Hi !

Unser Vereinsvorstand kam auf mich zu mit der Bitte ein Linux Netbook aufzusetzen. Ziel: bestimmte Seiten auf unserer Vereinshomepage sollen zugänglich sein, sonst nichts.

Das Netbook wird in einem Pförtnerhäuschen stehen, allerdings ohne direkten Sichtkontakt durch den Wachdienst.

Es soll per LAN Kabel am Internet angebunden werden. Natürlich soll über den Anschluss kein Möchtegern Hacker irgendwelchen Unsinn anstellen.


Teil a) Netbook:
Ich dachte daran, alles zu deinstallieren was nicht benötigt wird. Nur einen Benutzer einrichten, beim Starten wird dieser Benutzer eingeloggd, X gestartet und der Browser. (Fenstermanager wäre deinstalliert.) Fertig. Der Browser kann nur über Privoxy auf bestimmte Seiten zugreifen. Der Benutzer hat keinen Zugriff auf Shell Befehle.

Dann noch ein BIOS Passwort, dann sollte dieser Teil gesichert sein.

Kensington Lock auf den Netbook und gut ist.


Teil b) LAN Kabel. Wie kann man verhindern dass jemand das LAN Kabel einfach in ein mitgebrachtes Gerät einsteckt und dort dann alles Mögliche (Wireshark, emule .. "die üblichen Verdächtigen" ..) betreibt ? Gibt es eine Möglichkeit an der Gegenstelle (switch / Router...) zum Beispiel nur eine bestimmte Kombination aus MAC und fest eingestellter IP zuzulassen ?

Bei mir gibt es nur für bekannte MAC_Adressen per DHCP eine IP-Adresse. Ist zwar nicht fälschungssicher aber wäre ein Anfang.
Und ich kann bei mir hier MAC-Adressen an IP-Adressen binden. Wenn Du da was anderes als 192.168.1.x etc. nimmst, muss jemand schon lange probieren, bis er die richtige hätte, wobei er dann immer noch die richtige MAC-Adresse bräuchte.

Und wenn es ein Router mit Firewall ist, dann könnte man da sicherlich auch noch nach MAD-Adressen filtern.

Nur so als Ideen...

michel_vaclav

hi!

zu b: das einzige, das dir da hilft ist nac, nap und wie sie alle heissen:
http://www.searchsecurity.de/themenbereiche/identity-und-access-management/zugangskontrolle/articles/109901/

es gibt opensouce programme, die das auch können.
vorraussetzung ist aber ein switch, der da mitspielt...

hth,
//richard

Danke !

Welche Hardware kann denn das ? Für mich klingt das ein bisschen so:

LAN Kabel, das Kabel verschwindet in einem abgeschlossenen Schrank / Bereich in dem die Netzdose ist. Zwischen Kabel und Netzdose ein Switch der nur eine bestimmte Kombination aus fester IP und Mac akzeptiert.. das sollte für den Zweck reichen ...

hi!

das ist ähnlich wie bei wlan mit wpa.
da kommst auch nur ins netzwerk rein, wenn dich davon authentifiziert hast.
das kannst dir ansehen: http://en.wikipedia.org/wiki/FreeNAC
die billigen 08/15-switche können das alle nicht, da muss schon was "richtiges" her.

hth,
//richard

p.s: juhu, 4000er post^^

Der Switch muss 802.1x unterstützen. Im einfachsten Fall einen HP ProCurve 2510 (http://www.procurve.com/products/switches/ProCurve_Switch_2510_Series/overview.htm#J9019B). Der kann alles, was du brauchst.

... abgeschlossenen Schrank / Bereich ... das sollte für den Zweck reichen ...
Bist Du Dir da sicher (http://de.wikipedia.org/wiki/Lockpicking) ?

@BlaZilla: Ups.. der Switch ist ja teurer als das Netbook ... Hmm.. da muss ich mir ein paar Argumente einfallen lassen... so sieht dann also die richtig sichere Lösung aus.... (Da für so ein Protokoll im Switch wahrscheinlich ein kleiner Linux Rechner laufen muss glaube ich nicht dass es so etwas viel billiger geben kann... jedenfalls nicht so lange es keinen "echten" Massenmarkt dafür gibt... )

Vielleicht finde ich doch noch etwas was über IP und MAC machbar ist... und nicht die volle (dafür aber wirklich sichere) Authentizierung unterstützt...

Efraim:
Lockpicker sind die netten Leute die nix kaputt machen.. ein Schrank lässt sich mit einer Brechstange viel leichter öffnen.

Nur: beides würde der Security wohl auffallen.. mal ein schnelles Umstöpseln oder ein Boot vom USB Stick dagegen nicht...


