Heimnetzwerke - WIFI, LAN, Router und Co 16.513 Themen, 81.064 Beiträge

Netzwerksicherheit

Cal / 31 Antworten / Baumansicht Nickles

Hallo,

bin ein absoluter Neuling was Netzwerke betrifft, ich hoffe man kann mir
hier helfen.
Ein Bekannter hat ein Internetcafe mit entsprechendem Netzwerk. Läuft wohl
unter Win98, das Win98 dafür nicht gerade toll ist kann ich mir auch denken.
Nun möchte mein Bekannter seine Workstation natürlich so sicher wie möglich
gestalten gegen Mißbrauch, hacken und Viren.
Könnt Ihr mir sagen wie man das am besten hinbekommt?
Für Tipps, Links,Literatur oder auch Ratschläge wäre ich sehr dankbar.

MfG
Carsten

bei Antwort benachrichtigen
Klaus_T Cal „Netzwerksicherheit“
Optionen

Ich moechte gerne mit meinem Auto gegen eine Wand fahren, ohne das es kaputt geht. Kannst du mir sagen, wie ich das am besten hinbekomme?

Dein Bekannter handelt grob fahrlaessig. Du verlangst eine Unmoeglichkeit.

Klaus

bei Antwort benachrichtigen
Zaphod Cal „Netzwerksicherheit“
Optionen

Die Workstation deines Kumpels hat im Internetcafe/im gleichen Netz nichts verloren. Win98 ist für ernsthafte Arbeit ohnehin nicht geeignet ....
Have fun,
Z.

bei Antwort benachrichtigen
Cal Nachtrag zu: „Netzwerksicherheit“
Optionen

@Zaphod
da habe ich mich wohl falsch ausgedrückt,
meinem Kumpel gehört das Cafe und er möchte alle Workstations sichern.
Was haltet Ihr von Wächterkarten? Und welches Betriebssystem wäre zu empfehlen? Win NT oder doch besser Linux?
Danke

Carsten

bei Antwort benachrichtigen
Zaphod Cal „Netzwerksicherheit“
Optionen

... ich würde Linux draufmachen, allein wegen der Würmer/Virengefahr. Allerdings sollte das kein Linux-Newbie machen, da Linux nur bei korrekter Konfiguration sicher ist ;-)
Ansonsten:
Software: Images von allen Kisten, keine Daten drauf und jede Woche neu aufsetzen ;-) (bei Win).
Kunden haben minimale Userrechte!!!
Admins haben sichere Passwörter, Standard-Accounts werden deaktiviert, getarnt oder speziell gesichert ;-)
Mehr Tipps würden erfordern:
- Man müsste die genaue Situation/Hardware kennen, wissen, was alles in dem Café gemacht wird/werden soll (nur Internet/ auch Netzwerkspiele/ welche Spiele/ Office???/ Bliedbearbeitung) ...
- letztendlich ist die Beratung so aufwendig, dass es viel Zeit und damit Geld kosten würde ...
Hardware: Disketten/CD Laufwerke ausbauen oder abgschliessen.
Have fun,
Z.

bei Antwort benachrichtigen
Klaus_T Zaphod „... ich würde Linux draufmachen, allein wegen der Würmer/Virengefahr....“
Optionen

Jede Woche neu aufsetzen koennte schon zu lange sein. Ich wuerde es jeden Abend machen, automatisch per script.
Allerdings ist Linux oder *BSD da wirklich der bessere Weg, wenn es jemand macht, der sich wirklich auskennt (und bereit ist, die Verantwortung zu uebernehmen)

Bye, Klaus

bei Antwort benachrichtigen
GarfTermy Cal „Netzwerksicherheit“
Optionen

...wie - linux auf den user-kisten?? lol!!! eine solche aufgabe ist für newb´s zu hoch, hol dir einen fachmann (das ist nicht böse gemeint), das verhindert viel ärger.
GarfTermy

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Plazebo Cal „Netzwerksicherheit“
Optionen

Wächterkarten sind genial. Ich kenn die zwar eher unter den Namen Rebound oder Recovery-Karten, aber ich glaube du meinst dasselbe. Wenn du einmal die Kiste richtig eingerichtet hast und nichts mehr verändern musst, dann hau dort so eine Karte rein. Wenn jemand Spass daran hat die ganze Festplatte zu formatieren, dann soll er den ruhig haben, wird alles wieder hergestellt beim nächsten Start (dauert auch ein bisschen, wenn man alles gelöscht hat). Die Karten sind aber auch nicht ganz billig, aber 100 € für eine neuwertige (gute) Karten können sich schnell für die verschonten Nerven und die verschwendete Zeit rechnen.

bei Antwort benachrichtigen
hijack Cal „Netzwerksicherheit“
Optionen

Ich sehe das etwas anders.

