Skip to content

Google von der Wiege bis zur Bahre

Frank wies mich gerade auf einen Artikel bei Heise hin. Danach stellt Google kostenlose Mailserver für Universitäten zur Verfügung. Für die Unis hat das den Vorteil, dass sie sich nicht mehr um die Wartung und Pflege der Server kümmern müssen. Außerdem können dadurch sicher auch Server und somit einiges an Geld gespart werden. Die Studenten haben weiterhin ihre gewohnte E-Mailadresse und können diese ein Leben lang behalten. Das klingt sicher alles zunächst ganz toll.

Doch man muss sich auch fragen, warum Google das macht. Google wird, wie bei GMail üblich, Werbung einblenden und damit Geld verdienen. Wahrscheinlich sind Studenten da eine ganz besonders interessante Zielgruppe. Weiterhin sollen die Studenten ihre Dokumente mit den Werkzeugen von Google bearbeiten. Damit hat Google Zugriff darauf und sitzt dann an der (kostenlosen) Quelle der neuesten Erkenntnisse. Ich denke, dass gerade mit dem letzten Punkt die Universitäten unter Umständen enorm Wissen aus der Hand geben und es sich dreimal überlegen sollten, ob der Schritt wirklich sinnvoll ist. Noch arbeitet Google nach dem Slogan Do no evil. Aber was ist in fünf oder zehn Jahren?

[torrc] -- Exitpolicies

Dies ist ein weiterer Beitrag in meiner Reihe “Optionen für Tor”. Heute möchte ich euch etwas zu Exitpolicies erzählen.

Exitpolicies betreffen euch, wenn ihr selbst einen Torserver betreibt. Denn da lässt sich einstellen, welche Rolle der Server innerhalb des Netzes übernimmt. Er kann zum einen einfach Traffic von einem Knoten zum nächsten weiterleiten ohne jemals ein Ausgang aus dem Tornetzwerk zu sein (Middleman). Zum anderen kann er auch so konfiguriert werden, dass selbst Verbindungen nach außen aufbaut (Exitserver). Der letzte Fall kann nochmal sehr fein mittels der Exitpolicies gesteuert werden, d.h. welche IPs oder Ports sollen angesprochen werden und welche nicht.

Grundsätzlich hat eine Exitpolicy die Form:

ExitPolicy accept ADRESSE/MASKE:PORT
ExitPolicy reject ADDRESSE/MASKE:PORT

Falls ihr keinerlei Verkehr zulassen wollt (Middleman), dann tragt ihr einfach ExitPolicy reject *:* in die torrc ein. Das bedeutet, dass sämtlicher Verkehr nach außen nicht zugelassen ist.

Nun könntet ihr auf die Idee kommen, dass euer Server auch allen Verkehr der auf meine Seite kommt zulassen wollt. Die IP meiner Seite ist 217.17.202.211. Also tragt ihr ExitPolicy accept 217.17.202.211:80 in die torrc ein. Wollt ihr eine ganze Spanne von Ports freigeben, dann könnt ihr ExitPolicy accept IP:n-m (n und m sind die Ports) schreiben. Ein kompletter IP-Adressraum kann mit der entsprechenden Maske angegeben werden, d.h. ExitPolicy accept 217.17.202.0/24:* würde die Adressen von 217.17.202.0 bis 217.17.202.999 :-) freischalten. Der Stern sorgt gleichzeitig dafür, dass alle Ports bei diesen IP-Adressen angesprochen werden können (Keine Angabe von Ports bewirkt auch, dass alle angeprochen werden können.).

Die Optionen werden von oben nach unten bearbeitet und die erste passende Regel wird beachtet. Setzt ihr also:

ExitPolicy accept 217.17.202.211:80
ExitPolicy reject *:80

Darf kein HTTP-Port außer der obigen IP-Adresse angesprochen werden. Im Beispiel.

ExitPolicy reject *:80
ExitPolicy accept 217.17.202.211:80

dürfte kein HTTP-Port angesprochen werden, da bereits die erste Regel greift. Falls ihr also Exitpolicies fomuliert, arbeitet euch von speziellen zu allgemeinen Regeln durch.

Grundsätzlich solltet ihr Verkehr zu privaten IP-Adressen (10.*, 127.* etc.) verbieten. In den früheren Versionen musste man die Adressen explizit angeben. Heute kann man das Schlüsselwort private (Beispiel: ExitPolicy reject private) verwenden. Weiterhin könnt ihr auch die Option ExitPolicyRejectPrivate 1 (ist standardmäßig auch auf 1 gesetzt) setzen.

Ich hoffe, dass hilft euch, die Exitpolicies besser zu verstehen bzw. zu formulieren. Falls ihr noch Fragen habt, nutzt einfach die Kommentare.

Namen der Torserver

Beim Blick auf das Access.log meines Apachen fiel mir auf, dass ein Rechner mit dem Hostnamen ist.ein.unterdrueckter.codesklave.de zugegriffen hat. Ein zweiter Blick sagte mir, dass es ein Torserver ist. Der Name zauberte ein Lächeln auf mein Gesicht. Wenn ich mich richtig entsinne, gab es noch mehr Server mit recht netten Namen. Ist euch schonmal solch einer aufgefallen?

Datenspuren 2007 in Dresden

Dieses Wochenende finden in Dresden wieder die Datenspuren statt. Dies ist ein Symposium vom CCC Dresden und hat Datenschutz, Sicherheit und Privatsphäre zum Thema. Dieses Jahr wird es Videoüberwachung, Informationsfreiheit, Biometrie und einiges mehr gehen. Wenn ihr also in der Nähe seid, schaut unbedingt mal rein. Die letzten Jahre war das eine sehr interessante Veranstaltung. Ich stecke leider in diversen Aufgaben fest und kann nur aus der Ferne zuhören. :-(

Tor in den Emiraten gesperrt?

Vor einiger Zeit erhielt ich eine E-Mail, dass Tor nicht mehr funktionieren würde. Der Absender hielt sich im arabischen Raum auf. Nach einem kurzen Versuch, den Fehler auf technische Weise zu orten, stiess ich auf den Hinweis, dass die Vereinigten Arabischen Emirate Tor blockieren. Das Land hat einen Zwangsproxy und sperrt diverse Webseiten. Dazu gehört auch Tor sowie diverse Erweiterungen für den Firefox.

cronjob