Für die Sicherung reicht es wenn der Aufwand sie zu knacken den Wert den man durch das Knacken erhält übersteigt.. man schließt ja ein 50 Euro Fahrrad auch nicht im Tresor ein ...

Wenn es schwierig wird sich bei dem Kabel einzustöpseln wird sich der entsprechende "Hacker" wahrscheinlich ein offenes WLAN suchen... davon gibt es ja genug...

... Anschluß, Kabel, Schrank, Switch, Netbook, keiner soll Unsinn anstellen, Security ... <-> ... 50 Euro Fahrrad ...


... Leute die nix kaputt machen ... <-> ... würde der Security wohl auffallen ...

Da komme ich zwar nicht mit, aber es geht ja um Deinen Ruf. Ich wollte Dir nicht zu Nahe treten.

Kann der Router/Switch vielleicht IPSEC? Dann könntes Du doch nur die verschlüsselte Verbindung erlauben. Der LAN-Stecker wäre somit für den "Hacker" zumindest wertlos.

Denke auch daran die Festplatte des Laptops zu verschlüsseln um sicher zu gehen, dass diese nicht jemand ausbaut und extern entsprechend manipulieren kann :rolleyes:

Und wie wärs mit einen versperrten kleinen Linuxrechner der per Crossoverkabel mit dem Netbook verbunden ist?

Jain...

Also: es soll eben nicht einfach möglich sein einen eigenen Rechner anzuschließen.

Der Netbook bekommt ein Bios Passwort und wird angeschlossen...

Und dagegen dass jemand den Netbook aufschraubt hatte ich mir überlegt ein paar Seiten für den Wachdienst freizugeben (Focus, Spiegel, Sportbild was auch immer .. ich werde die fragen) so dass mehr oder weniger automatisch immer wieder mal ein Wachmann draufguckt....

Bleibt also nur die Sicherung dass keiner extern bootet oder die Internetverbindung des Gerätes für ein mitgebrachtes Gerät verwendet.


Um den Aufwand gering zu halten denke ich schon wieder an ein einfaches "sicheres" WLAN...


(Das mit dem zweiten Linux Rechner hatte ich auch schon angedacht, aber das wird mir zu aufwendig ...)

Der Vereinsvorstand hat jemanden aus dem Firmen IT Bereich gefragt, vielleicht stellen die uns ja so einen Switch...

Also: es soll eben nicht einfach möglich sein einen eigenen Rechner anzuschließen.
...

was spricht geben einen thinclient?

z.b:
2x - www.2x.com/de/
und evt. den passendem server...

@Teil a) Netbook:
Ich dachte daran, alles zu deinstallieren was nicht benötigt wird. Nur einen Benutzer einrichten, beim Starten wird dieser Benutzer eingeloggd, X gestartet und der Browser. (Fenstermanager wäre deinstalliert.) Fertig. Der Browser kann nur über Privoxy auf bestimmte Seiten zugreifen. Der Benutzer hat keinen Zugriff auf Shell Befehle.


Hier könntest Du KIOSK ausprobieren, das würde das erheblich vereinfachen, das wurde genau zu diesem Zweck entwickelt:


http://techbase.kde.org/KDE_System_Administration/Kiosk/Introduction

Hier könntest Du KIOSK ausprobieren, das würde das erheblich vereinfachen, das wurde genau zu diesem Zweck entwickelt:


http://techbase.kde.org/KDE_System_Administration/Kiosk/Introduction

geht kiosk inzwischen mit kde4?

//richard

Ehrlich gesagt hatte ich vor gar keinen Fenstermanager auf dem Ding zu installieren.

Mal ganz ehrlich: ca. 95% der modernen Computerbenutzer sind ja schon "eingesperrt" wenn das Gerät keinen Fenstermanager hat. Wenn ich dann noch die Shell für den Browser Benutzer sperre ist das Ding schonmal weitgehend sicher... Bios Passwort und kein Booten von extern vorausgesetzt....


Insgesamt soll der Aufwand für mich gering bleiben.. vor allem der Einarbeitungsaufwand...

WPA AES per WLAN: kann ich schon.


Linux: so la la, ein System ohne Fenstermanager nur mit Startx und Browser sollte ich noch hinbekommen.

Den Switch den BlaZilla vorschlägt auch noch....

Aber Radius Server oder Thin Client Lösungen mit VMs: da müsste ich mich ziemlich einarbeiten, auch wenn das Resultat bestimmt funktioniert.

wie wäre es mit openvpn und dann ein wrt54gl oder so der mit ddwrt openwrt, ... den openvpn-server spielt.

gruß iluminat23

Es verdichtet sich.

Hat jemand dieses Netbook hier http://www.pearl.de/a-PX6588-1517.shtml?vid=917 in Betrieb ? Wäre das geeignet ?

