Router mit html-logs ???

Message
Author
equal

Router mit html-logs ???

#1 Post by equal »

Hi

ich habe einen Linuxrouter mit Hilfe von ipchains.

Frage: wie kann ich die Addressen in eine logdatei eintragen lassen, die ein User aus dem Internen Netz wählt ?
Im internen Netz sind 20 User - diese Logdatei soll nur stichprobenartig nach illegalen Seiten durchsucht werden, die ich dann entsprechend sperren kann/muß.

Danke

ratte

Re: Router mit html-logs ???

#2 Post by ratte »

wenn man dich mal woertlich nimmt und sich das hinzudenkt, was du wahrscheinlich meinst, ist die Antwort einfach:

Apachelog parsen und anschliessend alle gefundenen illegalen Seiten aus dem Internen Netz loeschen!

<img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

Aber im Ernst, dass hoert sich nach einer Aufgabe fuer Root an.

Ansetzen kann man ueber das Logging des Nameservers oder man koennte tcpdump mitlaufen lassen, am besten waere aber die Einrichtung eines Proxies mit einer Deny-Liste.

Wennde Englisch kannst, guck dir mal squid an.

ratte

zeoch
Posts: 89
Joined: 28. Sep 2001 7:48
Location: Berlin
Contact:

Re: Router mit html-logs ???

#3 Post by zeoch »

Bei uns in der firma haben wir auf jedem User rechner(windoofs) desktop firewalls bzw sandboxes programme zu laufen. das hat den vorteil, das die bestimmten seiten gleich am win rechener geblockt werden, so das erst kein traffic im lan entsteht.
programme wie esafe oder ähnliche haben auch gleich einen wortfilter mit drin. sex in den filter gesetzt, blockt jede seite total aus, bei der das wort nur erwähnt wird.
Nach der logging methode hast du einiges zu tun. Nicht immer kann man vom namen, oft steht in logs nur ne ip, absehen was auf der seite abgeht bzw was für "böse" verlinkungen sich dort noch befinden.
MfG
Zeoch

User avatar
Stormbringer
Posts: 1570
Joined: 11. Jan 2001 11:01
Location: Ruhrgebiet

Re: Router mit html-logs ???

#4 Post by Stormbringer »

Ein Squidproxy erreicht selbiges ..... ohne Lizenzgebühren, und ohne den Traffic vom Internet zum Desktop-PC durchzulassen .... nur so eine Randbemerkung ... <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

Gruß
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)

Lutz

Re: Router mit html-logs ???

#5 Post by Lutz »

>Bei uns in der firma haben wir auf jedem User rechner(windoofs) desktop firewalls bzw sandboxes programme zu laufen. das hat

was nu? ich hoffe für euch das es wenigstens w2k ist. mich würde interessieren, welche programme ihr einsetzt.


>den vorteil, das die bestimmten seiten gleich am win rechener geblockt werden, so das erst kein traffic im lan entsteht.

und ich sehe den vorteil von angebliche sicherheit, tasächlich ist da aber nichts (von einem konzept ganz zu schweigen).

>programme wie esafe oder ähnliche haben auch gleich einen wortfilter mit drin. sex in den filter gesetzt, blockt jede seite total aus,
>bei der das wort nur erwähnt wird.

damit verfehlt dieses prgramm sein einsatzziel, oder anderst augedrückt: ist das programm tatsächlich so schlecht, wie von dir beschrieben. greift dieser wortfilter auf den inhalt, oder auf die url für die vergleiche zurück?

>Nach der logging methode hast du einiges zu tun. Nicht immer kann man vom namen, oft steht in logs nur ne ip, absehen was auf der seite

nein, diese aussage ist falsch.

>abgeht bzw was für "böse" verlinkungen sich dort noch befinden.
auch damit liegst du daneben.
Gruss

zeoch
Posts: 89
Joined: 28. Sep 2001 7:48
Location: Berlin
Contact:

Re: Router mit html-logs ???

#6 Post by zeoch »

@storm
im lan... damit meinte ich, vom win rechner zum router. wenn 20 leute in den stosszeiten die files sich um die ohren hauen und viele dabei noch surfen entsteht nunmal hoher traffic. erst recht mit unseren only 100Mbit Switchs :). da find ich es ok, dass unnützer traffic erst überhaupt nicht ins lan gelangt und gleich im winrechner geblockt wird.

@lutz
irgendwei ham wirs ja ;)
>was nu? ich hoffe für euch das es wenigstens w2k ist
hä? warum sollte ich auf jeden user rechner w2k einsetzten, denkst Du ich bzw die firma scheissen das geld? die daus sollen mit ihren html progis rum fuchtel, email abfragen können und mal ein cad progi benutzen... dafür w2k? na schönen dank, scheinst bei nem scheich zu arbeiten, oder hab ich wieder was falsch gelesen?
für die normalen daus benutz ich atguard. für 2 ganz harte, die sich dauern viren und trojs einfangen, esafe. der läst dann auch kaum file änderungen zu.
> und ich sehe den vorteil von angebliche sicherheit, tasächlich ist da aber nichts (von einem konzept ganz zu schweigen)
was erzählst bzw schreibst du da? was hat traffic mit sicherheit zu tun?? klar hat traffic auch mit sicherheit zu tun, aber doch nicht in diesem zusammenhang, wie ich ihn erwähnte. und von welchem konzept redest du??
> damit verfehlt dieses programm sein einsatzziel, oder anderst augedrückt: ist das programm tatsächlich so schlecht, wie von dir beschrieben. greift dieser wortfilter auf den inhalt, oder auf die url für die vergleiche zurück?
hab nie behauptet, es sei das Überprogi. es blockt tatsächlich inhalt und url. was hat auch warez oder cracks auf eine webdisgner page zu suchen? warum dann nicht alles blocken? hier gilt auch was ich noch weiter unten schrieb. gib mir nen tip für ein bessers...
> nein, diese aussage ist falsch.
> auch damit liegst du daneben.
die aussagen find ich ziemlich daneben...
dachte immer der sinn eines forums sei, anderen zu helfen und nicht nein und falsch zu sagen und sie dann dumm im regen stehen zu lassen.
also entweder lies mein post erst gar nett mehr oder schreib zumindest so, das auch nen kleinen lern effekt davon habe. ich wollte mit meinem post nett sagen wie toll ich bin, sondern nur einen kleinen denkanstoss liefern. ich bin selber ein "jung" admin und kann anregungen immer gebrauchen bzw lerne gerne dazu. da lob ich mir so ein einwand bzw "zwischenruf" von storm, da kann man zumindest drüber nachdenken.
die erste bemerkung in deinem post ist ja noch ok, aber dann kommt nur noch überflüssige worte. Wenn Du kaum zeit hast zum schreiben(laut der uhrzeit sollte man da so langsam feierabend haben) dann lass es bitte ganz sein. durch die anderen post von dir in diesem forum, hätte ich etwas erwartet.
MfG
Zeoch
Wer Rechtschreibefehler findet darf sie behalten.

ratte

Re: Router mit html-logs ???

#7 Post by ratte »

BTW: Sich ueber womoeglich hilfreich gemeinte Aeusserungen, die als frech empfunden werden, wenn auch scheinbar gerechtfertigt zu monieren, steigert in keiner Weise die Motivation zu antworten.

Halte dich doch einfach an den Continuum Supervisor, der hat schon recht, IMHO.

ratte

zeoch
Posts: 89
Joined: 28. Sep 2001 7:48
Location: Berlin
Contact:

Re: Router mit html-logs ???

#8 Post by zeoch »

Da hast Du nicht so ganz unrecht...
Nur sollten die post dann auch schon hilftreich sein und der thread frage auch etwas zusteuern.
Davon ganz abgesehen dachte ich eigentlich, dass man seine Meinung schon mal sagen darf.
Ich denke auch nicht, das meine gegenkritik Lutz davon abhalten wird, weiterhin zu posten. Zumal Lutz mir auch schon ein paar mal half bzw zum denken anstoss gab.

Was sagte den der Continuum Supervisor und watt heist IMHO?
P.S.: Sind diskusionen nicht dazu da sein wissen zu erweitern bzw die dinge aus anderen sichtweisen zu sehen?
MfG
Zeoch
Last edited by zeoch on 11. Oct 2001 11:59, edited 1 time in total.

Lutz

Re: Router mit html-logs ???

#9 Post by Lutz »

@zeoch

Also versuchen wir es nochmal <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

> desktop firewalls bzw sandboxes

erkläre mir doch bitte mal was du darunter verstehst. Danach bitte den Unterschied, sobald du damit fertig bist auch noch, was ihr genau einsetzt. (ist absolut ernst gemeint)

>hä? warum sollte ich auf jeden user rechner w2k einsetzten, denkst Du ich bzw die firma scheissen das geld? die daus sollen mit ihren html
>progis rum fuchtel, email abfragen können und mal ein cad progi benutzen... dafür w2k?
Ok, muss nicht unbedingt w2k sein, aber NT4 sollte man schon einsetzen. Das hat auch nichts mit geldscheissen oder ähnlichem zu tun. es geht einfach darum, sicherheit verschiedenster arten zu erzeugen. dazu gehören:
1. Absturzsicherheit
___die ist m. E. unter Kostengesichtspunkten die günstigere alternative, (doppelte arbeit, warten nach reboot etc.)
2. Benutzerverwaltung
___nt4/w2k besitzt eine Bentuzerverwaltung, die auch eine trennung auch einzelne dienste betrifft (komme später nochmals darauf zurück)

>schönen dank, scheinst bei nem scheich zu arbeiten, oder hab ich wieder was falsch gelesen?
leider (oder gottsei dank?) arbeite ich nicht bei einem scheich . nt auf den arbeitsplätzen ja (war auch bei der vorherigen firma so, nur so neben bei)

>für die normalen daus benutz ich atguard. für 2 ganz harte, die sich dauern viren und trojs einfangen, esafe. der läst dann auch kaum file änderungen zu.
der einsatz von desktop firewalls auf win9x/me kisten ist sinnlos. da jeder benutzer alle rechte an auf diesen Kisten hat, gilt selbiges auch für den trojaner/virus/wurm. damit ist der sinn einer solchen desktop firewall von grund auf mehr als fragwürdig. während unter nt/w2k gibt es die möglichkeit die software als systemprozess zu starten, damit hat der user (mehr oder weniger) keine möglichkeit das programm zu bennden. selbiges gilt damit auch für den trojaner/virus/wurm

>und von welchem konzept redest du??
eben <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

>hab nie behauptet, es sei das Überprogi.
meinen satz solltest du ja auch nicht persönlich nehmen.

>es blockt tatsächlich inhalt und url.
inhalte zu blocken halte ich persönlich für den falschen ansatz. ich weiss nicht genau wie es rechtlich aussieht, klingt aber nach ärger. auch einfach sex zu blocken, während derjenige hilfeseiten zu einem sexuality problem auf amerikanischen seiten sucht ist nicht ganz einfach nachzuvollziehen.

>was hat auch warez oder cracks auf eine webdisgner page zu suchen?
nichts, aber etwas anderes behaupte ich auch nicht.


> > nein, diese aussage ist falsch.
> > auch damit liegst du daneben.
>die aussagen find ich ziemlich daneben...

warum, hättest du sie nicht aus dem zusammenhang gerissen ...

>dachte immer der sinn eines forums sei, anderen zu helfen und nicht nein und falsch zu sagen und sie dann dumm im regen stehen zu lassen.
genau das habe ich doch getan. da behauptest das in den logs überwiegend ip-adressen drinstehen. das tut es aber nicht. hängt vermutlich auch sehr stark von dem eingestzten produkt und der aufgabe des produkts ab. Bei paketfiltern hast du bestimmt recht, bei proxy url cache oder anderen produkten bist du aber auf der falschen spur.

>also entweder lies mein post erst gar nett mehr oder schreib zumindest so, das auch nen kleinen lern effekt davon habe.
den hast du doch <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
wie gesagt, du must meine antwort schon in genauem zusammenhang mit deiner aussage betrachten.

>ich wollte mit meinem post nett sagen wie toll ich bin.
habe ich auch nicht so aufgefasst. allerdings muss man bestimmte aussagen auch konkretisieren um die aussage zu untermauer bzw um hilfestellungen überhaupt zu ermöglichen. es gibt derzeit x (95a/b/c/d,98a/se,me,NT4,w2k,xp) windows versionen (das waren allein schon 10). manchmal kann man auch das ein oder andere zusammenfassen (9x/me) um genauere aussagen zu treffen.

>sondern nur einen kleinen denkanstoss liefern. ich bin selber ein "jung" admin und kann anregungen immer gebrauchen bzw lerne gerne dazu. da lob ich
>mir so ein einwand bzw "zwischenruf" von storm, da kann man zumindest drüber nachdenken.
auch über meine Einwände kann man nachdenken, sofern man nicht gleich denkt: so ein ar***

>die erste bemerkung in deinem post ist ja noch ok, aber dann kommt nur noch überflüssige worte. Wenn Du kaum zeit hast zum schreiben(laut der uhrzeit
>sollte man da so langsam feierabend haben) dann lass es bitte ganz sein. durch die anderen post von dir in diesem forum, hätte ich etwas erwartet.
wie gesagt, es kann sein das die art und weise meiner bemerkungen eine "blockade" bzw unwille zum nachdenken hervorgerufen hat. wenn dem so war tut es mir natürlich leid. aber für die zukunft, schauen wir mal ob es nicht besser wird, ok?
Aber ich war tatsächlich noch bei der Arbeit, da derzeit mein internetzugang derzeit hauptsächlich in der fa. vonstatten gehen kann.

ein squid-proxy kann dir eine menge arbeit ersparen und macht auch dieses üble inhaltsfilternde programm überflüssig. damit hast du einen zentralen übergang zum internet (somit auch nur ein einziges zu sicherndes programm). es existieren auch filterlisten, so dass du einzlene besuchte seiten blocken kannst (oder acuh nicht). oder du gehst den umgekehrten weg und gibst vor, welche seiten die PErsonen aufrufen dürfen.


so. nu hab ich keine lust mehr. falls ich irgendwas vergessen habe, oder weitere gedankliche anregungen geben kann: nur heraus damit.

Gruss

so ich grad noch: watt heist IMHO?

In My Humble Opinion (meiner bescheidenen meinung nach)

User avatar
Stormbringer
Posts: 1570
Joined: 11. Jan 2001 11:01
Location: Ruhrgebiet

Re: Router mit html-logs ???

#10 Post by Stormbringer »

@Zeoch:
Wenn ihr tatsächlich einen Switch nutzt, entsteht kaum Netzwerk blockierender Verkehr .... da ein Switch halt die CSMA/CD Grundzüge insofern "verfeinert", als das halt tatsächlich jeder ersteinmal eine freie Leitung zum Switch hat (außer er enpfängt gerade etwas aktiv). Sprich: in einem ungeswitchten Netzwerk kann zuviel "überflüssiger" Verkehr tatsächlich die effektive Nutzleistung verringern. In einem geswitchten Netz kann diese "Verlustleistung" wieder etwas vermindert werden. Mehrere Stationen können mittels Switch also paralell senden und empfangen, wobei aber immer nur zwei Stationen dies gleichzeitig miteinander können. Euer Linuxrouter kann also immer nur mit einem Client pro Zeiteinheit kommunizieren (-> bzgl. lokaler Installationen von Software).
ip Adreßauswertung: zum Einen ist abzuklären, ob dies in der gewünschten Form laut Datenschutzgesetz bei euch rechtens ist! Bevor dies nicht getan ist gilt: auch das Surfen am Arbeitsplatz fällt unter die Privatspähre (paßt mir zwar auch nicht immer, ist aber leider so .... zum Glück gibt es Betriebsvereinbarungen <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">).

@equal:
Nun zur ürsprünglichen Frage: eine ipchains logdatei soll u. a. die angewählten URLs beinhalten ...... böse Sache .... bedenke bitte auch, daß popup Fenster und ähnliche Fiesheiten ebenfalls gelogt werden, der Benutzer also faktisch besagte Websites "angewählt" hat, dies aber nicht absichtlich oder bewußt getan hat.
Bei ipchains gibt es die Option -l um allgemein eine Logdatei zu führen - diese kann dann z. B. mittel grep selektiv ausgelesen werden. Wenn ich mich nicht irre, ist halt schon länger her, muß dafür aber der Kernel Log Dämon laufen (klogd). Du solltest also Regeln in der Form "ipchains -A forward -j DENY -l" einfügen.
Du kannst aber z. B. auch ntop auf der Linuxmaschine laufen lassen, und den Verkehr des äußeren, dens inneren oder von beiden Netzwerkadaptern auswerten lassen - auch grafisch über Zugriff auf einen von Dir zu definierenden Port.

