15
Filesharing unterbinden oder Internet tunneln?
Hallo! Zur Ausgangssituation: Wir haben eine kleinere Pension und wollen unseren Gästen Internetzugang anbieten. Da wir vor kurzem Probleme durch das filesharing einer unserer Gäste bekommen haben wollte wir die Sicherheit weiter erhöhen.
Ich frage mich nun was ich machen soll. Filesharing komplett zu unterbinden is meines Wissens nicht möglich da bei den meisten Programmen der Port frei wählbar ist (zB port 80). Aber da Internet heute für die meisten Pensionen ein Standard ist wollen wir nicht darauf verzichten.
Meine Idee wäre zum Beispiel den kompletten Internetverkehr über einen VPN im Ausland (Schweiz, Russland... ) zu tunneln. Was haltet ihr davon? Wäre das eine Alternative?
Und wie kann ich das Filesharing Risiko minimieren? Habe bis jetzt schon einen pfsense Server gebaut der alles mitloggt und per captive portal Benutzerdaten verlangt. Was aber auch nur zur Abschreckung dient da immer der Provider (wir) haftbar ist. Ist es sinnvoll alle Ports bis auf 80 zu sperren?
Danke im Vorraus
Meine Idee wäre zum Beispiel den kompletten Internetverkehr über einen VPN im Ausland (Schweiz, Russland... ) zu tunneln. Was haltet ihr davon? Wäre das eine Alternative?
Und wie kann ich das Filesharing Risiko minimieren? Habe bis jetzt schon einen pfsense Server gebaut der alles mitloggt und per captive portal Benutzerdaten verlangt. Was aber auch nur zur Abschreckung dient da immer der Provider (wir) haftbar ist. Ist es sinnvoll alle Ports bis auf 80 zu sperren?
Danke im Vorraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 162459
Url: https://administrator.de/contentid/162459
Printed on: April 24, 2024 at 02:04 o'clock
15 Comments
Latest comment
Moin,
erstmal: Woher hast du denn ne VPN-Gegenstelle im Ausland? Denn deine Gäste möchten doch sicherlich nicht jedesmal manuell nen VPN aufbauen, oder?
Wie wäre es mit ner simplen Anmelde-Seite im Haus? Der Gast meldet sich an und wird mit Datum/Uhrzeit registriert. Wenn der dann Filesharing-Dienste illegal nutzt dann kannst du die Anzeige einfach weiterleiten - du weisst ja wer wann was gemacht hat...
Ansonsten wäre es schon ausreichend die Ports zu sperren - da kaum Gäste da genügend Ahnung haben werden welche Ports die nutzen usw...
erstmal: Woher hast du denn ne VPN-Gegenstelle im Ausland? Denn deine Gäste möchten doch sicherlich nicht jedesmal manuell nen VPN aufbauen, oder?
Wie wäre es mit ner simplen Anmelde-Seite im Haus? Der Gast meldet sich an und wird mit Datum/Uhrzeit registriert. Wenn der dann Filesharing-Dienste illegal nutzt dann kannst du die Anzeige einfach weiterleiten - du weisst ja wer wann was gemacht hat...
Ansonsten wäre es schon ausreichend die Ports zu sperren - da kaum Gäste da genügend Ahnung haben werden welche Ports die nutzen usw...
Hallo Dominik321,
durch das Loggen der Nutzer (muss dem Nutzer bekannt sein, da sonst verboten),
kannst du nachweisen, wer ein Straftat begangen hat,
wodurch du in der Regel wieder aus dem Schneider bist.
Du kannst belegen, wer wann in welchem Zimmer mit
welchem Zugang was gemacht hat.
Soweit ich das jetzt im Kopf habe.
Lg Grapper
durch das Loggen der Nutzer (muss dem Nutzer bekannt sein, da sonst verboten),
kannst du nachweisen, wer ein Straftat begangen hat,
wodurch du in der Regel wieder aus dem Schneider bist.
Du kannst belegen, wer wann in welchem Zimmer mit
welchem Zugang was gemacht hat.
Soweit ich das jetzt im Kopf habe.
Lg Grapper
Im Prinzip habt ihr recht aber da wir zu 90% ausländische Gäste haben ist eine Verfolgung unmöglich und die Klage bleibt an uns hängen. Dies hat mir so auch ein IT-Anwalt bestätigt.
Das loggen unterschreiben alle Gäste beim erhalt der Benutzerdaten.
Die VPN-Gegenstelle im Ausland würde ich mieten (SwissVPN,etc...) wäre dies grundsätzlich eine Möglichkeit?
Das loggen unterschreiben alle Gäste beim erhalt der Benutzerdaten.
Die VPN-Gegenstelle im Ausland würde ich mieten (SwissVPN,etc...) wäre dies grundsätzlich eine Möglichkeit?
Hallo,
bei SwissVPN dürfte das auf das Gleiche hinauslaufen. Auch in CH wird der Esel nicht so gerne gesehen.
Wenn das wirklich so ist, daß Ihr selbst bei einer (glaubhaften) Nennung einer Person belangt werden könnt, dann dürfte kein Hotel irgendwo einem Urlauber den Griff in das Netz gestatten. Würde hier mal eine zweite Meinung einholen, bevor andere Klimmzüge gemacht werden.
Grüße vom Peter
bei SwissVPN dürfte das auf das Gleiche hinauslaufen. Auch in CH wird der Esel nicht so gerne gesehen.
Wenn das wirklich so ist, daß Ihr selbst bei einer (glaubhaften) Nennung einer Person belangt werden könnt, dann dürfte kein Hotel irgendwo einem Urlauber den Griff in das Netz gestatten. Würde hier mal eine zweite Meinung einholen, bevor andere Klimmzüge gemacht werden.
Grüße vom Peter
Ähm - LOL? Meinst du das jetzt ernst?
also ich als Firma/Hotel miete mit meinen Daten einen Server irgendwo auf der Welt. Aller Datenverkehr den ich in $hotel erzeuge wird darüber geleitet. Jetzt kommt $Anwalt an und erkennt da was. Er erkennt also mit recht wenig Aufwand wem der Server gehört. Also geht die Anzeige wieder an dich (bzw. der Serverbetreiber in der Schweiz oder sonstwo bekommt die und leitet die 1:1 an dich weiter).
Lass uns mal nen schritt weitergehen: Die Anzeige kommt also bei dir an. Du gehst jetzt zu dem Anwalt und sagst dem: Nee, war ich nicht, und ich habe auch alles getan um meinen Gästen (im technisch machbaren Rahmen) den Zugang zu erschweren. Ganz glaubwürdig wenn du dafür sogar nen VPN in nen anderes Land aufgebaut hast - der zieht die Klage sofort zurück...
Oder wäre es glaubwürdiger wenn du sagst das du nen Hotel/Pension hast - und dem per Protokoll sogar nachweisen kannst das du es nicht selbst warst sondern einer deiner Gäste und der sich bitte mit Forderungen an den wenden soll?
Na, ich weiss ja nicht, irgendwie glaub ich das VPN hilft dir nich wirklich weiter...
also ich als Firma/Hotel miete mit meinen Daten einen Server irgendwo auf der Welt. Aller Datenverkehr den ich in $hotel erzeuge wird darüber geleitet. Jetzt kommt $Anwalt an und erkennt da was. Er erkennt also mit recht wenig Aufwand wem der Server gehört. Also geht die Anzeige wieder an dich (bzw. der Serverbetreiber in der Schweiz oder sonstwo bekommt die und leitet die 1:1 an dich weiter).
Lass uns mal nen schritt weitergehen: Die Anzeige kommt also bei dir an. Du gehst jetzt zu dem Anwalt und sagst dem: Nee, war ich nicht, und ich habe auch alles getan um meinen Gästen (im technisch machbaren Rahmen) den Zugang zu erschweren. Ganz glaubwürdig wenn du dafür sogar nen VPN in nen anderes Land aufgebaut hast - der zieht die Klage sofort zurück...
Oder wäre es glaubwürdiger wenn du sagst das du nen Hotel/Pension hast - und dem per Protokoll sogar nachweisen kannst das du es nicht selbst warst sondern einer deiner Gäste und der sich bitte mit Forderungen an den wenden soll?
