Login
Newsletter
Fr, 5. Mai 2000, 11:31

Einfacher Schutz vor Phonehome bei Windows in Dual-Boot-Systemen

Bei Windows kommt es ziemlich oft vor, daß ein Programm versucht, eine Nachricht zum Hersteller zu schicken. Dies kann man mit einer Firewall nur dann unterbinden, wenn der »Anrufer« einen eigenen Port benutzt und sich nicht als Web- oder FTP-Client tarnt.

Ich habe deshalb einen eigenen Internet-Server mit Firewall unter Linux laufen und so eingerichtet, daß nur mein Linux-System direkt mit dem Internet komunizieren kann. Windows hingegen kann nur über einen Proxy WWW- und FTP-Verbindungen aufbauen. Dadurch ist relativ gut sichergestellt, daß nur bestimmte Programme wie Mozilla eine Internetverbindung aufbauen können, da ja nur diese Programmen von der Existenz des Proxys in Kenntnis gesetzt werden.

Mann muß dazu einfach nur dem Computer unter Windows eine andere IP zuweisen als unter Linux. Anschließend läst die Firewall alle IP-Pakete fallen, die von einem Windows-System direkt in das Internet wollen.

z.B.

Server 192.168.1.1
Linux-WS 192.168.0.1
Win98-WS 192.168.0.64
WinNT/2k-WS 192.168.0.128

Die Firewall verwirft alle Forwarding-Pakete, die von einer IP höher als 192.168.0.64 kommen.

z.B.

iptables -A FORWARD -s 192.168.0.64/26 -j DROP
iptables -A FORWARD -d 192.168.0.64/26 -j DROP # Sicher ist Sicher

Man kann nun verschiedene Dienste wie Name Service, die nur an eine bestimmte IP zulässig und daher relativ sicher sind, vorher durchlassen, oder auch dafür einen Proxy wie "pdnsd" einsetzen.

Natürlich wäre es sicherer, wenn man Forwarding ganz unterbindet und nur Proxies einsetzt, aber leider finde ich für manche Dinge wie FTP keinen Proxy, der mit allen Programmen, die ich benütze, zusammenarbeitet und alle wichtigen Funktionen unterstützt. Aber für Windows reicht es. Auch weiß ich, daß man normalerweise auf einer Firewall keinen anderen Dienst laufen lassen sollte, aber ich will nicht noch einen Computer ständig laufen lassen und ich denke, für den Hausgebrauch reicht diese Lösung.

P.S.
Möglicherweise kann man auch mit der richtigen Software für Windows alles auf nur auf einer Maschine laufen lassen und nur dem Proxy-Programm Zugang zum Internet gewähren, aber dann hat man wohl keinen Schutz vor Windows selbst :-).

Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten