Mit DNS blocken/umlenken?

kberg

kberg

Active Member
Hallo Leute,

gibt es eine Möglichkeit mit Bind9 (nicht von aussen erreichbar) Dienste wie AIM/Yahoo und MSN umzulenken oder zu blocken?
Umlenken denke ich daran an eine interne Webseite oder nur auf eine blinde IP...
Die Firewall(Paketfilter) ist restriktiv, so können die User diese Dienste tunneln. Das möchte ich verhindern.

Vielen Dank im Voraus.

kberg
 
Also wer in der Lage ist, einen Paketfilter durch Tunneling zu umgehen, der ist auch in der Lage, eine Webseite direkt durch Eingabe der IP-Adresse aufzurufen. Die IP selbst rauszufinden, ist kein großes Problem, Möglichkeiten gibt es viele, sehr einfach z.B. über Netcraft. Dann bringt es dir nichts, die Namensauflösung zu manipulieren - die kommt dann nämlich erst gar nicht ins Spiel.

Was du brauchst, ist ein Application Proxy, der gezielt Inhalte filtern kann. Da brauchst du aber schon ein durchdachtes Konzept, damit man es nicht umgehen kann.
 
Hatte mich wohl missverständlich ausgedrückt...

wenn in der Firewall die originalports gesperrt sind, dann bieten diese Dienste die umgehung über port 80(das meinte ich mit tunneln, ist ja nicht ganz korrekt).
Das Problem in dem Fall ist, ich wollte kein contentfilter like squid aufsetzen, sondern suche nach Alternativen.


gruss kberg
 
also meines wissens nach kann man soetwas nur mit einem webcontent-filter abfangen, z.B. dansguardian oder privoxy;
squid selbst kann das nicht, aber die dansguardian erweiterung (dansguardian sollte auch mit anderen proxys laufen)
http://dansguardian.org/

privoxy ist ein selbständiger web-content-filter der einen proxy bereits enthält;
http://www.privoxy.org/
 
[EDIT]
Ich beziehe mich auf den Post von kberg - während des Schreibens hatte sich [moR-pH-euS] noch "dazwischen gequetscht", habe ich nicht rechtzeitig gemerkt.
[/EDIT]

Da halte ich es dann aber für effektiver, die IPs über den Paketfilter zu blocken. Dann brauchst du nicht am DNS rumzubasteln, was man ja ohnehin umgehen könnte. Nur muß dann natürlich auch einer die Regelsätze pflegen - IPs können sich schließlich auch mal ändern. Wobei das bei Hostnamen auch passieren kann...

Wie gesagt, wenn es kein Proxy sein soll, dann halte ich Paketfilterregeln für die einzig wirkungsvolle Maßnahme.

PS: Habt ihr seit gestern auch andauernde Probleme mit dem Board? Wenn ich auf "Anmelden" klicke, baut sich die Webseite nicht auf. Wenn ich dann abbreche und nochmal auf "Anmelden" klicke, geht es endlich weiter. Außerdem funktioniert die Beitragsvorschau nur sporadisch. Bin ich damit alleine oder hat das noch jemand hier?
 
Zuletzt bearbeitet:
am geschicktesten wäre es finde ich (auch wenn du von squid nicht begeistert bist) einen transparenten squid aufzusetzen in verbindung mit einem content-filter;
bei mehreren clients ist das denke ich auf jeden fall effektiver, da die user durch die transparenz des squids gar nicht mitbekommen das sie über den squid surfen und wenn sie solche anwendungen benutzen sie zentral abgefangen werden, ohne das man ständig die firewall-regeln ändern muss;
bei einem größeren netzwerk ist es zwar ein einmaliger großer konfigurationsaufwand, aber im nachhinein läuft das ganze dann einfach durch und du hast nochmal ein mächtiges tool (squid) mit du viele nützliche dinge anstellen kann...
just my 2 cents...


@0815Chaot: ich hatte gestern auch ähnliche probleme, als ich das forum betreten habe hat sich das forum beim erstenmal nicht aufgebaut; erst als ich die aktion abgebrochen habe und das forum neu geladen habe ging es...
 
Zuletzt bearbeitet:
Danke erstmal für eure Antworten.

Ich dachte an folgende Lösung:
---------------------------------------------------------------------------------------
; NULL Zonen Datei
;

@ IN SOA meindns.net-local. ego.net-local. (
1 ; serial number
84000 ; refresh
1800 ; retry
432000 ; expire
18000 ) ; minimum TTL

;
; Zone NS records
;

@ NS meindns.net-local.

A 127.0.0.1
* IN A 127.0.0.1
-------------------------------------------------------------------------------

zone "messenger.aol.com" { type master; notify no; file "null.zone"; };

--------------------------------------------------------------------------------

iregndwo im grossen Netz habe ich ähnliches gesehen, aber weiss nicht mehr wo.

Die Frage ist natürlich ob das so klappt. Ich werde es wohl testen müssen, oder hat jemand ähnliches probiert?

gruss kberg
 
iregndwo im grossen Netz habe ich ähnliches gesehen, aber weiss nicht mehr wo.
Zum Vergrößern anklicken....

Vielleicht im Xenon Netzwerk. Wir setzen hier alle möglichen fiesen Tricks ein ;-)

Wir lenken damit z.B die ICQ und AIM Logins auf einen Server um der einen kompimierten Tunnel nur für ICQ/AIM anbietet. Jabber haben wir sowieso lokal, deshalb sind alle anderen Jabber-Server gebannt.

FakeDNS macht sich aber auch gut, wenn du einen aktuellen Mirror von irgendwas hast. http://www.linux.org z.B. kommt wenn du es von hier aufrufst aus dem lokalen Netz.

Wichtig ist, dass du auch die reverse Zone hast. Bei einem ICQ-Client (weiß nicht mehr welcher) fand sonst ein Verbindungsaufbau zum ICQ-Server anhand seiner IP-Adresse statt.

Ich bring für dich gleich mal eine der Zonen online. Das ganze kannst du dann unter http://213.146.116.123 erreichen, oder falls du intern "drin" bist http://eris.int.x2n.de. Besonders bei der reverse Zone gab es anfänglich große Probleme.


-Falk
 
Moin Josen,

das Problem mit den Zonen und auch reversen Zonen wird sein, das die Clients auf eine Masse an Servern zugreifen können, die im WWW verfügbar sind, das heisst ne Menge loggen und dann nach und nach auf diesem Wege eliminieren.
Ein Proxy ;-) würde den gleichen Aufwand bedeuten.
Wenn die User sich an die Spielregeln halten würden, wären solche Massnahmen nicht notwendig ;-(
Danke aber für Eure Hilfe, ich werde morgen die ersten Zoneneinträge vornehmen und dann schauen wir mal....

gruss kberg
 
Da hast du recht, kberg. Viel Arbeit ist es allemal.

Um wieviele User handelt es sich denn? Wenn es unter 50 sind, dann ist es noch machbar, dass du denen einfach mal persönlich vorstellig wirst und sie darauf hinweist, dass ICQ und AIM ab heute illegal ist und dass es einen Mechanismus gibt, der dem User Rechte entzieht, wenn er sich nicht daran hält.

Wirkt immer wieder Wunder:
block in quick on $int_if from $luser to any :D


Besonders, wenn eigentlich gearbeitet werden sollte...



-Falk
 
Da hast Du recht arbeiten ja, aber nur mit Komfort.

Wenn es mal so einfach wäre, ich habe per email alle User(~150) vorgewarnt und auf Jabber (als onlylonely) hingewiesen. AOL/Yahoo/MSN/ICQ wird nicht mehr geduldet.Deadline zur Umstellung, Clients waren schon installiert. Aber ....
wenn es Kinder wären...hmmmm....Erwachsene Menschen mit Diplomen und mehr...aber anyway nun kommt die harte Tour.

--
kberg
 
Da kannst du nur eins machen, ansonsten begreifen es die User nicht:


BoFH-Taktik.


Das heißt:
1. Zugänge für User pauschal sperren
2. Adjust pf to frag
3. Protokollieren (ntop) wer es nutzt und dann Punkt 2
4. Versuche alle ICQ UIN's von denen zu bekommen und sieh dann einfach nach, wenn sie online sind. Wenn du das nur bei dreien oder vieren machst und die dann via ICQ auf ihren Fehler ansprichst, wirkt es Wunder (Erfharung!-->Schneeballsystem)
5. Punkt 2 !!!! :D
6. Gute Dokumentation bereitstellen, sonst kommen sie wieder an "Das ist zu kompliziert...ich will IsuckU wieder". Wenn das bei guter Doku immernoch passiert --> Punkt 2


-Falk
 
Nachtrag:

Hat geklappt!

Einige User haben sich sogar über fehlende Verbindungen zu den verbotenen Messengerdiensten beschwert... glaube ich ja gar nicht....but anyway it works..... :D



--kberg
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben