On Sat, Jul 20, 2002 at 07:10:04PM +0200, Rainer Ellinger wrote: > Jens Benecke schrieb: > > - von den 350 Leuten hier haben mit Sicherheit mehr als 100 bei > > ihrem Browser niemals die Startseite abgestellt, und der holt die > > jedes > > Ahrrg - der sch** IE. Hab' ich auf die Schnelle nicht daran gedacht, > weil sich das in Umgebungen, wo man auch die Clients konfiguriert, Was würde ich dafür geben, hier à la "City of Largo" jedem User ein X-Terminal hinstellen zu können mit einer definierten Softwareumgebung und allem eingerichteten Krempel. Und das dann bitte aber als gutbezahlten Fulltime-Job. :) > nicht so zeigt. Kann man aber sicher hinbekommen. Dann gehen eben alle > Request auf ein beliebiges Ziel/Port 80 auf einen IP-basierten VHost > und alle Requests werden vorher mit dem Rewriter auf die index.html > gelenkt. Sollte reichen. Die Startseiten-DAUs haben dann nach dem Kauf > und Auspacken des PCs direkt die Intranet-Anleitung auf dem Schirm und > Du bist der Gott ;-)) Wäre schön. Zwei Probleme: - Es gibt Leute, die *wollen* nicht über den Proxy surfen, "aus Prinzip" (wahrscheinlich weil sie Angst haben, daß jemand ihre 200MB Pornos oder Warez mitloggt) - haben aber selber niemals genügend Ahnung nachzugucken worüber sie *wirklich* surfen. Da das Proxy-Einstellen aber eine "höfliche Bitte" vom RZ ist/war (ie. kein Zwang, aber nach dem Motto "macht das mal und es gibt weniger Ärger"), die wir unbedingt einhalten wollen, ist ein transproxy weniger Stress als wöchentlich 10-20 Leuten erklären zu müssen warum Proxies nicht "scheisse" sind. Für die sind wir dann eher die "Firewall-Nazis", wenn wir "das Internet blockieren" oder "irgendwelche Scheiss-Umleitungen programmieren". Been there, done that. - Es gibt einige TU-Seiten, die vom Wohnheim definitiv nicht erreichbar sein sollen - z.B. http://msdnaa.rz.tu-harburg.de (abgesehen von den offensichtlichen Gründen ;) kann man sich dort -zig ISOs runterladen, was unsere Leitung wochenlang sättigen würde). > > - Es gibt Clients, die können keinen Proxy einstellen. Die sollen > > aber auch cachen können. (z.B. embedded Browser von irgendwelchen > > Im Ernst? Welche Geräte genau? Wegen so ein paar Sonderlingen würde > ich kein Netzwerk-Konzept über den Haufen werfen. Entweder die haben Spontan fallen mir da ein: - Diverse "super-browser" für Windows, IE-Erweiterungen usw. - HTTP-basierte Filesharing-Dienste, wie z.B. KaZaa. (nur zum Austausch der Listen, die Dateien selber werden direkt übertragen - aber das ist schon nicht zu verachten) - einige MSN Explorer Versionen (du weisst schon, dieser noch-buntere IE, siehe z.B. http://explorer.msn.de/) Ja, es gibt Leute, die benutzen sowas, bei vielen ausländischen Studenten hier ist auch "EMail" == "Hotmail", die wissen gar nicht mehr daß man Mails auch ausserhalb des Browsers -und vor allem ohne Windows- lesen kann. Mir selbst passiert: "Ok, I'll send [it] to you.. what's your hotmail?" "My what?" "Your hotmail!" "I don't have a Hotmail address." "Oh... do you want a paper copy then?" "... ???" <auftischkantebeiss> > Pech und sollen mal minimalste Standards erlernen oder müssen eine > IP-basierte Sonderlösung bekommen. Letzteres passiert auch andauernd Passt nicht. Keine Zeit, keine Ressourcen, usw. > in Firmen, wo gerade die Chefs immer das neueste Spielzeug brauchen, > oder man hat geeignete BOFH-Rethorik intus. ;-) Tja. Man muss nur verhandeln können. :-) "Cheffe, für ihren neuen Organizer brauchen wir aber zur Synchronisation mit der Online-Corporate-Datenbank mindestens eine E10K, sonst (performt/skaliert/...) das nicht!" (Eine? Zwei! Hot Backups sind sinnvoll. ;>) > > Natürlich. Wir haben auch die Auflage, an Switches usw. nur 3Com zu > > kaufen - warum, weiss keiner. "Ist halt so." > > Servicevertrag, Rabattvereinbarung, Sachbearbeiter bekommt Weihnachts- > geschenke im Hochsommer - irgend was in der Art vermutlich. Ich vermute etwas in der Art. > > DHCP geht momentan noch nicht. Das Studentenwerk will eindeutige > > Zimmer-IP-Zuweisungen (von wegen Haftbarkeit usw). Und soweit ich > > weiss, kann man zwar IP und MAC problemlos