[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Zugriffsrestriktion oeff. Arbeitsplaetze (was: Re: Praesenzbenutzer ausgeschlossen?)
- Date: Fri, 22 Aug 2003 14:54:24 +0200 (MEST)
- From: daniel _at__ roedding.de (Daniel Roedding)
- Subject: Zugriffsrestriktion oeff. Arbeitsplaetze (was: Re: Praesenzbenutzer ausgeschlossen?)
Hallo,
> > Den Missbrauch der Geraete fuer Chat kann man z.B. durch eine geeignete
> > Firewall unterbinden, an den Internet-Stationen in unserem Institut ist das
> > realisiert.
Michael Plate fragte:
> Wie realisieren sie das ? IRC lässt sich über Portblocks verhindern,
> aber WWW-basierten Chats von simplen WWW-Seiten zu trennen ? Verhindert
> die FW auch Java-Chats ?
Allgemein: Chats lassen sich recht gut, aber nicht mit 100 %iger
Zuverlässigkeit durch IP-Filterung blockieren.
Java-gestützte Chats machen in der Regel eine zweite Verbindung zum
Server auf, meist auf einen freien Userport. Läßt man von öffentlich
zugänglichen Rechnern nur abgehende Verbindungen auf klar definierte
Dienste (HTTP, POP3 usw.) zu, kommt die zweite Verbindung eines
Java-Chats nicht zustande.
Chats, die mit offenen HTTP-Verbindungen arbeiten und "server-push" machen,
also kontinuierlich Daten anfügen, können ausgebremst werden, indem
man WWW-Zugriff grundsätzlich über einen Proxy-Server laufen läßt,
welcher dauerhaft offene Verbindungen nicht unterstützt.
Gegen den dritten Typus Chat, nämlich Javascript-gestützte
"Pull"-Mechanismen vom Client, die dann serverseitig bis zum
Eintreffen neuer Nachrichten ausgebremst werden, ist firewalltechnisch
kein Kraut gewachsen. Auch die ganz bräsigen Chatsysteme, bei denen
einfach im n-Sekunden-Takt ein Frame-Refresh erfolgt, lassen sich
nicht mit einer Firewall bändigen.
Statistisch betrachtet stellen aber die ersten beiden genannten
Chat-Typen den Löwenanteil in dem Zoo da draußen dar.
> > Das Verfassen und Empfangen von privaten E-mails wird sich niemals zu
> > 100 Prozent verhindern lassen, so etwas tun naemlich auch die registrierten
> > Nutzer, es sei denn Sie stellen hinter jeden einen Waechter.
>
> Das wiederum finde ich nicht dramatisch, da bei uns sowieso kein
> E-Mail-Programm vorhanden ist; WWW-basierte E-Mail ist OK - wir möchten
> nur keine Überreste von E-Mail-Accounts auf den Rechnern.
Keinen Mailclient installieren, zusätzlich im IP-Packetfilter
abgehende POP3-Connects unterdrücken. Als Nutzeralternative dann
Webmail-Oberfläche bereitstellen, die einen Zugriff auf externe
POP3-Postfächer ermöglicht.
Viele Grüße,
Daniel Rödding
--
Daniel Roedding phone: +49 5252 9838 0
http://www.roedding-software.de/ fax: +49 5252 9838 20
Listeninformationen unter http://www.inetbib.de.