Linux ist für das Internet-cafè viel zu unsicher:

Jeder kann mit Hilfe einer Linux-Boot-diskette

das Root-Passwort zu Null setzen und somit das System komplett aushebeln.

etc/shadow oder passwd editieren
Zeichenkette innerhalb der Doppelpunkte nach root weglöschen
root::...
abspeichern

Linux neu starten

Da ist ja Windows in dieser Beziehung sicherer.

Aus Kostengründen würde ich für den Internetzugangsrechner und die Clients Win98 SE zu nächst weiterhin verwenden.

Auf den Internetzugangsrechner Internetverbindungsfreigabe (ics), einen Proxy-Server, eine Firewall (z.B. Tiny-Firewall) und einen Virenschutz (z.B. Anti-Vir von H+BEDV) installieren.

Bei den Clients würde ich die gleiche Installation ohne ics und Proxy vornehmen. Dabei kann man das System so einrichten, dass Netzwerkeinstellungen und Systemänderungen nicht vom Desktop-Benutzer durchgeführt werden können.

Darüber hinaus sollte man Image-Files der kompletten Installation herstellen, um jederzeit eine Neueinrichtung des Systems zuzulassen.

Der Vergleich mit dem Auto-an-die-Wand-fahren ist gut:
Stellt man die Firewall unsicher ein, kann ein Haker durch die Fire-Wand fahren ohne Schaden zu nehmen.

ALSO FIREWALL sicher einstellen.

@Klaus_T:
Du hast es nicht nötig, andere Personen zu beleidigen.

Man gewinnt manchmal den Eindruck, dass linuxfreundliche Leute, gerne mit Kraftausdrücken wie "grob fahrlässig" umgehen,

das hat das Betriebssystem Linux keinesfalls verdient.

Ausserdem würde ich Dir Klaus_T raten, dass Du Dich etwas mehr mit den Sicherheitsfragen von Windows beschäftigst, damit nicht weiterhin fehlerhafte Vergleiche Deinerseits vorgeführt werden.

CU

Hijack

bei Antwort benachrichtigen
Klaus_T hijack „Ich sehe das etwas anders. Linux ist für das Internet-cafè viel zu unsicher:...“
Optionen

Aehm, wo habe ich jemand beleidigt? Mir faellt da wirklich nichts ein.

Ausserdem ist "grob fahrlaessig" kein Kraftausdruck, sondern entspricht in diesem Fall den Tatsachen. Man braucht ein System mit Benutzerrechten, und das hat Win 9X nicht zu bieten. Und da du Sicherheitsfragen ansprichst: Hast du schon einmal Bugtraq mitgelesen oder eine andere Einschlaegige Liste? Ich denke mal nicht.

Als Heim-PC ist Windows ganz anstaendig, wenn es richtig konfiguriert ist, es sei denn, man macht sich mit einer "Firewall" wieder alles kaputt. Deshalb ist es auch kein guter Tipp, so etwas zu empfehlen.

Was das root-passwort angeht: Zaphod hat auch geschrieben, kein Diskettenlaufwerk und kein CD-Rom. Ausserdem darf man natuerlich den Rechner nicht neu starten, also Reset- und Einschaltknopf auch weg.

Ich habe mich mit Sicherheitsfragen beschaeftigt, und genau aus diesem Grund kann ich auch etwas dazu sagen. Das ist natuerlich nicht das, was Windows-Nutzer hoeren wollen, aber die Augen und Ohren zuzumachen, ist auch kein Weg.