koppeln, aber noch nicht > > IP und Hub-Port (=Zimmer). > > Das hardware-technisch zu lösen, wäre schweineteuer. Das simple > Einstellen falscher IP-Adressen zu verhindern wäre noch machbar, indem > jeder IP die entsprechende MAC-Adresse zugeordnet werden. Die > technische Realisierung ist relativ simpel, die organisatorische ist > das Problem. Mir persönlich würde folgendes reichen: Alle X minuten (X<=15, wenns geht) läuft ein cronjob los, der - alle (benutzten/erlaubten) Hub-Ports öffnet (weil, siehe unten) - den ARP-Table einliest und ggf. updated (alle einmal pingen?) - alle Hubs nach MACs durchwühlt (die Dinger sind, $GOTTHEIT sei Dank, SNMP-fähig) - jeweils MAC<->Hubport (snmp) und MAC<->IP (arp table) vergleicht - bei Nichtpassen den Port bis zum nächsten Mal sperrt (weil, siehe oben) Das muss nur mal endlich jemand machen. Gibts da nicht schon was für? arpwatch hat irgendwelche SNMP-Software dabei, aber ich hab keine Ahnung wie das funktioniert und was das Zeug kann. =:) > Statische Einstellungen im ARP-Cache mittel /etc/ethers (man ethers) Haben wir für die Server sowieso schon. > sind bei hunderten von Clients nicht ratsam. Einfach ist entsprechende Nein, vor allem weil viele (schätz mal, 20%) ihren Laptop haben und ständig umstöpseln (und das auch können sollen). > Netfilter-Einträge zu führen. Ich sehe hier nur als zwingende > Voraussetzung, dass die Table primär mit Connection-Tracking arbeitet. > Das heisst erste Regel ist ein ACCEPT von "ESTABLISHED,RELATED". Dann Das ist schon längst drin. Steht ja auch in jedem HOWTO. :) > laufen nur die ersten Pakete die durch die (ggf. hunderte Einträge > lange Table). Einziges Risiko ist die Performance, die reichen muss. Sagen wir mal so - momentan braucht ein "./firewall restart" knapp 30 Sekunden auf dem P200. Und sooo gross ist das Skript noch nicht. :) > Was die organisatorische Seite angeht, könnte man den Nutzern > beispielsweise Name/Passwort für das Intranet geben. Sobald Sie das Das haben sie schon (hängt alles in einer MySQL-Datenbank). > erste mal in's Netz gehen, stolpern Sie in obiges transparent-Proxy > Portal. Die MAC-Adresse kann dann von einer Netfilterregel per LOG > erfasst werden. Dann hängt es nur noch von der Programmierung einer > Software-/Datenbanklösung ab, die Namen-IP-Zimmer-MAC-Zuordnungen zu > verwalten und entsprechende Netfilter-Regeln einzurichten. Technisch > eigentlich simpel, aber eine ganze Menge Bastelarbeit für langweilige > Wochenende... Ja. Vor allem weil uns die MACs eigentlich egal sind, nur die IP<->Port Zuordnungen sind wichtig. Schön wärs, wenn die Hubs eine Eben höher arbeiten könnten (optional!) und per IP filtern könnten. Aber IPX usw. muss auch weiter gehen, sonst steigen uns die Gamer aufs Dach. > Somit liesse sich zumindest simples IP-Spoofing verhindern. Hacks auf > ARP/MAC-Ebene ist allerdings kein Kraut gewachsen. Aber die Zahl der > Leute, die dazu überhaupt in der Lage sind, kann man wohl ein einer > Hand abzählen und mit einem mitlaufenden arpwatch auf die Schliche > kommen. So isses. Ausserdem, wer nachhaltig mutwillig das Netzwerk stört, der fliegt raus. Es wurden schon Leute aus dem Wohnheim geworfen, die bloss eine sendmail-Exploit-Sammlung in ihrem $HOME liegen hatten, ohne es begründen zu können. > Softwaretechnisch lässt sich die Art von totaler Sicherheit erreichen > (zumindest in Bezug auf Gates und Server), wenn man in einem Netz > durchgehend IPSEC verwendet und jeden andere Form des Netzzugriffs > verwehrt. Problem dabei ist allerdings wieder die Performance des > Gates. Wäre auch möglich. aber die IP-Sicherheit (d.h. daß jeder seine richtige IP bentuzt) ist eigentlich bei uns im LAN viel wichtiger, weil das halt u.U. ziemlich den Netzverkehr lahmlegt (man stelle sich vor, jemand benutzt die IP des Proxies oder des Gateways). -- mfg, Jens Benecke /// http://www.linuxfaq.de, http://www.linux.ms This mail is an attachment? Read http://www.jensbenecke.de/misc/outlook.html http://www.hitchhikers.de - Die größte kostenlose Mitfahrzentrale im Internet
Attachment:
pgpMEAtiCM6fw.pgp
Description: PGP signature