sarekhl
Goto Top

Vigor 2860: Filesharing unterbinden

Hallo zusammen,

in unserer Kirchengemeinde möchten wir im Gemeindehaus einen öffentlichen HotSpot bereitstellen. Der Kirchengemeinderat erlaubt das nur, wenn wir Filesharing möglichst weitgehend ausschließen. Ich möchte dazu auf unserem Router (Draytek Vigor 2860) für einen [physikalischen] Port (an dem der Hotspot hängen wird) Filesharing unterbinden. Hat jemand eine Idee, wie das gehen könnte? Leider nutzen die Filesharing-Programme ja auch die well-known-Ports (diesmal sind TCP/UDP-Ports gemeint), so dass ein einfaches Schließen von Ports für den Zweck nichts bringt face-sad

Danke im Voraus,
Sarek \\//_

Content-Key: 332759

Url: https://administrator.de/contentid/332759

Ausgedruckt am: 29.03.2024 um 05:03 Uhr

Mitglied: 132692
132692 21.03.2017 aktualisiert um 13:57:34 Uhr
Goto Top
Wirst du ohne aufwändiges DPI (Deep Packet Inspection) nie ganz verhindern können da solche Verbindungen inzwischen meist alles über SSL tunneln kannst du mit so einer einfachen Router-Büchse nichts reißen.
https://www.heise.de/ct/hotline/Filesharing-blockieren-1436278.html
Lass deinen Hotspot z.B. über Hotsplots, Freifunk & Co. laufen dann brauchen dich solche Sachen wie Filesharing nicht interessieren.
Soll es eine eigene Lösung sein => PFSense mit Voucher-System und Logging.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

Gruß p
Mitglied: Hellgore
Hellgore 21.03.2017 aktualisiert um 14:14:19 Uhr
Goto Top
https://www.netbarry.org

sieht ganz danach aus, was du brauchst, oder? Auch wenn es auf dem Router gelöst werden soll, halte ich diese Lösung für sinnvoller.

Gruß

Hellgore
Mitglied: 108012
108012 21.03.2017 um 14:22:54 Uhr
Goto Top
Hallo zusammen,

in unserer Kirchengemeinde möchten wir im Gemeindehaus einen öffentlichen HotSpot bereitstellen.
Das ist sehr lobenswert, nur sollte man nicht nur über die Versorgung mit dem Internet nachdenken sondern
sich auch um das Seelenheil der Gemeinde kümmern und da wird das so wohl eher nicht zusammenpassen,
ohne jetzt jemandem zu nahe zutreten oder Ihn angreifen zu wollen. Sind das Kinder, oder Jugendliche oder
"nur" erwachsene Klienten? Hast Du bereits einmal über OpenDNS nachgedacht? Ein Captive Portal mit
Voucher System dazu, damit man auch sagen kann wer denn was gemacht hat oder im Fall der Fälle
den "Frevler" ausfindig zumachen bzw. Ihn ansprechen zu können?

Der Kirchengemeinderat erlaubt das nur, wenn wir Filesharing möglichst weitgehend ausschließen.
Alters bezogen (Gruppen) kann auch nicht schaden. Und so dass man im Fall der Fälle Protokolldateien
zur Auswertung hat, also "logfiles", wäre ja auch nicht schlecht, oder?

Ich möchte dazu auf unserem Router (Draytek Vigor 2860) für einen [physikalischen] Port (an dem der Hotspot
hängen wird) Filesharing unterbinden.
Mit einer Next Generation Firewall, einem Router oder Firewall mit guten DPI Eigenschaften und/oder dem Einsatz
von IDS (Application based rules) ist das möglich und wenn noch ein Proxy mit ins Spiel kommt ist das auch nett.
Aber ich denke damit ist der drayTek Router einfach überfordert.

Hat jemand eine Idee, wie das gehen könnte?
Eine gute Alternative zu Deinem (Eurem) Router wäre hier eine pfSense auf APU2C4 Basis oder aber eine
OPNSense (Fork von pfSense) auf einem RaspBerry PI 3.0, dan man dann einfach nur als Cpative Portal,
Radius Server und eventuell als OpenLDAP Server benutzt. Aber ich weiß nicht wie weit das Captive Portal
dort schon einsatzfähig ist.

Leider nutzen die Filesharing-Programme ja auch die well-known-Ports (diesmal sind TCP/UDP-Ports gemeint),
so dass ein einfaches Schließen von Ports für den Zweck nichts bringt
Richtig und Verschlüsselung ist diesen Programmen auch schon bekannt weshalb man sich dort eventuell
mittels eines Proxy Servers der Sache besser annehmen könnte. Dann ist wenigstens bekannt wer dort
etwas illegales gemacht hat.

Wirst du ohne aufwändiges DPI (Deep Packet Inspection) nie ganz verhindern können da solche Verbindungen
inzwischen meist alles über SSL tunneln kannst du mit so einer einfachen Router-Büchse nichts reißen.
https://www.heise.de/ct/hotline/Filesharing-blockieren-1436278.html
MIttels eines Proxy Serves an dem man sich mit einer Benutzeranmeldung anmelden muss und zusammen mit OpenDNS
wäre da schon etwas zu machen nur eben auch nur wieder bis hin zu einem gewissen Punkt halt.

Lass deinen Hotspot z.B. über Hotsplots, Freifunk & Co. laufen dann brauchen dich solche Sachen wie Filesharing
nicht interessieren.
Einfache Idee nur da kommt dann irgend wie auch die Verantwortung und der erzieherische Aspekt wohl zu kurz
bis hin zu der fehlt dabei komplett. Es ist ja eine kirchliche Einrichtung und da sollte man so nicht mit solchen Themen
umgehen denke ich mir mal.

Soll es eine eigene Lösung sein => PFSense mit Voucher-System und Logging.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Wäre auch meine Idee gewesen oder aber wenn die Anzahl an Benutzern überschaubar ist dann eben mittels
Radius Server Zertifikate vergeben und den Squid Proxy einsetzen dann kann man auch immer gut in (Gruppen)
einteilen die dem Alter entsprechen und mittels OpenDNS auch Altersgerecht etwas regeln.

Gruß
Dobby
Mitglied: runasservice
runasservice 21.03.2017 aktualisiert um 15:12:48 Uhr
Goto Top
Zitat von @108012:
Lass deinen Hotspot z.B. über Hotsplots, Freifunk & Co. laufen dann brauchen dich solche Sachen wie Filesharing
nicht interessieren.
Einfache Idee nur da kommt dann irgend wie auch die Verantwortung und der erzieherische Aspekt wohl zu kurz
bis hin zu der fehlt dabei komplett. Es ist ja eine kirchliche Einrichtung und da sollte man so nicht mit solchen Themen
umgehen denke ich mir mal.

Im Sinne einer engagierten Zivilgesellschaft ist das Projekt Freifunk unbedingt unterstützenswert und ein Dienst an der Gemeinde!

In Berlin gibt es breits sieben Kirchengemeinden die am Freifunk teilnehmen, weitere in Schwerin, Rostock, Cemnitz und Hamburg.

Teilweise stellen Sie auch die Kirchtürme dazu bereit. Auf der Freikunk-Seite gibt es auch Infos, warum gerade Freikunk für kirchliche Einrichtungen eine optimale Lösung ist.

https://wiki.freifunk.net/Freifunk_und_Kirchengemeinden

MfG

PS: Die Projekte können auch von der Medienanstalt Berlin-Brandenburg untersützt werden.
Mitglied: aqui
aqui 21.03.2017 aktualisiert um 15:46:33 Uhr
Goto Top
Du musst das über eine strikte Whitelist machen. Also nur das erlauben was minimal möglich sein soll.
HTTP und HTTPS sprich also nur Port UDP/TCP 53 (DNS) und TCP 80 und 443 freigeben und mehr nicht.
Bei den Sharing Protokollen die auch TCP 80 nutzen hast du natürlich Pech. Das kann man mit einfachen Access Listen und Firewall Regeln nur sehr bedingt in den Griff bekommen.
Sowas kannst du nur relativ aufwendig mit einem IPS / IDS System detektieren. Ein kleines Restrisiko bleibt also wie Kollege pattern oben auch schon geschrieben hat.
Du solltest den Zugang auch limitieren auf 1 Std. und einen Idle Timeout anlegen. Das setzt die Hürden auch etwas höher kann sie aber natürlich nicht vollständig eliminieren.
Die Hotspot_Tutorials hier im Forum kennst du als alter Administrator.de Hase ja mittlerweile auswendig vermutlich face-wink