Und ja, ich rechne jetzt natuerlich damit, dass ein Sturm der Entruestung ueber mich hereinbricht. Damit kann ich leben. Ich sage ja nur die Wahrheit.

Bye, Klaus

bei Antwort benachrichtigen
hijack Klaus_T „Aehm, wo habe ich jemand beleidigt? Mir faellt da wirklich nichts ein. Ausserdem...“
Optionen

@Klaus_T
Hier der Sturm,

>"Dein Bekannter handelt grob fahrlaessig. Du verlangst eine Unmoeglichkeit."

>"Hast du schon einmal Bugtraq mitgelesen oder eine andere Einschlaegige Liste? Ich denke mal nicht."

Mann gut, dass Du nie Unterstellungen oder Beleidigungen äusserst.

Wie kann man durch eine Firewall alles kaputt machen? Das geht offensichtlich nicht. Du Hast Dich also nicht einmal mit einer Firewall ordentlich beschäftigt.

W98 SE kann man, wie schon erwähnt, sicherer machen als Linux anscheint, sicher zu sein.
Ein PC ohne Diskettenlaufwerk, ohne CD-ROM, ohne Reset- und ohne Einschaltknopf, auf welchem man nichts installieren kann, ist unvollständig und nicht für Internet-Cafès geeignet.

Darf eine VIP in diesem Forum eigentlich in einer so unsachlichen Form auftreten, bloss weil W98 in einem Internetcafè verwendet wird, ich denke nicht.

Ich bin für Meinungsaustausch, aber nicht mit Kraftausdrücken und nicht mit Unwahrheiten.

Bye und sorry, aber das musste mal gesagt werden.

bei Antwort benachrichtigen
Zaphod hijack „@Klaus_T Hier der Sturm, Dein Bekannter handelt grob fahrlaessig. Du verlangst...“
Optionen

PCs mit Laufwerken und Einschaltknöpfen sind für ein Internet-Cafe definitiv ungeeignet.
Wer was runterläd, tut das in ein temporäres Verzeichnis und kann das bei der Aufsicht auf Diskette speielen oder auf CD brennen lassen.
Für alles andere lege ich nicht meine Hand ins Feuer...
Wo ist Klaus_T unsachlich?
Unsachlich ist eher, zu glauben, mit einem Spielzeug wie Tiny Firewall könnte man irgendwas absichern ;-)))
Aber manche können die Wahrheit eben nicht vertragen ...
Gruß, Z.

bei Antwort benachrichtigen
xafford hijack „Ich sehe das etwas anders. Linux ist für das Internet-cafè viel zu unsicher:...“
Optionen

aua

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Borlander xafford „aua“
Optionen

Mehr fällt mir dazu spontan auch nicht ein...

bei Antwort benachrichtigen
Zaphod hijack „Ich sehe das etwas anders. Linux ist für das Internet-cafè viel zu unsicher:...“
Optionen

Tiny-Firewall in einer komerziellen Umgebung *lol*
Du kennst wohl nur Homeuser-Programme ;-)
Wenn ich das mit Windows machen müsste, dann mit Wingate - da kann die Aufsicht exakt nachschauen, was auf den Clients läuft. Ausserdem ne Hardwarefirewall - ne Linux-Kiste oder eine Apliance. Die Internet-Verbindungsfreigabe sollte man durch einen HArdware-Router ersetzen. Hier gehts nicht um Spielereien ;-)
Ist ein System sicherer, wenn es gar keinen Zugangsschutz hat, als eines, dessen Schutz man mittels Bootdisk aushebeln kann?
Wechselmedien haben in diesem Rahmen nichts verloren ....
Seit wann ist der juristische Begriff "grob fahrlässig" ein Kraftausdruck? Ich finde, Klaus hat das sehr gut ausgedrückt ...
Gruß,
Z.

bei Antwort benachrichtigen
hijack Zaphod „Tiny-Firewall in einer komerziellen Umgebung lol Du kennst wohl nur...“
Optionen

>"Du kennst wohl nur Homeuser-Programme ;-)"

Bleiben wir doch dabei: Ich unterstell Dir nichts und Du unterstellst mir nichts.

>"Seit wann ist der juristische Begriff "grob fahrlässig" ein Kraftausdruck?"

Seit dem vor fahrlässig "grob" steht ist dieser juristische Begriff ein Kraftausdruck, oder mit anderen Worten ein kräftiger Ausdruck.

Nun zum Sachverhalt:
Das System W98 Se hat übrigens ein Zugangsschutz:
Man kann verhindern, dass der Real Dos Modus startet.
Man kann nur bestimmte Programme vom Anwender starten lassen und man kann verhindern, dass der User Systenveränderungen vornehmen kann.

Das kann man durch eine Bootdisk aushebeln, nicht so leicht wie bei Linux, das ist aber möglich.

Sicherlich muss man ernsthaft davon ausgehen, dass man so bald die Kosten es zu lassen, auf NTFS, auf eine professionellen Firewall und einem prof. Router sowie Proxy umsteigt.

Die Anschaffungskosten sind nicht unerheblich.

>"Allerdings ist Linux oder *BSD da wirklich der bessere Weg, wenn es jemand macht, der sich wirklich auskennt (und bereit ist, die Verantwortung zu uebernehmen)"

Die Kosten für Macherlohn und Verantwortung bei Linux oder *BSD sind aber ungleich höher, wenn man von den derzeitigen Stundensätzen ausgeht.

Ich empfehle Windows, da man die Installation selber vornehmen kann.

In der Hoffnung nicht wieder in ein Fettnäpfchen getreten zu haben, verabschiede ich mich.

CU

hijack


bei Antwort benachrichtigen
Klaus_T hijack „ Du kennst wohl nur Homeuser-Programme - Bleiben wir doch dabei: Ich unterstell...“
Optionen

Wenn du wenigstens noch W2K empfohlen haettest, wuerde ich dir ja etwas Ahnung zugestehen, aber so wie es ausschaut, ist bei dir null Wissen vorhanden. Weder ueber Betriebssysteme, noch ueber Sicherheit.
Und ja, das war jetzt bestimmt Beleidigend, und es ist mir Scheissegal. Wenn es um Sicherheit geht, hoert alles auf. Also lass es demnaechst sein, solch gefaehrliche Tipps zu geben.

EOD

Klaus

bei Antwort benachrichtigen
the_mic hijack „Ich sehe das etwas anders. Linux ist für das Internet-cafè viel zu unsicher:...“
Optionen

man kann ja die diskettenlaufwerke ausbauen oder abschliessen, wie vorhin schonmal erwähnt...

cat /dev/brain > /dev/null
bei Antwort benachrichtigen
neanderwix hijack „Ich sehe das etwas anders. Linux ist für das Internet-cafè viel zu unsicher:...“
Optionen

http://home.eunet.no/~pnordahl/ntpasswd/ . Kann sich jeder 'runterladen und NT 4 oder 5 lassen sich damit auch oeffnen, bei XP habe ich es noch nicht probiert. Dass laesst sich zwar mit ein paar Vorkehrungen verhindern, aber die muessen erstmal -genau wie bei Linux- getroffen werden. Davon abgesehen gelingen die meisten Einbrueche in Systeme ja seltsamerweise nicht durch die Unsicherheit derselben, sondern durch die Transusigkeit von Adminimalstratoren.

Prinzipiell hoerte sich die Loesung mit den Images weiter oben im Thread schon ganz pragmatisch an. So laesst sich das installierte Betriebssystem schon fast als Verbrauchsmaterial betrachten. Im Verbund mit einem gut konfigurierten OS -ob Linux oder W2K, ist wohl fast wurscht in diesem Fall- und vernuenftig eingestellten Rechnern sollte sich ein Internet-Cafe doch recht gut betreiben lassen.

bei Antwort benachrichtigen
KPHTH Cal „Netzwerksicherheit“
Optionen

Ich würd alles auf win 2000 oder NT umstellen und mit einem
Win2k/NT Server,mit Policies den usern alle Rechte nehmen.D.h. man kann mit den policies z.B. vorgeben was auf dem Desktop zu sehen sein soll.Man könnte somit alles was ein enduser nicht braucht "abschalten"
z.B. DOS-Box, Explorer, ja sogar das Start-menü auf dem Desktop usw.
Jana server als Firewall wäre zusätzlich zu empfehlen!