Nüztzliche Seiten zu diesem Thema:
<a href="http://www.insecure.org/" target="_blank"><!--auto-->http://www.insecure.org/</a><!--auto-->
<a href="http://www.linuxsecurity.com/" target="_blank"><!--auto-->http://www.linuxsecurity.com/</a><!--auto-->

Gruß
PS: nimm trotzdem zusätzlich einen Squid Proxy .... ist flexibler, kann Traffic reduzieren, kann gezielter filtern, ...
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)

zeoch
Posts: 89
Joined: 28. Sep 2001 7:48
Location: Berlin
Contact:

Re: Router mit html-logs ???

#11 Post by zeoch »

@Lutz
das ist doch die art, die ich von Dir gewohnt bin zu lesen, auch wenn ich recht neu hier im forum bin. bei dem ersten post konnte einfach nix verwendbares rausziehen, was mit deim 2.post schlagartig änderte :)
(vielleicht bin ich auch nur denkdoof, also lieber nen kurzen 2 zeiler noch zur erklärung mitgeben)

> erkläre mir doch bitte mal was du darunter verstehst. Danach bitte den Unterschied, sobald du damit fertig bist auch noch, was ihr genau einsetzt. (ist absolut ernst gemeint)

unter desktop fw verstehe ich fws für alle low windows rechner(95,98 und me; wobei die version nicht so wichtig ist dafür).
sandboxes sind für mich programme, die anwendung in einer art gesicherten umgebung laufen lassen. so kann man denn zb einen webbrowser laufen lassen, ohne das dieser zugriff auf das dateisystem hat. im härtesten fall kann er dann noch nicht mal die cacheflies anlegen.
der unterschiedist für mich, dass desktop fw meist applikations fw sind und im atguard fall port bezogen sind. sandboxes setzten sich in den datenstrom und lassen nur zuvor definierte zustände zu.
Bitte um berichtigung, wenn ich etwas falsch sehe :)

zum einsetzen... erstmal musste ich alles schnell wieder schnell aufbauen, da der letzte admin alles zerfetzt hat. netzstrukture, betreibssyteme, router usw hat er alles platt gemacht. ohne netz könne die keine kohle machen, alles muste es schnell gehen.
da ich nur das kann, was ich mir vorher selber durchs netz, test´n try und 1 jahres netzwerkumschulung angeeignet habe, setzt ich einen redhat 7.1 ein. iptables, samba und ssh (nur für mich) laufen auf dem rh. die user nutzen win 98se kisten, meist mit PIII 800. auf diesen habe ich mit poledit(kann mir schon denken was Du davon hältst *g*) eine minimale einschränkung der rechte vorgenommen, soweit es halt mit poledit geht :)
So laufen auf den win rechner nur progis die ich durch pol freigegeben habe.
ausserdem ist auf den winkisten atguard inst, damit kann ich spezelle ips bzw sites blocken.
Den Vorteil sehe ich dabei(auch gleich mit dem untern post von @Storm zu verbinden), das man wie schon erwähnt, den unnötigen verkehr erst garnicht entstehen läst. Denn dieser entsteht doch auch bei switches, wie Storm sagte kann immer nur ein client mit dem Linuxsserver kommunitieren. wenn einer gerade per samba files schaufelt und andere surfen, ist es doch nur vorteilhaft, wenn die werbebanneranfragen(nur kleines beispiel) erst gar nicht mehr zurück an den linux gehen, sonder komplett in windows verschwinden. So entlastet man switch und linux etwas, wenn auch nur wirklich ein wenig :)

> Ok, muss nicht unbedingt w2k sein, aber NT4 sollte man schon einsetzen. Das hat auch nichts mit geldscheissen oder ähnlichem zu tun. es geht einfach darum, sicherheit verschiedenster arten zu erzeugen. dazu gehören:
1. Absturzsicherheit
___die ist m. E. unter Kostengesichtspunkten die günstigere alternative, (doppelte arbeit, warten nach reboot etc.)
2. Benutzerverwaltung
___nt4/w2k besitzt eine Bentuzerverwaltung, die auch eine trennung auch einzelne dienste betrifft

das nt/w2k stabiler ist und bessere userverwaltung hat sehe ich ein, aber im gegensatz zu 98se ist es doch ein preisunterschied. zumal alles anwendungen stabil laufen. mein winrechner zu hause rotzt immer ab, da ich auch jedes kleine tool mir immer inst und testen muss. solange man seine paar progis hat und sonst nix weiter inst, läuft 98se mit nem nicht-aldi-rechner auch gut stabil.
Und was wäre, wenn alle rechner 100% stabil laufen? Dann bin isch doch arbeitslos ;)

> der einsatz von desktop firewalls auf win9x/me kisten ist sinnlos. da jeder benutzer alle rechte an auf diesen Kisten hat, gilt selbiges auch für den trojaner/virus/wurm. damit ist der sinn einer solchen desktop firewall von grund auf mehr als fragwürdig. während unter nt/w2k gibt es die möglichkeit die software als systemprozess zu starten, damit hat der user (mehr oder weniger) keine möglichkeit das programm zu bennden. selbiges gilt damit auch für den trojaner/virus/wurm

jetzt versteh ich, was Du bei dem ersten post meintest!
klar, da hast Du total recht. allerdings kann ich eine win9x kiste soweit "biegen", das der normale user keine prozesse mehr beenden kann und kaum rechte hat. soll heissen, er kommt nicht per affengriff an die taskübersicht und kann keine taskkiller tools einsetzen usw.
das ist natürlich nur eine gebastelte lösung, die einem proff system nicht das wasser reichen kann, da ein freak natürlich die tricks kennt. aber bedenke dabei, das wir (bzw die firma, ich hab noch weniger *g*) kaum geld haben und alles innerhalb von tagen entstanden ist.

> und von welchem konzept redest du??
>> eben :)

das war für mich ein kleiner persönlicher tiefschlag. Du hast bestimmt weit mehr plan als ich und hättest einiges aufgrund Deiner erfahrung anders gemacht, aber gedanken habe ich mir auch darüber gemacht. einigen wir uns darauf das es kein gutes konzept ist. aber eins ist klar, 20 nt licensen rückt mein chef nicht raus. wenn Du in dieser situation ein bessers konzept hast... bin ich für alles offen :)

> meinen satz solltest du ja auch nicht persönlich nehmen

hab ich auch nicht, wollte nur damit sagen das es wirklich nett so doll iss

> inhalte zu blocken halte ich persönlich für den falschen ansatz. ich weiss nicht genau wie es rechtlich aussieht, klingt aber nach ärger. auch einfach sex zu blocken, während derjenige hilfeseiten zu einem sexuality problem auf amerikanischen seiten sucht ist nicht ganz einfach nachzuvollziehen.

mit der rechtlichen seite müste man sich mal informieren, aber wenn jemand webseiten erstellt kann ich mir nicht erklären, das einige der user nach sex, drugs, warez, naked usw suchen. da kann mir keiner sagen, dass das zur arbeit notwenig ist. ausser man erstellt ne sex oder warez site, was bei uns aber definitiv nicht der fall ist. denke sowas hat auf arbeit nix zu suchen. wie das rechtlich aussieht würde mich jetzt aber auch interessieren.

> warum, hättest du sie nicht aus dem zusammenhang gerissen

was Du damit meintest ist mir nach Deinem 2. post erstklar geworden, aber so ganz im unrecht war ich auch nicht. da Du jetzt ja auch geschrieben hast, das es auch von den eingestezten produkten abhängt. nur las sich Dein Nein so definitiv und andgültig an, dass ich dachte total falsch zu liegen. und ohne kleine erklärung steht man dann doof dar und ist am grüben wieso und warum .

