Filtern von Wurm-Kommunikation? (was: [linux-l] ssh80.in-berlin.de)

Volker Grabsch vog at notjusthosting.com
Do Feb 1 00:53:52 CET 2007


On Wed, Jan 31, 2007 at 02:36:26AM +0100, Sven Guckes wrote:
> * Volker Grabsch <vog at notjusthosting.com> [2007-01-31 01:41]:
> > On Mon, Jan 29, 2007 at 04:28:23PM +0100, Sven Guckes wrote:
> > >     ssh myname at ssh80.in-berlin.de
> > >
> > > das hat mich schon ein paarmal
> > > in webcafes gerettet.  :-)
> >
> > Ich hätte nicht gedacht, dass die so blöd sind.
> 
> nicht alle koennen jemand leisten,
> der  so allwissend ist wie du.

Jemanden wie dich (oder mich, oder einige andere Leute auf
der Liste) für nur 5min befragen, das hätte schon für einige
Aufklärung gesorgt.

> > Wenn sie nur WWW durchlassen wollen, warum kein HTTP-Proxy?
> 
> mangel an wissen und erfahrung?
> kein geld fuer nen admin, der auch nen proxy
> fuer mehrere hundert maschinen bedienen kann?

Geld machen wollen mit einem System, das man nicht durschaut?
Okay, jeder fängt mal klein an.

Eine Vollzeit-Adminstelle wäre da sicher auch Overkill, aber
sich für eine Stunde fähige, erfahrene Leute ranzuholen, ...
Naja, ist natürlich die Frage, wie man die finden will.

> > Will man aussperren, dann lieber richtig: Alle Schotten dicht
> > machen, nur noch einen netzeigenen Mailserver und HTTP-Proxy.
> 
> wuerdest du ueber einen internen zwangs-proxy ssl machen?

Nein, ich würde den Quatsch komplett sein lassen, und wenn
überhaupt, nur Port 25 schließen, und auch das nur, wenn
voraussichtlich ungewartete Rechner am Netz hängen, die wahrscheinlich
voller Spam-Würmer sind.

Konkret im Internetcafé würde ich lieber die Rechner "read-only"
gestalten, d.h. täglich neu aufsetzen oder zumindest alle Userdaten
raushauen. Oder gleich von CD oder Netzwerk booten lassen, und
potentielle Änderungen nur im RAM geschehen lassen.

Ist natürlich aufwändig, sowas im Internetcafé zu realisieren,
aber dieser Aufwand *lohnt* sich wenigstens, im Vergleich zum
Sperren von allem außer Port 80, oder gar zum Aufsetzen eines
Proxys.


Ach ja, und *wenn* ich mir Repressalien leisten könnte, würde ich
sie nicht gegen Admins einsetzen, die auf Port 22 vllt. einen wichtigen
Server gerade retten. Nein, ich würde stattdessen schauen, ob ein
Rechner verdächtig viele Verbindungen zu Port 25 an viele verschiedene
Rechner da draußen aufmacht. Wer solch einen Mist verzapft, und sei
es "nur" ein schlampig gepflegter Windows-Laptop, kriegt Hausverbot
(genauer: sein Laptop ;-)).

Sperrung der MAC-Adresse müsste reichen. Ist er schlau genug, seine
MAC-Adresse zu fälschen, kann er sich auch vor Würmern schützen. Ist
er zumindest so schlau, sich ne neue WLAN-Karte zu kaufen, wird's mit
der Zeit recht teuer für ihn. In den AGB würde ich sowas wie "Security-
Update-Pflicht" einführen.

Sorry, auch wenn Duldung von Spambots keine Sachbeschädigung im
Internetcafé ist, so ist es doch zumindest ein sehr übles Anpöbeln
von Leuten. Da wäre ich wahrscheinlich ein sehr strenger Internet-
Café-Leiter, unabhängig von der Marktdominanz der eingesetzten Software,
und würde schnell Kunden verlieren.


Allgemein finde ich es nicht wirklich sinnvoll, Datenverkehr
*nach draußen* zu filtern. Eingehende Pakete - okay. Aber ausgehende
... *kann* man das überhaupt ordentlich filtern? DDOS und Spam-Zeugs,
ja, aber nicht über die Portnummer, sondern allein eine Statistik
der Verbindungs-Aufbau-Versucht sollte schon reichen. Alles andere ...
z.B. Übertragung von ausspionierten Daten durch den Wurm ... nunja,
man kann es jederzeit geschickt als legale HTTP-Kommunikation zu
irgendeiner Webseite tarnen, hat also eh keine Change. Aber das würde
ich auch gar nicht untersuchen *wollen*, schließlich schädigt sich
damit derjenige ja nur selbst, und belästigt niemanden sonst mit dem
"Eigenleben", das sein Rechner führt.


Viele Grüße,

    Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR



Mehr Informationen über die Mailingliste linux-l