Gruß
Andreas

bei Antwort benachrichtigen
Teeto Cal „Netzwerksicherheit“
Optionen

ähh, ich frage mich hier doch, wieso ihr hier einem "Neuling" (seine eigene Wortwahl) solche Tipps gebt?
Weder Windows 2000 ist als Administrator einfach zu bedienen und erfordert einige Erfahrung, soll es nicht zu einem Crash kommen, was ja wohl in einem Internetcafe sicherlich nicht wünschenswert ist noch ist eine Linux -Einrichtung was für Newbies.
Also wie wäre es wenn der Internet-Cafe Freund einfach einen Fachmann/Firma zu rate ziehen würde.
Ich finde es übrigens leichtsinnig (grob fahrlässig sag ich mal nicht, um keine neue Welle der Postings hervorzurufen) ein I-Cafe zu betreiben, ohne sich VORHER, vor Eröffnung Gedanken über diese Fragen gemacht zu haben.
*denkt, dass einige oben genannte OS nur für Omas Nähecke passend sind. *g*

bei Antwort benachrichtigen
Borlander Cal „Netzwerksicherheit“
Optionen

Mal was ganz anderes:
Wie wäre es mit einem WIN98 System, dass von CD startet. Da kann man definitiv nichts dran ändern!
Eine Beschreibung eines solchen Systems ist in einer CT von 97 zu finden.

Wie es Geschwindigkeitsmäßig aussieht, weiß ich nicht. Beim starten dauert es natürlich länger. Die Registrierdatenbank kommt ins RAM. Wenn die Rechner genug Arbeitsspeicher haben kann man auch auf einen Auslagerungsdatei, und damit auf eine Festplatte verzichten. Internetcache müsste dann ebenfalls ins RAM (oder auf ein Netzlaufwerk?). Downloads müssten dann auf einem Server gespeichert werden.
Für den Server wäre ntürlich Linux nicht schlecht.

CU Borlander

bei Antwort benachrichtigen
hijack Cal „Netzwerksicherheit“
Optionen

Morgen,

Zitat Klaus_T (VIP):
>"Wenn du wenigstens noch W2K empfohlen haettest, wuerde ich dir ja etwas Ahnung zugestehen, aber so wie es ausschaut, ist bei dir null Wissen vorhanden. Weder ueber Betriebssysteme, noch ueber Sicherheit."

ich bin nach wie vor der Meinung: Ein VIP sollte keine Beleidigungen äussern.

Bis gleich

hijack

bei Antwort benachrichtigen
Zaphod hijack „Morgen, Zitat Klaus_T VIP : Wenn du wenigstens noch W2K empfohlen haettest,...“
Optionen

.... wer hat denn hier beleidigt? FYI: "grob fahrlässig" ist ein juristischer Ausdruck für genau das, was Klaus damit gemeint hat. Wissen über Betriebssysteme und ber Sicherheit scheint nicht das einzige zu sein, was hier fehlt ....
Du hast hier keinen Grund, dich aufzuregen ....

bei Antwort benachrichtigen
hijack Zaphod „.... wer hat denn hier beleidigt? FYI: grob fahrlässig ist ein juristischer...“
Optionen

Aber dass Sicherheit bei w98 eine Unmöglichkeit ist, ist eine Beleidigung aller User, die W98 mit sicheren Einstellungen im Internet verwenden.

bei Antwort benachrichtigen
Borlander hijack „Aber dass Sicherheit bei w98 eine Unmöglichkeit ist, ist eine Beleidigung aller...“
Optionen

Du vergleichst Äpfel mit Birnen.
"Sicherheit" auf einem WIN9x System ist nur möglich wenn keine potentiell "gefährlichen" Personen (z.B. Besucher eines Internetcafes) Zugang zu dem Rechner haben.

Der PC-Besitzer wird sicher nicht versuchen auf seinem eigenen PC einen Virus oder Trojaner zu installieren. Im Internetcafe muss man aber damit rechnen, dass sich irgdenwelche möchtegern Hacker einen Spaß aus sowas machen.


CU Borlander

bei Antwort benachrichtigen
hijack Cal „Netzwerksicherheit“
Optionen

Das Sicherheitsrisiko bei Linux liegt tatsächlich darin, dass Linux von einer Nicht-Festplatte (z.B. Diskette, CD-Rom) bootbar ist und dass das root-Passwort in einer einfachen Textdatei (etc/shadow) leicht angreifbar ist.

Bei Windows 98 und höher sind die Systemeinstellungen wie z.B. die Systemrichtlinien in der Registry abgespeichert und nicht von jeden änderbar.

Besser sind, wie ich schon empfohlen habe (siehe oben), NTFS-Systeme (z.B. NT 4.0, Windows 2000, XP oder .net). Bei NTFS wird das Booten von einer Festplatte erzwungen. In der notwendigen C:\Boot.ini muss einen ARC-(Advanced RISC Computing) Pfad wie
multi(0)disk(0)rdisk(0)partition(1)\WINNT
eintragen.

Nun kann man z.B. MS-DOS-(mit NTFSDOS.EXE) bzw. Linux-Bootdisketten (mit ntfs.o) dazu missbrauchen, um auf NTFS zugreifen zu können(z.B. C:\WINNT\sytem32\config\sam). In dem Fall gibt es Probleme:

1. Das Schreiben auf NTFS kann schief laufen
2. Die sam-Datei ist keine einfache Textdatei
3. Bei einem Domänen - Controller ist das Passwort nicht nur in der sam-Datei abgespeichert.
Die Bootdiskette, die oben Ralph Miguel (vielen Dank noch mal für die Adresse) angegeben hat, funktioniert nicht bei einem Domänencontroller und einer SCSI-Festplatten oder das fehlerhafte Schreiben macht NTFS unbrauchbar (habe ich übrigens schon mehrfach ausprobiert).

Bis bald.

CU

bei Antwort benachrichtigen
Borlander hijack „Das Sicherheitsrisiko bei Linux liegt tatsächlich darin, dass Linux von einer...“
Optionen
dass Linux von einer Nicht-Festplatte (z.B. Diskette, CD-Rom) bootbar
Ohne Disketten- und CD-Rom-LW geht das nicht :-)

Bei Windows 98 und höher sind die Systemeinstellungen wie z.B. die Systemrichtlinien in der Registry abgespeichert und nicht von jeden änderbar.
Da gibt es sicher schon DOS/Linux Programme mit denen man die Registry ändern kann.

Passwörter lassen sich unter WIN9x übrigens noch leichter umgehen. Einfach die PWL Datei austauschen. (Kann man z.B. im Dos-Modus machen)

Besser sind, wie ich schon empfohlen habe (siehe oben), NTFS-Systeme
Da hast Du recht. Allerdings sollte man auch hier keinen Disketten/CD-Rom Zugriff erlauben, denn es ist durchaus vorstellbar, dass jemand eine Beschäding des Dateisystems beabsichtigt.


CU Borlander
bei Antwort benachrichtigen
xafford hijack „Das Sicherheitsrisiko bei Linux liegt tatsächlich darin, dass Linux von einer...“
Optionen

bye the way, hier mal ein paar punkte von mir:
1. schützt win98 seine registry in keinster form, da auf zweige und einträge, anderst als bei nt und 2000 keine rechte vergeben werden können, komm ich ins system, dann komm ich auch in die registry. tools ohne installation zur bearbeitung gibt es im internet wie sand am meer, sogar für remotebearbeitung.
2. der authentifizierungs und sicherungsmechanismus für 98 ist nur kosmetik. serlbst wennich eine anmeldung erzwinge gibt es banale tricks diese zu umgehen.
3. eine bootdiskette funktioniert nicht nur für linux. ist booten von diskette aktiviert, kann ich auch einen win98 rechner mit diskette booten, nur wozu sollte ich das, da ich eh an alles komme, was ich will wenn es nicht gelöscht wurde. das aktivieren von booten von diskette muß ohnehin im bios deaktivert werden und mit biospasswort abgesichert werden, alles andere ist auf jeder systemumgebung GROB FAHRLÄSSUG ;o)...ist übrigens wirklich ein juristischer begriff (unterschied: fahrlässigkeit und grobe fahrlässigkeit, entscheidend für die bemessung eventueller schadensansprüche)
4. was soll tiny auf dem server? auf ihm selbst laufen wohl kaum userprozesse, die ich damit blocken wollte, der datenstrom von den clients ist für ihn nicht differenzierbar.
5. ein firewallprozess auf den clients ist für jeden user ohne probleme zu stoppen und somit unwirksam, selbst bei deaktivierung des taskmanagers.
6. ein win-rechner mit ics, proxy und firewall dürfte ab einer bestimmten anzahl clients die leitung ziemlich dichtmachen bei entsprechender filterung.
meine empfehlung würde folgendermaßen aussehen:
beste wahl, eine firma mit installation beauftragen, diese soll:
wenn möglich die clients mit nt4.0 ausrüsten, ntfs, diskettenlaufwerke mit schloß versehen (kosten ca. 5€), keine cd-roms, system mit ieak (internet explorer administrator kit) für kioskmode konfigurieren, outlook löschen, regedit löschen ebenso regedt32, allen usern nur gastrechte geben. (wahrscheinlich hab ich noch ein paar punkte vergessen)
weiterhin soll ein server aufgesetzt werden für:
1. die ordner von internet explorer (cache, verlauf, cookies)
2. temp-ordner für downloads
3. ordner für die images für eine netzwerkneuinstallation über script, die abends automatisch, oder über diskette gestartet wird
4. entweder vorkonfigurierten router/firewall einsetzten (rel. hohe kosten) oder router/firewall auf bsd oder linuxbasis mit umgekehrter filterung, also nicht von außen nach innen, sondern von innen nach außen filtern. alle ports sperren bis auf port80 nach außen, eventuell den gesamten traffic über den proxy des providers leiten um einen eigenen proxy zu sparen.
nur so am rande bemerkt:
wird von einem internetcafe aus schaden z.b. bei einer firma und deren netzwerk angerichtet ist der betreiber des cafes voll haftbar (eventuell mit grober fahrlässigkeit, je nach sorgfalt) und kann komplett schadensersatzpflichtig sein, so lange er nicht genau durch logs nachweisen kann, wer wann von welchem rechner aus den schaden verursacht hat und daß diese person in einem strafmündigen alter war.
kleine anekdote, geschehen in münschen. ein 13 jähriger hat von einem internetcafe aus mist gebaut, der betreiber konnte zwar nachweisen, daß er es war, aber wegen mangelnder strafmündigkeit war der betreiber haftbar wegen mangelnder sorgfalt.
im übrigen wurde win9x nie mit dem hintergrund als netzwerkbetriebssystem entwickelt, was selbst microsoft eingesteht.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
hijack Cal „Netzwerksicherheit“
Optionen

Hallo,

Eine interessante Alternative für Internetcafès ist das Booten des Systems von einer CD (wie Borlander das für w98 dargestellt hat, vielen Dank dafür).

Sicherlich müsste man die Boot-System-CD's z.B. halbjährlich neu erstellen, da auf Grund des schnellen wissenschaftlich-technischen Fortschritts die alten Systeminstallationszustände von Zeit zu Zeit erneuert werden müssen (Vor allem aber aus Sicherheitsfortschrittsgründen).

Damit wird eine absolute Installations- und Betriebssicherheit garantiert.

Ein weiterer Vorteil liegt bei den Boot-System-CD's auf der Hand:

An der Internetcafè-Theke kann gefragt werden, welches System hätten Sie denn gern - Linux, Windows 98 oder ...?

CU hijack

bei Antwort benachrichtigen
Zaphod hijack „Hallo, Eine interessante Alternative für Internetcafès ist das Booten des...“
Optionen

... und dann bringen die Kids ein eigenes, komplettes System wie Knoppix Linux mit, booten selbst und hacken damit das Netz ;-)
Mochmal in fett: die User haben keinen Zugang zu Wechselmedien, alles andere ist grob fahrlässig (ja, ich schreibe es hier nochmal ;-))
Ende der Durchsage,
Have fun,
Z.

bei Antwort benachrichtigen
Teletom Cal „Netzwerksicherheit“
Optionen

Mpppffff....