> wie gesagt, du must meine antwort schon in genauem zusammenhang mit deiner aussage betrachten

sorry, aber Du hast das alles so knapp abgeNEINt. leigt vielleicht daran, das ich nicht soo der prof bin und immer paar kleine erläuterungen mehr brauche :)

> habe ich auch nicht so aufgefasst. allerdings muss man bestimmte aussagen auch konkretisieren um die aussage zu untermauer bzw um hilfestellungen überhaupt zu ermöglichen. es gibt derzeit x (95a/b/c/d,98a/se,me,NT4,w2k,xp) windows versionen (das waren allein schon 10). manchmal kann man auch das ein oder andere zusammenfassen (9x/me) um genauere aussagen zu treffen.

kloar, datt war ein fehler von mir. hab mir alles nochmal durch gelesen und gesehen das ich nur windows geschrieben hab. man sollte halt doch nicht von arbeit ins forum posten ;)

> auch über meine Einwände kann man nachdenken, sofern man nicht gleich denkt: so ein ar***

wie gesagt, über den ersten teil Deines 1.post konnt ich gut drüber nachdenken, aber der rest bestand nur noch aus nein. naja, nachdenken könnt ich darüber auch, nur war das eher ein hirnzermartern ;)
im ernst, zum nachdnken braucht man dann auch noch etwas mehr als nur nein. nur darauf kam es mir an. ich freu mich immer über solche diskusionen, da sie für mich einen grossen lern effekt haben.
und das letzte dacht ich nie, schliesslich sind wir alle erwachsene menschen. da kann man doch über alles reden.

> wie gesagt, es kann sein das die art und weise meiner bemerkungen eine "blockade" bzw unwille zum nachdenken hervorgerufen hat. wenn dem so war tut es mir natürlich leid. aber für die zukunft, schauen wir mal ob es nicht besser wird, ok?
Aber ich war tatsächlich noch bei der Arbeit, da derzeit mein internetzugang derzeit hauptsächlich in der fa. vonstatten gehen kann.

jain, wie oben gesagt. nicht direkte blockade, nur wuste ich, nicht sorecht damit was anzufangen und das mit der arbeit war gut geraten, ne? ;)

> ein squid-proxy kann dir eine menge arbeit ersparen und macht auch dieses üble inhaltsfilternde programm überflüssig. damit hast du einen zentralen übergang zum internet (somit auch nur ein einziges zu sicherndes programm). es existieren auch filterlisten, so dass du einzlene besuchte seiten blocken kannst (oder acuh nicht). oder du gehst den umgekehrten weg und gibst vor, welche seiten die PErsonen aufrufen dürfen.

Dann wird wohl in nächster zeiz ein squid-frag-post von mir kommen *g*
darüber bin ich jetzt wirklich am nachdenken.

Auf jedenfall bedanke ich mich für die diesmal sher ausführlichen beantwortungen bzw denkanstösse. sowas hat für mich einen grossen lerneffekt, das ist "der" Lutz den ich aus anderen post gelesen hab :)
es freut mich das es noch menschen gibt, die sich die mühe machen, anderen weiter zuhelfen. wobei das jetzt nicht nur allein an Lutz geht.
Danke und guten abend
*gähnt und jetzt ins bett geht*
MfG
Zeoch

User avatar
Stormbringer
Posts: 1570
Joined: 11. Jan 2001 11:01
Location: Ruhrgebiet

Re: Router mit html-logs ???

#12 Post by Stormbringer »

@Zeoch (und alle anderen <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">):
Ein Squid Proxy hat noch weitere, arbeitserleichternde Vorteile!!!
Z. B.:
- zentrale Administration von zulässigen URLs
- zentrale Virenkontrolle bei Downloads (z. B. viralator)
- zentrales Blocken von Werbefenstern (z. B. adzap, oder so ähnlich)
- ...
Mußt dann also nur ein System in genannten Bereichen pflegen!

Gruß
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)

trinity
Posts: 821
Joined: 12. Oct 2001 10:04

Re: Router mit html-logs ???

