[Frage] Sicherheit: Kann man mit dnsspoof einem Missbrauch vorbeugen?

[millennia]

Liebe Forengemeinde,

Ich habe einen Vorschlag die Sicherheit betreffend. Immer wieder kommt die Frage auf, wie man sinnvoll die illegale Nutzug des Anschlusses verhindern kann.
Wie ihr meiner Signatur entnehmen könnt, stelle ich meinen Internetanschluss auch der Öffentlichkeit per Gastzugang zur Verfügung. Das möchte ich gern machen, da ich der Meinung bin, dass niemand vom Internet ausgeschlossen sein sollte und man - wo auch immer man gerade ist - einen Zugang zu Information haben sollte. Dazu habe ich alle Möglichkeiten, welche die Fritzbox bietet ausgenutzt:

• BPjM ist aktiv,
• IP-Adressen dürfen nicht direkt angesteuert werden,
• Gäste haben eigene IP-Range und
• nur "Internet und Mail" ist erlaubt.

Da wir in Deutschland eine schwierige Rechtslage haben, Störerhaftung und vieles mehr womit ich mich nicht auskenne, will ich möglichst breitbandig einem Missbrauch vorbeugen. Das ist wie bei der Anti-Doping-Agentur: man kann nur nacharbeiten. Es wird immer wieder neue Domains geben, auf denen Warez und Co angeboten wird.
Ich habe mir nun eine umfangreiche Liste besorgt: Shallalist was man wohl auch im privaten und nichtkommerziellen Umfeld nutzen kann. Diese läuft, dem dnsspoof sei dank, auch stabil in der Fritzbox. Ich habe mit einem inversen grep die Domains herausgefiltert (IP-Adressen sind ja sowieso gesperrt) und habe Ordner wie "News" und "Politics" herausgenommen. Es bleiben 1135541 Domains (kein Tippfehler: es sind über 1,1 Mio.) stehen, nach deren Aufruf man über meine Internetleitung zu 217.66.32.33 umgeleitet wird.
Man kann sicherlich eine automatisierte Aktualisierung einstellen, oder auch umfassendere Blacklists benutzen.

Klar kann der Betreiber von fiesercracker.org kommen und mein System hintergehen - nichts ist wirklich sicher, aber bin ich damit erstmal gut geschützt? Immerhin werden ja auch alle MAC-Adressen der Gast-WLAN-Nutzer geloggt.

Also: Für wie sicher haltet ihr diese Lösung?
Gibt es noch mehr, was ich tun kann?

Liebe Grüße,
millennia

 

[kingbecher]

Am besten einen ausländischen Vpn Zugang auf Gast Zugang schalten

http://m.taz.de/!103470;m/

Dann bist du fast 100% sicher wenn die Verbindung steht.

 

[millennia]

Das ist eine durchaus interessante Lösung. Wir verlassen damit den deutschen Rechtsraum und tunneln uns zum Beispiel zu einem dahingehend wohl rechtsfreien Südseearchipel. Ich fürchte nur, eine Privatperson wird nicht 19 € monatlich zahlen wollen. Eine derartige Lösung kann man, will man den Aufwand betreiben, auch mit einem eigenen OpenWRT-Router schaffen. Nur um die stabile VPN-Verbindung muss man sich kümmern.
Tatsächlich finde ich die Idee gut. Für private Zwecke ist es, wegen der Kosten und dem Installationsaufwand wahrscheinlich nicht so gut geeignet. Auch störe ich mich an dem Stromverbrauch, den ein weiteres Gerät mit sich bringt. Wenn du die Fritzbox diese Funktion mitbringt.
Wie jeder Client auch seine eigene VPN-Verbindung aufbauen könnte, müsste man einen VPN-Client in der Fritzbox nur für das Gäste-WLAN einrichten können. Das wäre eine Lösung, wie ich sie mir vorstellen könnte.

Herzlichst,
millennia

 

[HabNeFritzbox]

Wenn nur "Internet und Mail" ist erlaubt aktiv hast, ist eh nichts mit VPN, da alle UDP Ports dicht sind.

Es reicht wohl aus, wenn du deine Gäste belehrst und dann ist gut, solange kein Grund zur Veranlassung besteht dass Recht gebrochen wird.

Und selbst wenn diverse Seiten sperrst, wenn wer bei Facebook ne Morddrohung postet, wird es trotzdem erstmal zu dir kommen das Problem. Also Lücken werden immer bleiben.

Ich habe aber auch diverse OneClickHoster und Cryptocontainer Dienste auf der Blacklist und alle UPD Ports dicht außer für VPN (musst selbst Regeln anlegen und zuweisen, nicht den Haken wie oben genannt).

Zu dem Thema finde ich http://www.youtube.com/user/KanzleiWBS/videos immer interessant.

 

[kingbecher]

Man kann doch eig Freetz installieren und dann kann mal mit http://www.vpnbook.com oder http://www.freevpnaccess.com
probieren. Leider wechseln diese ihre Passwörter mindestens 1 mal pro Tag oder gar mehr aus meiner Erfahrung.

 

[millennia]

VPN nur für Gäste

Kann man dies mit Freetz nur für den Gast-WLAN zulassen? Das wäre ja der optimale Fall.
Und was die wechselnden Passwörter betrifft: bei vpnbook scheint mir ein

curl -s [url]http://www.vpnbook.com/freevpn[/url] | egrep -o '<strong>[0-9a-Z]{8}</strong>' | egrep -o [0-9a-Z]{8} | head -n1

zu genügen, um sein Passwort stets aktuell zu halten.
Wie gesagt, ich möchte das alles nur den Gästen aufzwingen, möglichst ohne ein zusätzliches Gerät in Betrieb zu nehmen.

EDIT:
Tatsächlich nimmt die Fritzbox den Befehl nicht an, während es mit dem PC funktioniert. Wie auch immer,

cd /var/media/ftp/FRITZ/openVPN
echo "vpnbook" > vpnbook-auth.txt
curl -s http://www.vpnbook.com/freevpn | egrep -o '<strong>.{8}</strong>' | cut -b 9-15 | head -n 1 >> vpnbook-auth.txt

in ein Skript geschrieben und per cron alle 6h ausführen lassen und ihr habt das richtige Passwort parat.
OpenVPN nimmt dann die Parameter

auth-user-pass /var/media/ftp/FRITZ/openVPN/vpnbook-auth.txt

entgegen.
Nur das für ein gescheites routing wohl iptables notwendig ist - und das ist auf meiner 7490 gerade keine gute Idee...
Ich habe es zumindest mit route nicht geschafft, eine Verbindung auch für die Clienten hinter der F!Box zu bekommen. Die Fritzbox selbst ist im VPN, das ergibt eine kurze Abfrage der öffentlichen IP. Aber wie bekomme ich nun diese Internetverbindung auf ein einziges Interface gemappt, ohne iptables