Wie blockt die Endian Filesharing ?

1. offizieller Beitrag

    Was muß ich einstellen um bei der 2.3 Filesharing zu verhinden ?

    Ich nehme an das läuft über die Firwall ?

    Oder gibt es da etwas Vorkonfiguriertes ?

    Den Highportbereich musste ich schon wegen manchen Anwendungen freigeben.
    Jetzt möchte ich aber aus Sicherheitsgründen jede Benutzung von Tauschbörsen verhindern.
    Wie gehe ich da am besten vor?

    Kabelzugang mit 400/20, Ergänzung mit VDSL100/40.

    • Offizieller Beitrag

    Moin,
    standardmäßig werden ja alle Ports geblockt die du nicht mit einer Regel aufmachst, wenn du also nicht z.b. den Port 4662 für EDonkey auf machst kommt
    auch keiner durch. Du kannst auch festlegen das über den Proxy nur bestimmte Browser gehen können, dann ist es auch mit Programmen vorbei
    die Proxy- Server benutzen können.

    Was heißt den Highportbereich habe ich schon aufgemacht ?

    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

    Hallo Sabine, die Highportbereiche sind alle Ports >1023.

    Nur wenn diese geöffnet sind laufen alle Webapplikationen normal.

    Ich wollte einzelne Filesharing Ports sperren bzw. Protokolle sperren oder per Inhalstfilter vorgehen.
    Jedoch hat sich nach dem Lesen dieses Gutachten http://www.oliver-henniges.de/filesharing/Gutachten.pdf die Portsperre erledigt.

    Weißt du über welche Protokolle Filesharing läuft?

    Und im Inhaltsfilter ist leider kein blocken von Filesharing vorgesehen.

    Wenn es aktuelle Listen von Filesharingseiten gäbe könnte über deren IP oder Name mit der Blacklist was versucht werden.

    Gruß, Jochen

    Kabelzugang mit 400/20, Ergänzung mit VDSL100/40.

    Ich habe nochmal die Menus der Endian angeschaut.

    Im Eindringlingsabwehrsystem stehen ja tolle Sachen drinnen. :D
    Wie es aussieht blockt SNORT Filesharing bereits standardmäßig ?

    Wenn es so ist wäre ja Schutz vorhanden.

    Hier mal ein Screenshoot von dem was ich meine.

    [Blockierte Grafik: http://home.arcor.de/magsch/snort.jpg]

    Kabelzugang mit 400/20, Ergänzung mit VDSL100/40.

    • Offizieller Beitrag

    Moin,
    ich weiß nicht in wie weit Snort in der 2.3 schon richtig läuft, hast du die Ports im Proxy aufgemacht oder über die Firewall ?
    Wenn alles über den Proxy läuft kannst du auch im Proxy unter Zugriffsrichtlinien – Benutzeragents festlegen das nur bestimmte Browser den
    Proxy benutzen dürfen.
    Je nach Filesharing Programm wechseln die Ports, bei manchen der Programme im 2 Minuten- Takt, deshalb kann man pauschal auch
    nicht so einfach sagen mach den Port zu und fertig.

    Gruß Sabine

    Hallöchen

    Ich machte die Ports in der Firewall auf, jedoch hatte ich mich vertan.
    Lediglich für einen einzigen (meinen) PC sind die Highports offen.
    Alle anderen surfen nur über die wenigen einzeln geöffneten und bekannten Ports. Für VOIP und so muß man eben schon mal ein paar Ports öffnen.

    Die Benutzeragentensache probierte ich mal aus. Allerdings funktionierte zwar das sperren einzelner Browser, jedoch nicht der Umkehrschluß das verboten ist was nicht erlaubt ist.
    Aber falls es ein weitere Bug der 2.3 ist teste ich das nicht weiter aus.

    Es hilft sowieso nicht da an diesem Netzwerk viele mannigfaltige Endgeräte hängen die mit unbekannten Webclients arbeiten. Als Beispiele sind da Webradios,Satreceiver,Internetwetterstation,W-lan Handys mit Internetbrowser usw.
    Zudem würden auch herstellereigene Updateprogramme keinen Zugriff mehr ins Web haben.

    Gruß, Jochen

    Kabelzugang mit 400/20, Ergänzung mit VDSL100/40.

    • Offizieller Beitrag

    Moin,
    das was da im Benutzeragenten blau markiert ist, ist erlaubt, alles andere wird geblockt und das funktioniert auch soweit.
    Meine 2.3 ist für ein W-Lan zuständig und wenn sich da einer Anmeldet und z.b. ein Virenupdate machen will geht das nicht durch den Proxy.
    Einige W-lan Handys mit Internetbrowser können dann auch nicht surfen, weil sie Browser haben die die efw nicht kennt.
    Wenn deine Rechner feste IP- Adressen haben kannst du die Ports über die IP- Adressen für die einzelnen Rechner öffnen,
    das ist natürlich Sicherer als die Ports für alle auf zumachen.

    Gruß Sabine

    Jepp, soweit ist das auch völlig klar.

    Aber : es fehlt die praktische Möglichkeit trotz Wahnsinnsfirewall die Tauschbörsen zu blocken.

    Ist doch richtig - oder ?

    Alles Getrickse hat immer gravierende andere Nachteile zur Folge. Weder Portsperren noch Browserauswahl sind wirksam oder praktisch.

    Was bleibt da noch ?


    LG, Jochen

    Kabelzugang mit 400/20, Ergänzung mit VDSL100/40.

    • Offizieller Beitrag

    Moin,
    grundsätzlich kommt man nicht mit irgendwelchen Programmen durch die Firewall weil alle Ports standardmäßig geschlossen sind,
    du musst also die Tauschbörsen nicht blocken weil sie ja nicht raus dürfen, erst wenn wenn du Ports öffnest kann ein Programm nach draußen.
    Du hast die Möglichkeit den Rechner die spezielle Ports brauchen eine feste IP zu geben und die Ports nur für diese Rechner zu öffnen,
    das erhöht die Sicherheit. Hinzu kommt das auch nicht alle Programme über einen Proxy laufen.
    Ausblute Sicherheit gibt es sowieso nicht !

    Gruß Sabine

    Zitat von "Grenzwert"

    Aber : es fehlt die praktische Möglichkeit trotz Wahnsinnsfirewall die Tauschbörsen zu blocken.

    Ist doch richtig - oder ?

    nicht ganz.

    abgehende verbindungen sollten soweit möglich ebenfalls geschlossen sein und nur die dinge erlaubt werden, die auch nötig sind. darüber hinaus den verbleibenden verkehr soweit möglich über die application level proxies leiten. damit fällt dann auch filesharing flach.

    grüße,
    marco

    • Offizieller Beitrag

    Normalerweise sind ja alle Ports zu, nur die Endian macht da eine kleine Ausnahme, z.b. Port 53, IPSEC und der Proxy Port sind schon offen,
    damit auch Anfänger damit zurecht kommen.

    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final