#13 Post by trinity »

@Zeoch
desktop fw vs. sandbox
Deine Erläuterung war soweit schon ganz gut. Bis auf
> sandboxes setzten sich in den datenstrom und lassen nur zuvor definierte zustände zu
sandboxes sind normalerweise das einzige Kommunikationsmedium, d. h. das Programm kommuniziert mit der Sandbox bzw. der simulierten Umgebung. Sozusagen ein Programm läuft innerhalb eines Programms. Da du die Unterscheidung also kennst, warum schreibst du dann nicht einfach dekstop fw, wenn du desktop fw meinst (und es auch weisst). <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

Hast du eine Netzwerkumschulung gemacht? Wenn ja, wie lautet denn da die Bezeichnung bzw. "was bist du"?

> und von welchem konzept redest du??
>> eben :)
>das war für mich ein kleiner persönlicher tiefschlag. Du hast bestimmt weit mehr plan als ich und hättest einiges aufgrund Deiner erfahrung anders
>gemacht, aber gedanken habe ich mir auch darüber gemacht. einigen wir uns darauf das es kein gutes konzept ist. aber eins ist klar, 20 nt licensen
>rückt mein chef nicht raus. wenn Du in dieser situation ein bessers konzept hast... bin ich für alles offen :)
Eine berockte Sache möglichst schnell wieder auf die Reihe zu bringen ist doch auch schon mal ein Konzept <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
Zwar kein Sicherheitstechnisches aber immerhin, und Zeit ist in so einem Fall bares Geld.
Aber atguard musstet ihr doch auch kaufen (ich frage jetzt mal nicht weiter), wobei atguard bestimmt keine 390,DM/St kostet. Aber um aml wieder auf das wesentliche zu kommen.
Du solltest auf gar keinen Fall deinen Fileserver gleichzeitig als Proxy/Internetzugang verwenden. Das währe ziemlich leichtsinnig, denn sollte der gehackt werden hast du ein grosses Problem. Such dir also ein paar alte komponenten heraus, soetwas habt ihr bestimmt und bastele daraus deinen Proxy (keinen Router). Bedenke, dass der Rechner ZWEI netzwerkkarten benötigt.
Dazu kannst du dir evtl. Securing + Optimizing (RedHat) Linux von www.linuxdoc.org mal anschauen.

Was die rechtliche Frage anbelangt:
1. Sofern surfen auch privat erlaubt ist, darfst du eigentlich die logfiles nicht mehr nach besuchten Webseiten durchforsten (Privatsphäre)
2. Ist privates Surfen nicht erlaubt, darfst du.
3. Ist privates surfen nicht erlaubt, aber ihr duldet privates surfen, dann hast du damit recht nummer 2 verschenkt.

Ein einfaches Konzept für Internet-Zugang könnte so aussehen:

Internet--[PROXY]-[SWITCH]--comp1
|----comp2
|----server
|...
Auf dem Server (da läuft ja bereits linux) könntest du zusätzlich noch Filterregeln definieren, die zugriffsversuche von PROXY loggen und blockieren.
Diese Logfiles auf dem Server solltest du dann auch regelmässig mal überprüfen (und die Filterregeln anpassen)

User avatar
Stormbringer
Posts: 1570
Joined: 11. Jan 2001 11:01
Location: Ruhrgebiet

Re: Router mit html-logs ???

#14 Post by Stormbringer »

@Lutz
Ich möchte hoffen, daß Deine Skizze nur aufgrund von Formatierungen verschoben ist, und so aussehen soll .... gell?
<pre>
Internet--[PROXY]-[SWITCH]--comp1
|----comp2
|----server
|...
</pre>
Wobei [PROXY] aber auch [PROXY + FIREWALL] heißen kann (sollte).

Gruß
Last edited by Stormbringer on 12. Oct 2001 12:18, edited 1 time in total.
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)

trinity
Posts: 821
Joined: 12. Oct 2001 10:04

Re: Router mit html-logs ???

#15 Post by trinity »

@Strombringer
ähm, tja wie soll ich sagen, stimmt natürlich. Aber, wie hast du die grafik mit den entsprechenden Leerzeichen eingegeben?
Meine Blanks wurde ja gelöscht.

PROXY+FIREWALL würde ich auch machen (fowarding grundsätzlich deaktivert, Squid-Nutzung IP beschränkt).
Aber, sollte Squid der einzige Dienst sein, der an Ports lauscht hat man durch zusätzliche Paketfilter keine erhöhte Sicherheit (allerdings auch keinen syslogd)

Post Reply