Moin.
(sorry aber bsiher finde ich keine solchen Sammelthread oder sonstwas zum Thema. Wenn 3DC das besitzt bitte das hier einfach hinzufügen)

Ich hab mich bis zum heutige Tag erfolgreich dagegen gewährt, mich mit meinen Daten für DX12 zu prosituieren.
Dies würde auch weiterhin so gebleiben, aber leider treibt mich so langsam aber sicher die Treibersituation doch noch zu Win10.

Ich hab mir erstmal die Regelwerke zum Thema reingezogen. Man kommt um Kuketz wie so oft nicht herum...
Das wäre erstmal das
https://www.kuketz-blog.de/empfehlungsecke/#windows

Dann das
https://www.kuketz-blog.de/windows-10-dem-kontrollverlust-entgegenwirken/

Und das von ihm erwähnte Werk schonmal gespeichert
https://www.ak-if.de/dokumente/Orientierungshilfe_Windows10.pdf

Ich nehme an ihr kennt das alle und alles. Oder ich bin sonst im völlig falschen Forum.
Das Prob zuerst, das obige ist alles mittlerweile recht angestaubt. DWS (destroy windows10 spying) ist auch schon 2018 her, falls ich mich nicht verguckt habe.
Kann mich jemand aufklären inwiefern was davon überlebt oder gar nicht mehr so 100% funktionsfähig ist wie früher? Alternativen?

Wie weit lässt sich diese Perversität vom OS, 2021 ihr Maul zuhalten? Vorerst ohne HW-Firewall bitte.

Zusatzfrage des ersten Posts :)
Gibt es weiterhin Win10 "Pro Education" (basiert auf Win10 Pro) und Win10 "Education" (basiert auf Win10 Enterprise)??

Mit einem richtig dicken Hals, vielen Dank schonmal an alle Hilfswilligen.

https://www.w10privacy.de/ + IPFire + Webproxy + URLFilter mit Shalla Blacklist / Tracker-Kategorie + Custom Blocklist

kv501.prod.do.dsp.mp.microsoft.com
geo.prod.do.dsp.mp.microsoft.com
cp501.prod.do.dsp.mp.microsoft.com
choice.microsoft.com
choice.microsoft.com.nsatc.net
compatexchange.cloudapp.net
corp.sts.microsoft.com
corpext.msitadfs.glbdns2.microsoft.com
cs1.wpc.v0cdn.net
df.telemetry.microsoft.com
diagnostics.support.microsoft.com
fe2.update.microsoft.com.akadns.net
feedback.microsoft-hohm.com
feedback.search.microsoft.com
feedback.windows.com
i1.services.social.microsoft.com
i1.services.social.microsoft.com.nsatc.net
oca.telemetry.microsoft.com
oca.telemetry.microsoft.com.nsatc.net
pre.footprintpredict.com
redir.metaservices.microsoft.com
reports.wes.df.telemetry.microsoft.com
services.wes.df.telemetry.microsoft.com
settings-sandbox.data.microsoft.com
settings-win.data.microsoft.com
onesettings-db5.metron.live.com.nsatc.net
settings.data.glbdns2.microsoft.com
sls.update.microsoft.com.akadns.net
sqm.df.telemetry.microsoft.com
sqm.telemetry.microsoft.com
sqm.telemetry.microsoft.com.nsatc.net
statsfe1.ws.microsoft.com
statsfe2.update.microsoft.com.akadns.net
statsfe2.ws.microsoft.com
survey.watson.microsoft.com
telecommand.telemetry.microsoft.com
telecommand.telemetry.microsoft.com.nsatc.net
telemetry.appex.bing.net
telemetry.appex.bing.net:443
telemetry.microsoft.com
telemetry.urs.microsoft.com
vortex.data.microsoft.com
vortex-sandbox.data.microsoft.com
vortex-win.data.microsoft.com
web.vortex.data.microsoft.com
db5.vortex.data.microsoft.com.akadns.net
asimov-win.vortex.data.microsoft.com.akadns.net
geo.vortex.data.microsoft.com.akadns.net
watson.live.com
watson.microsoft.com
watson.ppe.telemetry.microsoft.com
watson.telemetry.microsoft.com
watson.telemetry.microsoft.com.nsatc.net
wes.df.telemetry.microsoft.com
mobile.pipe.aria.microsoft.com
nexusrules.officeapps.live.com
nexus.officeapps.live.com
config.edge.skype.com
officeclient.microsoft.com
client-office365-tas.msedge.net

Da ich IPFire in der Standardkonfiguration halboffen betreibe (und nicht wie Kuketz vorschlägt, geschlossen), geht sicherlich noch hier und da was durch. Aber das ist auf jeden Fall schonmal ein Riesenschritt in Richtung Datenschutz.