"grob fahrlässig - juristischer Begriff"

das klingt ja nach Gerichtsverhandlung mit vollzogener Verurteilung.
Wo sind die Beweise? Ein Angeklagter ist so lange unschuldig, so lange die Beweise nicht ausreichen, ihn zu verurteilen. Und im Zweifelsfall für den Angeklagten.

Jegenfalls sind alle Internetcafes mit Windows 98 nicht schuldig.
Deshalb ist grob fahrlässig und juristischer Begriff hier nicht angebracht. Zumal die Beweise einfach nicht ausreichen.

Falls man Internet zu lässt, besteht nun einmal ein Sicherheitsrisiko. Diese Tatsache würde ich nicht als fahrlässig ansehen. Man ist durch den Internetzugang gezwungen, bewusst auf dieses dadurch entstandene Sicherheitsrisiko einzugehen.

Auch wenn man beispielsweise nur Port 80 für Http für den Internetzugang freilässt und alle anderen Ports sperrt, kann man selbst ohne Wechselmedienzugang einen "Partitionierer", einen "Bootmanager" und ein "komplettes System" aus dem Internet runterladen und installieren. Einen Neustart von der entsprechenden Partition kann man fast unmöglich verhindern (selbst das Bios kann man über vom Internet runtergeladenene Software "knacken").

Zu kompliziert? Leute die es darauf absehen, könnten alle benötigten Programme in komprimierter Form auf einen Webserver bringen und dazu noch ein Script- oder eine Batchdatei, die das alles automatisch ausführt. Im Internetcafe wird alles runtergeladen und kurzfristig lauffähig installiert.

Die Gefahr des Einsatzes eines anderen Systems besteht also immer, auch wenn man den Zugriff zu Wechselmedien wie Disketten oder CD's unterbindet, dabei spielt überhaupt keine Rolle, ob man Windows95, 98, Me, Linux, NT, W2000 oder XP verwendet.

Hier meine Empfehlung:
Knackpunkt ist der Internetzugangsrechner, der müsste für Internetcafes so eingerichtet sein, dass man extrem gut Filter und in jeder Beziehung Logfiles einsetzen kann.

Ein Hardwarerouter wäre hier angebracht. Beim Kauf darauf achten, dass die Filtermöglichkeiten bestehen und wichtig, dass die Zugriffe in einer Logdatei abgespeichert werden.

Man sollte unbedingt zusätzlich einen Proxyserver-Computer für den Internetzugang verwenden, der auch ein Router beinhalten kann (im Fall des Einsatzes eines Softwarerouters kann der Hardwarerouter entfallen).

Bei diesem Computer sollte man, wie oben erwähnt, ebenfalls auf umfassende Filtermöglichkeiten und Logdateiabspeichermöglichkeiten achten. Die Firewallmöglichkeit sollte unbedingt auf dem Proxyserver-Router-Computer vorhanden sein.

Geeignet ist für den Proxyserver-Router-Computer

1. Beispiel: Linux z.B. fli4l (www.fli4l.de)
mit squid als Proxy
Filter und Logdateien aktivieren
Dies ist noch dazu eine sehr kostengünstige Variante

2. Beispiel: W2000-Server
mit ISA-Server als Proxy mit Routing und RAS sowie NAT (Netzwerkadressübersetzung)
Bei W2000 kann man zusätzlich Domänen administrieren, ist aber mit Kosten verbunden.

Bei den Clients könnte man darüber nachdenken, dass Disketten- und CD-Rom-Laufwerke mit Schlössern versehen werden, denn unqualifizierte Benutzung zerstört diese Laufwerke sehr schnell.

Das Problem mit Windows 98 regelt sich von selbst durch den Neukauf und Ersatz von PC's. Auf neuen PC's wird vielleicht Windows XP vorhanden sein. Jeden Falls ist die Festplattenkapazität so gross, dass man auch Linux als Desktopsystem darauf installieren kann.

In jedem Fall würde ich z.B. mit Driveimage oder NortonGhost Partitionsimage-Dateien für jede Installation auf einen Server ablegen. Damit kann man im Fehlerfall das System schnell und bequem neu einrichten.

Viel Spass

Teletom

bei Antwort benachrichtigen