr]
[tr]
[td]Zwangsproxy[/td]
[td]VPN, Webproxy, Tunnel[/td]
[td]???[/td]
[/tr]
[tr]
[td]IP Whitelist[/td]
[td]Aufsetzen eines Servers auf einer whitelisted IP[/td]
[td]Deep Packet Inspection[/td]
[/tr]
[tr]
[td]Nur HTTP, SMTP Ports zulassen[/td]
[td]Eigener VPN/Proxy auf Port 80[/td]
[td]Deep Packet Inspection?[/td]
[/tr]

[tr]
[td][/td]
[td][/td]
[td][/td]
[/tr]
[/table]

Habt ihr weitere Methoden? Eventuell Quellen für Filterlisten, insbes. von IPs, die sich ja oft ändern?

Wenn ich irgendwo raus will, habe ich auf einem meiner Server-IPs einen SSH-Agent laufen und tunnle mich mit sshuttle durch. Das konnte bisher noch nie geblockt werden – die einzige Möglichkeit, die mir da einfiele, ist die IP direkt zu blocken. Mit genügend Ressourcen kann man sich allerdings "beliebig viele" IPs zulegen…


Weiterführende Links, die ich im Laufe meiner Recherchen gefunden habe:
  • You do not have permission to view link please Anmelden or Registrieren
  • You do not have permission to view link please Anmelden or Registrieren
    – "Internet Filters and Monitors"
  • You do not have permission to view link please Anmelden or Registrieren
    – Open and Extensible LGPLv3 Deep Packet Inspection Library
 
Zuletzt bearbeitet:
Mit einer Whitelist kann man alle VPN und Proxyverbindungen unterbinden.

Dann ists auch egal wie viele IP's du hast.
 
Es wäre einfacher, wenn du dein Vorhaben genauer beschreiben kannst.
Soll es nur eine Sperre sein oder willst du wirklich Traffic manipulieren?
Wer und wo ist "Angreifer" (derjenige, der aus deiner Sperre ausbrechen möchte)..
 
  • Thread Starter Thread Starter
  • #6
Ein Szenario:

Ich bin Veranstalter einer Hackerkonferenz und möchte dort WLAN anbieten, ohne dass die Leute dort auf Pornoseiten die Bandbreite klauen.
Github und diverse Social Networks sollen erreichbar sein.


Alternative:

Ich bin Betreiber eines Firmennetzwerks und habe des Öfteren Abmahnungen kassiert, weil Nutzer illegale Machenschaften betrieben hatten. Ich habe zwar die jeweiligen Leute aus dem Unternehmen entfernt, allerdings möchte ich in Zukunft auch das Budget der Rechtsabteilung kürzen und daher effektive Sperren errichten.


Szenario 3:

Ich bin Erdogan, der Gottimperator. Bildung ist scheiße, mein Volk soll aber dennoch nicht merken, dass sie von einem Diktator regiert werden.
Daher möchte ich nur manche Wikipedia-Artikel und kritische Websites sperren, andere Artikel und Seiten auf denselben Servern sollen aber eventuell erreichbar sein. Eine Zensur findet nicht statt, niemand hat die Absicht, eine Mauer zu errichten.
 
Ich würde in den verschiedenen Szenarien unterschiedliche Ansätze verfolgen, einfach schon, weil sich die Rahmenbedingungen ändern und weil irgendwie Kosten und Nutzen in ein Gleichgewicht gebracht werden müssen.


phre4k schrieb:
Ich bin Veranstalter einer Hackerkonferenz und möchte dort WLAN anbieten, ohne dass die Leute dort auf Pornoseiten die Bandbreite klauen.
Github und diverse Social Networks sollen erreichbar sein.
Zum Vergrößern anklicken....
--> IP basierte Whitelist: Du hast einen stark eingegrenzten Bereich des WWW, welcher verfügbar sein soll. Das kannst du mit einer Whitelist erschlagen. Auf den bekannten Seiten, werden gewöhnlich keine Web-Proxys/ VPNs gehostet.


phre4k schrieb:
Ich bin Betreiber eines Firmennetzwerks und habe des Öfteren Abmahnungen kassiert, weil Nutzer illegale Machenschaften betrieben hatten. Ich habe zwar die jeweiligen Leute aus dem Unternehmen entfernt, allerdings möchte ich in Zukunft auch das Budget der Rechtsabteilung kürzen und daher effektive Sperren errichten.
Zum Vergrößern anklicken....

--> NAT, Protokoll/Port-Filter, IP-Blacklist, DNS Sperren: Du gibst potentiell einen großen Bereich des Webs frei. Nur bestimmte Angebote sollten ausgefiltert werden. Ein 100% Schutz ist zu aufwändig und wartungsintensiv. In diesem Szenario solltest du lieber versuchen die Hürde für unerwünschte Web-Zugriffe möglichst hoch zu legen.
Mit NAT umgehst du viele P2P-Syteme. Zusätzliche P2P Anwendungen, welche über Hole Punching-Mechanismen verfügen frühstückst du mich einem Protokoll/ Port-Filter ab. Für Hole Punching muss die "öffentliche" Gegenstelle zumindest einen bekannten Port haben. Bekannte, unerwünschte Angebote im WWW filterst du mit IP und/ oder DNS Sperren. Damit deine Netzwerk-Teilnehmer keinen DNS-Server außer deinen eigenen verwenden, kannst du an deinem Gateway entsprechende DNS Pakete, welche vom öffentlichen ins interne Netz gehen filtern.
Hier kannst du zwar keine 100% Sicherheit erreichen, aber den größten Anteil unerwünschter Webzugriffe kannst du damit bereits abfangen.

Möglich wäre es beispielsweise sich einen WWW-Proxy für DNS-Resolution zu bauen, aber wenn deine Mitarbeiter dazu in der Lage sind dann werden sie wahrscheinlich auch kein XXX über das Firmennetz verbreiten.


phre4k schrieb:
Ich bin Erdogan, der Gottimperator. Bildung ist scheiße, mein Volk soll aber dennoch nicht merken, dass sie von einem Diktator regiert werden.
Daher möchte ich nur manche Wikipedia-Artikel und kritische Websites sperren, andere Artikel und Seiten auf denselben Servern sollen aber eventuell erreichbar sein. Eine Zensur findet nicht statt, niemand hat die Absicht, eine Mauer zu errichten.
Zum Vergrößern anklicken....

--> DPI, IP-Black-/Whitelist, DNS Sperren, Angriff auf TLS mit gefälschten Zertifikaten: Als Diktator, der auf Menschenrechte scheißt, wirst du vor DPI und MITM in TLS mit Hilfe von gefälschten Root-Zertifikaten, nicht zurückschrecken.


Geht es dir um Filesharing: Setze Rate-Limiting ein.
 
Ein webproxy der nur mit integrierter Kerber Authentifizierung funktioniert hält sich erschreckend viel ab, vor allem weil die Software oft keine passende Möglichkeit bietet eine passende auth. Zu senden...
Ist aber definitiv noch als Schutz gedacht.

Sonst Protokoll Filter wie Virus schon schrieb, das geht erstmal auch für https, klar lässt sich aushebeln wenn man das vpn in htttps Traffic versteckt.

Sicher ist definitiv nur eine Whitelist, die kann man für einiges kaufen bei den üblichen wie cisco und co oder selber schreiben bzw ein System zur manuellen Freigabe einbauen wie es z.b. Auch die Familien / Kinderschutz Funktion in Windows hat.
 
Aufsetzen eines Servers auf einer whitelisted IP
Zum Vergrößern anklicken....
Ist das nicht ein wenig weit hergeholt?

Man stelle sich vor es kommt jemand und klopft an die Bürotüre vom Zuckerberg. Hallo Mark, gibst du mir mal die Schlüsseln von der Besenkammer wo die Server stehen. Muss mal schnell einen Server aufsetzen, damit ich phre4k eins reinwürgen kann.

Ich werde keine IP freigeben, wenn ich solche bedenken dazu hätte. Die Whitelist wird vermutlich einen "überschaubaren" Bereich haben und keine tausenden Adressen umfassen?

Cu
Verbogener
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben