Tobias Weisserth, Samstag, 5. Juni 2004 23:23:
Hallo,
On Sat, 2004-06-05 at 22:56, Helga Fischer wrote:
Hallo Liste,
an mich wurde gerade die Frage herangetragen, ob man sich der Überwachung durch SARG/Squid entziehen kann.
Kommt ganz darauf an.
In einem halbwegs sicher administrierten Netz nicht.
Da ich selbst mal mit so etwas zu tun hatte (Big Brother ist nix dagegen), möchte ich euch fragen, ob es Möglichkeiten zum Schutz der Privatsphäre gibt, wenn man bloß ein ganz normaler Nutzer seiner Workstation ist.
Nützt einer dieser Anonymizer?
Kommt auch ganz darauf an.
Siehe oben. Und die Anonymizer im Internet nützen gar nichts, denn sie befinden sich hinter dem lokalen Squid. Sie machen einen mehr oder weniger anonym für den Kommunikationspartner im Internet (Rückverfolgung erschweren; deutschen Behörden düfte es schwer fallen, von einem Proxy-Betreiber auf den Falklandinseln die Logdateien der Verbindungen erfolgreich einzufordern *g*).
Die meisten Anonymizer sind auch nichts anderes als "Proxies", die es unmöglich machen sollen, einzelne Anfragen individuellen IPs zuzuordnen.
An einem transparentem Proxy kommst Du schwer vorbei. Dann gehen beispielsweise alle HTTP Verbindungen eines LAN über das Gateway, auf dem ein transparenter Squid läuft, durch. Da kommt keiner dran vorbei. Denn auch alle Anfragen aus einem LAN müssen erst mal am Gateway vorbei, um zu einem der Anonymizer zu kommen. Vorher tauchen die Requests im lokalem Squid auf.
Genau.
Du müsstest schon im LAN einen zweiten Squid aufsetzen und eine so große Menge IP Adressen darüber umleiten, dass man einzelne Anfragen nicht mehr individuell zuordnen kann.
Naja, das wäre so ziehmlich die einzige Möglichkeit, eine userbezogene Überwachung zu umgehen - ein "Abteilungs-Proxy". Dazu müsste ein (zusätzlicher) Rechner im Netz als weiterer Proxy laufen, über den dann möglichst viele User ihre Internetverbindung aufbauen. Dieser muss dann zwar auch wiederum auf den zentralen Firmen-Proxy zugreifen, aber wenn alles nach /dev/null gelogged wird ... Zumindest ist dann der einzelne User kaum noch identifizierbar (man könnte evtl. die Verbindungszeiten am Proxy mit den Verbindungszeiten der User vergleichen, aber ob den Aufwand jemand betreibt?). Allerdings würde dieser (zusätzliche) Rechner schnell entlarvt werden.
Eine andere Möglichkeit ist das Tunneln von Protokollen, so dass Squid für diese Verbindungen nicht mehr zuständig ist. HTTPS reich schon, allerdings benötigt man eben zwei Seiten.
HTTPS wird i.A. auch über durch den Squid geleitet. Außerdem wird wahrscheinlich das Gateway ins Internet eh kein NAT/Masquerading machen, so dass kein weg am Porxy vorbeiführt (außer man etabliert eine eigene Verbindung über einen separaten Zugang (Handy, ..?)).
Aber wenn man seiner lokaler Netzwerkadministration nicht mehr vertrauen kann, dann hat man schlechte Karten.
In einer Firma wär das ein Fall für den Betriebsrat. Oder ggf. den Staatsanwalt (Telekommunikationsgesetz)? Auf der anderen Seite kann man dann sicher seinen Job vergessen. Wenn die Firma clever war, hat sie vorher alle MAs auf die Möglichkeit der Auswertung hingewiesen. Ein berechtigtes Interesse der Firma, zu kontrollieren was die MAs in ihrer Arbeitszeit so machen, ist sicherlich nicht abzustreiten. -- Gruß MaxX 8-) Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu