.titleBar { margin-bottom: 5px!important; }

HTTP-Verbindungsdaten mit mac loggen?

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von kasinator7170, 10 Okt. 2008.

  1. kasinator7170

    kasinator7170 Neuer User

    Registriert seit:
    30 Sep. 2008
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #1 kasinator7170, 10 Okt. 2008
    Zuletzt bearbeitet: 10 Okt. 2008
    Hallo Forum,

    ich habe hier schon einiges gesehen und glaube, dass dass was ich vorhabe durchaus machbar wäre. ich weiss nur leider nicht, wie.

    Mein Papa (69, betreibt Gästehaus) möchte seinen Gästen Internet anbieten.
    Dafür haben wir eine FBF7170 mit xGB-USB-Stick und eine FBF7050 zur Verfügung. Die FBF7050 soll per WDS den DSL-Hausanschluss ins nachbarhaus verlängern.
    Sie soll das mit einer separaten ESSID und WPA2-Key machen.
    Nach jedem Gast wird der Gäste-Key verändert.
    Das WDS und Papa-Netzwerk ist wieder mit nem anderen statischen Key encrypted. Die Boxen sind selbstverständlich passwortgeschützt.
    Beide Boxen sind vor physikalischem Zugang geschützt.

    Soviel zu dem, was ich hinbekommen habe.:cool:

    Vertrauen ist gut, Kontrolle ist besser:
    Ich bin etwas panisch, dass bei meinem Papa die Statsanwaltschaft klopft, weil irgendein Gast ein Schäuble/BMG-Tabu gebrochen hat.
    -Filesharing aus, braucht man in der Ferienwohnung nicht! (Wie??)
    -MACs müssen angemeldet werden (das bekommt mein Papa noch hin)
    -Einverständnisserklärung unterschreiben lassen, dass Verbindungsdaten personenbezogen gespeichert werden und ausschliesslich auf Gerichtsbeschluss ausgewertet werden.
    -Eben diese Verbindungsdaten-Speicherung < die Frage dieses Threads
    :confused:
    -Das ganze möglichst transparent für die Gäste (muss dann nicht eingestellt werden, bekommen die eh nicht hin)

    Das Log sollte folgende Daten enthalten:
    Urzeit GastMAC remoteIP (URL wenn verfügbar) (Urzeit Verbindungstrennung)
    Fehlt noch was, um meinen Papa im Fall der Fälle zu entlasten?

    Zur Datenreduktion würden nur erste TCP Verbindungsaufnahmen in 5 minuten geloggt werden oder andere Reduktionsmaßnahmen wirksam werden.

    Die Daten würden wochenweise in Files gespeichert. Älteste würden automatisch gelöscht.

    Ich habe die Capture-funktion der Fritz-Box gesehen, das sind jedoch zu viele dDten um 3 Jahre (oder wie lange muss man das aufheben) Verbindungsdaten auf dem USB-Stick aufzuheben.

    Könnt ihr mir dabei helfen?
     
  2. kasinator7170

    kasinator7170 Neuer User

    Registriert seit:
    30 Sep. 2008
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Topic einordnen?

    Hi Admins,

    ich hoffe, dass ich im richtigen Bereich des Forums gelandet bin.
    Das Topic hätte ja eigentlich was mit Sicherheit und WLAN/WPA zu tun. Ich fürchte aber, dass man ohne Firmwaremod nicht auskommt.

    Gruß
    kasinator
     
  3. Telefonmännchen

    Telefonmännchen IPPF-Promi

    Registriert seit:
    22 Okt. 2004
    Beiträge:
    5,393
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Ort:
    Nordwürttemberg
    Erstens wäre es höchst illegal, die vom Gast angesurften Webseiten mitzuloggen und zweitens dürfte einem solchen Logging die notwendige Beweiskraft fehlen, da es auch im Nachhinein manipulierbar bzwl nicht manipulationssicher wäre. Damit kannst Du Deine Unterschrift auch vergessen. Auch das Unterbinden von Diensten ist so nicht ohne weiteres möglich. Um derartige Dienste, die einem Internetcafe ähnlich sind, muß auch auf leistungsfähigeres Equipment mit einem entsprechenden Accountmanagement zurückgegriffen werden. Da sind die FritzBoxen nicht zu geeignet.

    Gruß Telefonmännchen
     
  4. kasinator7170

    kasinator7170 Neuer User

    Registriert seit:
    30 Sep. 2008
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Wirklich illegal???

    @Telefonmännchen
    Warum ist das loggen der angesurften Webseiten illegal? Der Gast hat doch sein Einverständniss gegeben.

    Selbst mit Account-Management, welche Daten würden dann aufgezeichnet werden? Reicht es dann, die verwendeten Ports zu loggen? Was macht das Account-management anders?

    Es geht wie gesagt nicht darum, den kompletten Traffic mitzuloggen und eventuell kontodaten auszuspähen, sondern genau die Menge, damit mein Papa (69) die Staatsanwaltschaft wegschicken kann, wenn ein Gast den guten Willen ("er darf seine Aktien online verkaufen") missbraucht hat. Gegen Manipulationen würde man an Hand von Hashes sichern und anhand der Speicherposition auf dem USB-stick erkennen.
     
  5. Telefonmännchen

    Telefonmännchen IPPF-Promi

    Registriert seit:
    22 Okt. 2004
    Beiträge:
    5,393
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Ort:
    Nordwürttemberg
    Ob ein Loggin damit legalisiert ist, wage ich zu bezweifeln, aber sei es drum. Ist nicht mein Problem.

    Ein relativ guter Weg wäre das Logging über einen Proxy. Wie Du allerdings das den angeschlossenen Rechnern vermittelst entzieht sich meiner Kenntnis. Man müßte diesen dann als Zwangsproxy unterschieben. Privoxy läuft auch auf der Fritz. Habe aber keine eigenen Erfahrungen damit. Laut Handbuch unterstützt es das Logging. Ob das auch die für Freetz angepasste Variante und in welchem Umfang tut, kann Dir sicher ein Anwender verraten.

    Ich glaube auch nicht, daß sich Logfiles auf USB-Datenträgern manipulationssicher speichern lassen. Eine entsprechende Sicherung würde den Aufwand noch mal hochtreiben. Außerdem glaube ich nicht, daß die AGB des entsprechenden Providers eine derartige Nutzung zulassen. Und spätestens wenn mal der befürchtete Fall (dem Du vorbeugen willst) eintritt, dann kommt das aufs Tapet und wird relevant. Vorher dürfte das kaum ein Provider bemerken.

    Gruß Telefonmännchen
     
  6. kasinator7170

    kasinator7170 Neuer User

    Registriert seit:
    30 Sep. 2008
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo Telefonmännchen,

    Würde die Staatsanwaltschaft klopfen, wenn man den Gast-Verkehr zwangsweise über ein Tor-Netzwerk leitet?
    Dann gebs keinerlei Rechtliche Logging-Probleme, und ne einfachere Verwaltung. Und eine Selbstverpflichtungserklärung des Users.

    Kann/darf der Tor-Proxy transparent eingestellt werden?
     
  7. JanGerrit

    JanGerrit Neuer User

    Registriert seit:
    24 Jan. 2006
    Beiträge:
    110
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Ort:
    OWL
    #7 JanGerrit, 14 Okt. 2008
    Zuletzt bearbeitet: 14 Okt. 2008
    Ein Ansatz für ein Logging könnte iptables sein.
    Ich bin auf dem Gebiet kein Fachmann, aber ich denke die folgende Zeile sollte alle Verbindungen loggen und mit "> NC <" im Log markieren.
    Code:
    iptables -I FORWARD 1 -j LOG -m connbytes --connbytes 0:5 --connbytes-dir both --connbytes-mode packets --log-prefix "> NC < "
    
    EDIT: Zusätzlich musst du natürlich noch die IP/Mac dem entsprechenden Nutzer zuordnen können.

    Viele Grüße,
    Jan Gerrit