Na, ich weiss ja nicht, irgendwie glaub ich das VPN hilft dir nich wirklich weiter...
Hallo,
eine VPN ist viel zu überdemensioniert....besorge dir einen alten Rechner 0/8/15 reicht völlig aus. Darauf installierst du IPCop (unix basierende opensource firewall).
In den Regeln machst du einfach "Deny all" und gibst nur die Ports frei die benötigt werden wie z.B. Pop, Imap, DNS, Web usw.
Port - Liste
http://support.microsoft.com/default.aspx?scid=kb;de;278339
IPCop
http://www.pcwelt.de/news/Kostenlose-Linux-Firewall-IPCop-1-4-11-ist-re ...
P.s. mal im Ernst was meinst du was passiert wenn jemand den Port 80 in seinem Filesharing - Client angibt? Das ist HTTP :D das wird nicht funktionieren ;) die Firewall erwartet ein HTTP Paket und wenn du darüber kommst werden die Anfragen verworfen. Ansonsten dürfte niemals ein Port geöffnet werden, wenn du mit jeden beliebigen Paket über jeden Port dürftest....
Lieben Gruß
eine VPN ist viel zu überdemensioniert....besorge dir einen alten Rechner 0/8/15 reicht völlig aus. Darauf installierst du IPCop (unix basierende opensource firewall).
In den Regeln machst du einfach "Deny all" und gibst nur die Ports frei die benötigt werden wie z.B. Pop, Imap, DNS, Web usw.
Port - Liste
http://support.microsoft.com/default.aspx?scid=kb;de;278339
IPCop
http://www.pcwelt.de/news/Kostenlose-Linux-Firewall-IPCop-1-4-11-ist-re ...
P.s. mal im Ernst was meinst du was passiert wenn jemand den Port 80 in seinem Filesharing - Client angibt? Das ist HTTP :D das wird nicht funktionieren ;) die Firewall erwartet ein HTTP Paket und wenn du darüber kommst werden die Anfragen verworfen. Ansonsten dürfte niemals ein Port geöffnet werden, wenn du mit jeden beliebigen Paket über jeden Port dürftest....
Lieben Gruß
also ein nach dem anderen: ja, viele Hotels haben Probleme mit dieser Sache. Es ist wirklich so dass das Hotel haftet wenn der Gast nicht greifbar ist. Rechtlich gesehen ist das so. Sicher, dass alle VPN Dienste die Daten herausgeben? (http://cyberghostvpn.com/blog/2010/03/cyberghost-vpn-loscht-vorratsdate ..)
Zu der ports Sperre. Einige Ports muss ich hier freigeben. email etc... und es gibt genug filesharingprogramme die portunabhängig sind oder auch andere ports benutzen können. habe sogar von welchen gelesen die über port 80 laufen sollen. Meiner Meinung nach ist ports zu sperren keine 100%ige Lösung. Oder nur in Verbindung mit einem VPN. Überdimensioniert finde ich diesen auf keinen Fall. Die 50-100€ Kosten im Jahr sind hier gut investiert - wenn es denn wirklich schüzt...
Zu der ports Sperre. Einige Ports muss ich hier freigeben. email etc... und es gibt genug filesharingprogramme die portunabhängig sind oder auch andere ports benutzen können. habe sogar von welchen gelesen die über port 80 laufen sollen. Meiner Meinung nach ist ports zu sperren keine 100%ige Lösung. Oder nur in Verbindung mit einem VPN. Überdimensioniert finde ich diesen auf keinen Fall. Die 50-100€ Kosten im Jahr sind hier gut investiert - wenn es denn wirklich schüzt...
*hust* Deny all.....
alle ports werden generell geblockt. Du gibst nur bestimmte ports frei und darüber laufen nur die bestimmten Protokolle wie pop, imap usw...
ich habe diese Lösung schon dutzende Male umgesetzt. aber mach es kompliziert mit vpn ;)
P.s. is die vpn dann down kann keiner mehr surfen ...
alle ports werden generell geblockt. Du gibst nur bestimmte ports frei und darüber laufen nur die bestimmten Protokolle wie pop, imap usw...
ich habe diese Lösung schon dutzende Male umgesetzt. aber mach es kompliziert mit vpn ;)
P.s. is die vpn dann down kann keiner mehr surfen ...
Hallo,
Wenn ich im Ausland irgendwo einchecke, kopieren die sogar den Perso / Reispass, sonst gibt es kein Zimmer. (Und damit bin ich auch wieder in good old Germany auffindbar und ....)
Gruß,
Peter
Zitat von @Dominik321:
Im Prinzip habt ihr recht aber da wir zu 90% ausländische Gäste haben ist eine Verfolgung unmöglich und die Klage
bleibt an uns hängen.
Warum das denn jetzt? Es ist richtig, du kannst dir nicht den Personalausweiß / reisepass zeigen lassen um die personendaten für Internetnutzung festzuhalten. Der gast muss aber doch bei ankunft sich ausweißen. Damit hast du doch über den umweg die genauen Personendaten. Damit bleibt die Anzeige doch nicht bei dir hängen. Wie jetzt ein Stattsanwalt5 die Person im Ausland haftbar machen kann, ist doch nicht dein Problem. Du brauchst doch mit deinen Logs nur zur beweißen, das du es nicht warst, sondern Gast xyz von Zimmer 11 am 13.02.2012.Im Prinzip habt ihr recht aber da wir zu 90% ausländische Gäste haben ist eine Verfolgung unmöglich und die Klage
bleibt an uns hängen.
Wenn ich im Ausland irgendwo einchecke, kopieren die sogar den Perso / Reispass, sonst gibt es kein Zimmer. (Und damit bin ich auch wieder in good old Germany auffindbar und ....)
Gruß,
Peter
In Deutschland muss der Anschlussinhaber aufpassen, was mit seinem Internetanschluss passiert. Er allein ist dafür verantwortlich. Man müsste sich das Geld privat zurückklagen von den Mietern. Was so gut wie unmöglich ist. Was ist wenn unsere Benutzer über http irgendwas illegales downloaden oder filesharing ohne port betreiben...
Fand die VPN idee gar nicht so schlecht. (In Verbindung mit port sperren...) Macht das die komplette Sache nicht um einiges sicherer?
Fand die VPN idee gar nicht so schlecht. (In Verbindung mit port sperren...) Macht das die komplette Sache nicht um einiges sicherer?
Das ist so erstmal nich richtig. Ich bin als Leitungsinhaber natürlich dafür verantwortlich was passiert. Aber NUR für das was ich im normalen technisch machbaren unterbinden kann. D.h. kann ich nachweisen das mein WLAN z.B. verschlüsselt ist UND z.B. ein Filesharing gar nicht durch mich genutzt werden konnte (z.B. weil ich im Urlaub war - oder weil es eben nen Hotel ist und das Protokoll was anderes hergibt) dann ist das nicht sooo eindeutig.
Und welchen Vorteil bringt dir das VPN? Du unterbindest damit ja nix - sondern du versuchst nur deinen Ausgangspunkt woanders hinzulegen. ICH würde dir das sogar als Absicht auslegen deinen Datenverkehr zu verschleiern - und somit unterstellen das du das Filesharing sogar förderst! Eine normale Firewall (ggf. mit Proxy / transparenten Proxy) sollte da eher passen...
Und welchen Vorteil bringt dir das VPN? Du unterbindest damit ja nix - sondern du versuchst nur deinen Ausgangspunkt woanders hinzulegen. ICH würde dir das sogar als Absicht auslegen deinen Datenverkehr zu verschleiern - und somit unterstellen das du das Filesharing sogar förderst! Eine normale Firewall (ggf. mit Proxy / transparenten Proxy) sollte da eher passen...
Naja aber wenn es zu einem Problemfall kommt geht es erstmal vors Gericht. Das lässt wieder Anwaltskosten entstehen und alles in allem ist die Rechtslage nicht 100% sicher. Das VPN verhindert, dass Inkassobüros unsere IP von einem Provider bekommen. Wenn ein VPN irgendwo in Israel steht und nicht loggt wird es für diese Firmen unmöglich uns zu finden. Ausserdem bietet ein VPN zusätzliche Verschlüsselung und etwas mehr Anonymität kann heutzutage nicht schaden... und filesharing fördern ist ausgeschlossen weil ich zusätzlich noch die Ports sperre
ähm - das vpn verhindert da nicht viel - solang du eine legale vpn-gegenstelle nimmst... denn da wird man bei den meisten dingen relativ einfach an die mieter-daten kommen... ODER du gehst wirklich über israel o.ä. - ok, nur dann ist das surfen extrem langsam - ein zufriedener gast ist dann schonmal weg...
ganz davon abgesehen - was machst du wenn ich z.B. bei dir bin? Ich möchte mich in meine Firma einwählen - per VPN... Und das durch deinen VPN-Tunnel über Israel? Na danke - mich würdest du nie wieder sehen weil ich da Abends nicht mal mehr meine Mails machen kann...
Du kannst das auch alles über nen TOR-Netzwerk leiten (das is zum surfen gedacht) - dann bist du auch anonym...
ganz davon abgesehen - was machst du wenn ich z.B. bei dir bin? Ich möchte mich in meine Firma einwählen - per VPN... Und das durch deinen VPN-Tunnel über Israel? Na danke - mich würdest du nie wieder sehen weil ich da Abends nicht mal mehr meine Mails machen kann...
Du kannst das auch alles über nen TOR-Netzwerk leiten (das is zum surfen gedacht) - dann bist du auch anonym...
Also habe VPN Anbieter gefunden der (angeblich-sicher weiß man es ja nie) nicht loggt und ca 500-800mbps anbietet und alles weiterleiten was durch einen vpn/socks proxy möglich ist. Die Server wären in Schweiz, Russland, etc. Aber wenn das wirklich so problematisch ist wie mir hier alle sagen... TOR ist hier schon wesentlich langsamer... aber wenn ihr meint dass es nicht sicher/geeignet ist...
Hallo,
ich habe diesen Thread nur kurz überflogen und eine Alternative im Angebot:
Was du benötigst ist eine Firewall die "deep-packet inspection" beherrscht. Dann kann niemand mehr über Port 80 einfach einen Dienst verbiegen.
Ich kenne aber keine freie FW die das kann. Es gibt aber Appliances verschiedener Hersteller, die auch für kleine Unternehmen erschwinglich sind.
Das müßtest du mal googeln.
Alternativ könnte eine Möglichkeit sein, einen Squid-Proxy einzusetzen. Da bin ich mir nicht sicher.
Zusätzlich würde ich dir empfehlen, noch einen Anbieter wie "OpenDNS" einzusetzen. Da kannst du dann Webinhalte nach Kategorie sperren, wie z.B. pornographische Seiten oder Filesharing Seiten. (Die musst du ja auch berücksichtigen - was nützt es dir, wenn du Filesharing über Tools verhinderst und deine Gäste sich schön illegale Inhalte über das Web herunter laden).
Die Sache mit den ausländischen VPN-Providern, würde ich nicht machen. Das sieht zu sehr nach: "Ich will Filesharing möglich machen, aber nicht erwischt werden aus".
ich habe diesen Thread nur kurz überflogen und eine Alternative im Angebot:
Was du benötigst ist eine Firewall die "deep-packet inspection" beherrscht. Dann kann niemand mehr über Port 80 einfach einen Dienst verbiegen.
Ich kenne aber keine freie FW die das kann. Es gibt aber Appliances verschiedener Hersteller, die auch für kleine Unternehmen erschwinglich sind.
Das müßtest du mal googeln.
Alternativ könnte eine Möglichkeit sein, einen Squid-Proxy einzusetzen. Da bin ich mir nicht sicher.
Zusätzlich würde ich dir empfehlen, noch einen Anbieter wie "OpenDNS" einzusetzen. Da kannst du dann Webinhalte nach Kategorie sperren, wie z.B. pornographische Seiten oder Filesharing Seiten. (Die musst du ja auch berücksichtigen - was nützt es dir, wenn du Filesharing über Tools verhinderst und deine Gäste sich schön illegale Inhalte über das Web herunter laden).
Die Sache mit den ausländischen VPN-Providern, würde ich nicht machen. Das sieht zu sehr nach: "Ich will Filesharing möglich machen, aber nicht erwischt werden aus".