(Bios Passwort, Möglichkeit Boot von USB / Kartenleser zu sperren , Anschluss für Schloss (Kensington o.ä.) ? Ich würde ein Ubuntu Netbook Remix draufspielen ...

Ein 500MHz Geode ist halt schon sehr langsam...

Hat jemand dieses Netbook hier http://www.pearl.de/a-PX6588-1517.shtml?vid=917 in Betrieb ? Wäre das geeignet ?


hey

sorry - aber ein 8 zoll geraet eignet sich "nur" zb..: als rezeptbuch in der kueche.
arbeiten kann man da nicht... ( aber das ist geschmackssache )

die meisten seiten sind fuer eine groessere aufloesing optimiert und somit macht das surfen mit den kleinen dingern keinen spass...

welche loesung machst du jetzt?

Jo, das gleiche Feedback erhielt ich vom Vorstand.



Sie wollen mindestens 15 Zoll haben, somit geht es jetzt Richtung Einfach-Notebook.



Für mich ist der Vorteil dass ich eine OpenSuse o.ä. installieren kann.. da kenne ich mich wenigstens schon ein bisschen aus.

Da das Notebook wirklich nur surfen soll werde ich den KDE / Gnome gar nicht installieren... Firefox mit Xserver und fertig. (Den Tipp hat mir vor Jahren hier im Forum mal jemand gegeben.. muss nur den alten Thread wieder ausbuddeln...) Administration per Kommandozeile. Keine Software drauf die nicht wirklich benötigt wird.

Einmal pro Tag mailt ein cronjob mir die Logs damit ich sehe ob jemand versucht Blödsinn zu machen.

Die USB Anschlüsse werde ich evtl. sogar innen abstecken ...

Surfen nur per "whitelist"... auf vorher freigeschaltete Websites...

Die Strategie wie ich das Ding "dichtmachen" will werde ich demnächst hier beschreiben und um Tipps bitten / bzw. ob ich etwas übersehen habe.

Damit müsste ich den Verein eigentlich vor "Störerhaftungs" Problemen bewahren können.


Diese Woche entscheidet es sich wie wir das Teil ans Internet anschließen, danach melde ich mich mit meinem Thread... ehrlich gesagt werde ich durch dieses Mini Projekt einiges über Linux lernen ...

Diese Woche entscheidet es sich wie wir das Teil ans Internet anschließen, danach melde ich mich mit meinem Thread... ehrlich gesagt werde ich durch dieses Mini Projekt einiges über Linux lernen ...

wenn du probleme hast, dann helfe ich gerne... :)

ich wurde es so machen:

system installieren
user profile kopieren
systemproxy eintragen ( lokal: 127.0.0.1 )
proxy einrichten ( evt. mir blacklist... )
-> keine direkte verbindung internet - nur ueber proxy bzw. meine filter...
a.) nach jeden start wird das userprofil kopiert
oder
b.) hdsheriff einsetzen

wie gesagt, es kommt darauf an, wie "sicher" es sein soll....

Da ich nur Hobby Linuxer bin nehme ich Hilfe gerne an.. ich werde einen neuen Thread aufmachen (und ihn von hier aus verlinken) in dem ich zur Diskussion stelle was ich vorhabe.. und auf gute Tipps hoffe ;-)

Vielleicht hilft das dem einen oder anderen der etwas ähnliches vorhat (Internetzugang in Clubheim / Jugendhaus o.ä....)

sorry, dass ich den thread nochmal ausgrabe, aber mir ist grad noch was eingefallen:
wenn eh nur einige wenige seiten der vereins-website abrufbar sein sollen, wärs dann nicht einfacher, diese lokal zu speichern?

dann bräuchte man gar keinen inet zugriff und die sache mit der sicherheit wär gelöst...

.. das geht leider nicht... ein Online Buchunssystem muss bedient werden.

Der Thread wird bald an anderer Stelle fortgesetzt: ich erhielt die Uralt LAptop Kiste unseres Betriebsrates und habe (gegen einige Hindernisse) ein Ubuntu draufgeknallt...

Update: ich erhielt einen alte Dell Latitude CPx, das LAN Kabel / USB / Drives etc. wird so abgesichert dass die Kiste in einem abschließbaren Kasten stecken wird so dass man an die Interfaces nicht rankommt.

An der Buchse wird das Kabel mit einem aufgeschraubten Blech gesichert (die Wahrscheinlichkeit dass da jemand rumschraubt um einen eigenen Laptop einzustecken dürfte im Pförtnerhäuschen gering sein.)

Weiter geht es hier:

Weiter geht es hier:
Du meintest sicher hier: http://www.linuxforen.de/forums/showthread.php?t=268654 ;)

Danke !

Hatte ganz vergessen den Link einzuführen...