Da es ums "Spielen" geht, kannst du dir ja einen zusätzlichen Rechner zulegen und die sensiblen Sachen von den Spiele-Sachen trennen. Dann spielt es keine Rolle mehr, ob Windows spioniert oder nicht. Da dann auf dem Spiele-Rechner ohnehin nichts sensibles mehr zu finden ist.

Ein brauchbares Desktop/Office System gibt es bereits gebraucht ab 100 Euro. Finanziell sollte sich das jeder leisten können. Ich praktiziere dies schon seit längerem und mag es nicht mehr missen (Test-Rechner, Arbeits-Rechner, Buchhaltungs-Rechner, Spiele-Rechner, etc.)

1. Das weiß niemand mit den Win10 Versionen?

2. @qiller
Also Win10privacy ist klar den anderen Tools vorzuziehen? Oder ist das deine private Vorliebe (?)
IPfire ist nicht trivial. Das fängt schon mit der Wahl der Hardware an. Der sinnvollen Wahl... Kuketz spuckt da auch Töne als wenn das alles frei vom himmel fallen würde und verlinkt locker flockig auf Seiten mit >300€ Hardware? (oder ist mir da was entgangen?)

Irgendwie hat mich dann auch gleich R201 II mit einem E3-1220 mit 8GB angelachtr, ab er muss das soviel Strom ziehen? Oder, auf wieviel kommt man dann? Sense läuft wohl drauf. IPfire weiß ich noch nicht. Könnte man sowas auch mal ohne Netz BEDIENEN, als am Gerät selbst? Ich meine wenn Sense oder ipfire drauf läuft, dann mit eigenem Monitor/Maus/Tasta)

Eigentlich will ich die Firewall nicht von den Clients aus managen. Der kurze Gang zum Geärt würde rein garnichts ausmachen.
FRAGE:
Läuft IPfire auf dem Dell überhaupt?

3. Ich weiß nicht :uponder: wo das so klar stand, daß es um Spiele geht? Bei neueren Hardware ist es allgemein immer schwieriger welche mit Win7 Treibern zu bekommen. Auch wenn es "nur" ein Arbeitsrechner ist. Und auch der müsste gelegentlich mal ins Netz.
Ich will mir nicht für jede Tätigkeit einen extra Rechner hinstellen.

Winprivacy nutzt im Grunde die bekannten Datenschutz-Scripts, -Tweaks und -Tricks, die man auch auf der Konsole eintippen kann und packt das in eine GUI. Ist bisschen sperrig und der Umfang der Einstellungen ist groß (aber das ist ja nicht das Problem von Winprivacy, sondern von Win10 und seiner Datensammelwut), funktioniert aber. Und das wichtigste: Es muss nicht irgendwie im Hintergrund laufen, es nutzt grundsätzlich Windows-eigene Befehle und Funktionen.

Ja IPFire ist nichts für Laien, aber recht gut für Lernwillige. Ich hab mir privat die EcoBox von TX-Team gekauft, allerdings mit 8 GB RAM im Dual-Channel. Kann man aber auch selber aufrüsten.

https://shop.tx-team.de/Netzwerk-Firewall/Desktop-Firewall/EcoBox::32.html?MODsid=71cb7c6fe7f766b162aab726190f05e2

Die 4 LAN-Schnittstellen kann man dann beliebig aufteilen: 1x WAN + 3x LAN + WLAN, oder so wie ich 1x WAN + 2x LAN + 1x DMZ + WLAN. Ich brauche somit für mich nur das gestellte Kabelmodem + IPFire-EcoBox für Internet+Netzwerk - bei anderen reicht das evt. nicht mit den Anschlüssen. WLAN ist nur rudimentär und fummlig. Wenn man da größere Anforderungen hat, muss man einen gesonderten Accesspoint kaufen. Es ist eben primär eine Router-Firewall. Die Eco-Box ist leistungsstärker als die Duo-Box und hat mehr Schnittstellen (bei der Duo-Box brauchst definitiv dann noch WLAN-Router/-Switch als Zusatzgerät). Verbrauch von 10W im Idle ist für mich noch zu verschmerzen. Verbaut ist bei der EcoBox quasi ein Supermicro Serverboard. Man kann theoretisch auch ne kleine Windows-Server-Core VM per libvirt/qemu aufsetzen und die als Fileserver oder whatever nutzen. Aufgrund fehlender 10Gb-Unterstützung werde ich das aber irgendwann anders händeln.

IPfire ist nicht trivial. Das fängt schon mit der Wahl der Hardware an. Der sinnvollen Wahl... Kuketz spuckt da auch Töne als wenn das alles frei vom himmel fallen würde und verlinkt locker flockig auf Seiten mit >300€ Hardware? (oder ist mir da was entgangen?)

Irgendwie hat mich dann auch gleich R201 II mit einem E3-1220 mit 8GB angelachtr, ab er muss das soviel Strom ziehen? Oder, auf wieviel kommt man dann? Sense läuft wohl drauf. IPfire weiß ich noch nicht. Könnte man sowas auch mal ohne Netz BEDIENEN, als am Gerät selbst? Ich meine wenn Sense oder ipfire drauf läuft, dann mit eigenem Monitor/Maus/Tasta)

Eigentlich will ich die Firewall nicht von den Clients aus managen. Der kurze Gang zum Geärt würde rein garnichts ausmachen.
FRAGE:
Läuft IPfire auf dem Dell überhaupt?

Was genau versprichst du dir eigentlich von einer separaten Firewall? Deine verlinkte Übersicht zu IPFire hört sich eher nach einer (sehr aufwendigen) Lösung für separate Windows-VMs an. Updates per Sneakernet einzuspielen hört sich für mich für ein physisches General-Purpose-System auch nicht so praktikabel an.

3. Ich weiß nicht :uponder: wo das so klar stand, daß es um Spiele geht? Bei neueren Hardware ist es allgemein immer schwieriger welche mit Win7 Treibern zu bekommen. Auch wenn es "nur" ein Arbeitsrechner ist. Und auch der müsste gelegentlich mal ins Netz.
Ich will mir nicht für jede Tätigkeit einen extra Rechner hinstellen.

Ich denke die große Frage ist da eher, warum man überhaupt Windows benutzen will, wenn man nicht an Videospielen interessiert ist. Wenn man sonst keine Windows-spezifische Software benutzt, für die man eine physische Windows-Installation braucht, ist das ja eigentlich eine berechtigte Frage.

GNU/Linux ist am Desktop sicher keine perfekte Lösung, aber so grundsätzlich ist jede der großen Distributionen ziemlich sicher weniger wartungsintensiv als Windows per Sneakernet zu managen. Für spezielle Software, die keinen direkten Zugriff auf die Hardware oder speziell GPU braucht, kann man auch immer noch eine stark eingeschränkte Windows-VM nutzen. Man bricht sich damit keinen Zacken aus der Krone.

Ich denke die große Frage ist da eher, warum man überhaupt Windows benutzen will, wenn man nicht an Videospielen interessiert ist. Wenn man sonst keine Windows-spezifische Software benutzt, für die man eine physische Windows-Installation braucht, ist das ja eigentlich eine berechtigte Frage.Nein. Das wäre eine berechtigte Frage, wenn ich keine "Windows-spezifische" Software nutzen würde. Das tue ich aber.

Daher weiter im Thema. Also, weiter mit qiller:
Ok. Danke. Ich tendiere aktuell eher zu pfSense. Muss mich noch ne Weile einlesen. Gibt es da Gegenstmmen?

Überleg grad wie lange ich irgendeinen gebrauchten 200er Poweredge für 150 mit 60W fahren muss, bis sich eine EcoBox mit ihren 10W, für 535€ amortisieren würde... :uponder: Das ist übelst viel Kohle.

Da es ums "Spielen" geht, kannst du dir ja einen zusätzlichen Rechner zulegen und die sensiblen Sachen von den Spiele-Sachen trennen. Dann spielt es keine Rolle mehr, ob Windows spioniert oder nicht. Da dann auf dem Spiele-Rechner ohnehin nichts sensibles mehr zu finden ist.

Ein brauchbares Desktop/Office System gibt es bereits gebraucht ab 100 Euro. Finanziell sollte sich das jeder leisten können. Ich praktiziere dies schon seit längerem und mag es nicht mehr missen (Test-Rechner, Arbeits-Rechner, Buchhaltungs-Rechner, Spiele-Rechner, etc.)

Da es ums "Spielen" geht, kannst du dir ja einen zusätzlichen Rechner zulegen und die sensiblen Sachen von den Spiele-Sachen trennen. Dann spielt es keine Rolle mehr, ob Windows spioniert oder nicht. Da dann auf dem Spiele-Rechner ohnehin nichts sensibles mehr zu finden ist.

Die Wx+Telemetrie funktioniert nicht bei Spielesoftware? ;D

Daten trennen kann aber ok sein..

@TS ohne Garantie: Hardware oder Linux-Kiste als Fw oder Stecker ziehen und nicht wieder reinstecken(NTFS).

oder so.. https://www.wz.de/politik/ausland/warum-moskau-auf-schreibmaschinen-setzt_aid-25388607

Was spricht dagegen, Windows ohne Internet zu nutzen?

Daß ich z.B. immer wieder mal was Nachrecheriere und mir dafür nicht nen NUC mit einem zweiten Monitor/Tasta hinstelle um soetwas zu tun.
Oder einen der bekloppten KVM-Switche kaufe, für meine geliebte USB-Maus, wie aber auch für meine ebenso geliebte PS/2 Cherry :wink:

Ich hab aber auch grad so ein Bauchgefühl, daß sich erklären warum die Heim-Workstation ins Netz dürfen soll, in einem Thread wo man sich über Firewalls schlau machen möchte, irgendwie nicht ganz OnT ist.

Erinnet so bisschen an diese "...um eine Glühbirne zu wechseln?" Story.

Wo ist der Vorteil von der EcoBox gegenüber einem wesentlich billigeren Raspberry Pi?
Also abgesehen von den 4 LAN Ports.
Ich denke mal solang man nicht 1 Gbit/s Internet hat, wäre das für den Anwensungsfall irrelevant ob der Netzwerk Durchsatz höher ist.

Ich tendiere aktuell eher zu pfSense. Muss mich noch ne Weile einlesen. Gibt es da Gegenstmmen?

Überleg grad wie lange ich irgendeinen gebrauchten 200er Poweredge für 150 mit 60W fahren muss, bis sich eine EcoBox mit ihren 10W, für 535€ amortisieren würde... :uponder: Das ist übelst viel Kohle.

Joar, Open-/pfsense (was ist da eigentlich grad der "Fork"-Stand? Sind die wieder vereint?) ist ne Alternative.

Btw, nur damit das nicht falsch rüberkam: Firewall+Virtualisierung ist grundsätzlich immer eine schlechte Idee. Und dabei ist es egal, ob die Firewall selber virtualisiert wird, oder die Firewall zur Virtualisierungsplattform gemacht wird und selber VMs hostet. Im Privatbereich denke ich ist das durchaus akzeptabel. Aber ich weiß gar nicht, ob das für dich jetzt relevant war, weil so wie ich den Thread verstanden hatte, ging es ja um Datenschutz und dafür ist das Thema Virtualisierung erstmal irrelevant.

Edit: Achso, zur Hardware. Das ist ja auch nurn Vorschlag von mir gewesen, wie ich das gemacht habe. Die Hardware ist halt einigermaßen leistungsstark, um auch zukünftige, höhere Datenübertragungsraten händeln zu können. IPS/Proxy können schon Leistung erfordern, wenn die Datenraten nach oben gehen.
Edit2: @fezie, ja es kommt eben auf Datenraten und eingesetzte Dienste auf der Firewall an. Meine Kiste ist für die Zukunft ausgelegt. Wenn der Provider morgen sagt, ich bekomm für meinen aktuellen Tarif mit 120Mb/s schnellere 400Mb/s, muss ich absolut gar nix machen :>.
Edit3: Wem Datenschutz wichtig ist, sollte sich auch um die DNS-Auslösung kümmern. Da hat IPFire mit DoT mittlerweile auch eine funktionierende Lösung. Weiß nicht, wie weit Open-/pfsense da ist.

Edit3: Wem Datenschutz wichtig ist, sollte sich auch um die DNS-Auslösung kümmern. Da hat IPFire mit DoT mittlerweile auch eine funktionierende Lösung. Weiß nicht, wie weit Open-/pfsense da ist.Ich glaub das ging da schon 2016 =)

ps:
Selbstverständlich vielen dank an alle ;) sich beteiliegenden, aber ich muss schon sagen, quantitativ ist die Beteiligung eigentlich erschreckend...

ps:
Selbstverständlich vielen dank an alle ;) sich beteiliegenden, aber ich muss schon sagen, quantitativ ist die Beteiligung eigentlich erschreckend...Nun, du bist halt was spät mit dem Win10-Umstieg, entweder haben's die Interessierten schon "stillgelegt" oder man interessiert sich generell nicht dafür. Ausserdem ist's Wochenende und man spielt Cyberpunk, guckt Netflix oder ist im Club der 3DCenter-Süchtigen unterwegs... *g*

@Dr.Doom
Du meinst mein Plan war doch nicht so ausgeklügelt, umzusteigen, wenn das ganze Thema längst erforschtes Gebiet ist und Infos diesbezüglich wie ein Regen auf mich runterprasseln sollten?

Oder meinst du das ist der typische Fall von "bei mir rennts nun und jetzt interessieren mich die gleiche Nöten anderer nicht mehr. Hauptsache es wurde damals mir geholfen"? :rolleyes:
Ja. Kann schon sein. Ist ja nur ein Forum :wink:

Ich glaub das ging da schon 2016 =)

ps:
Selbstverständlich vielen dank an alle ;) sich beteiliegenden, aber ich muss schon sagen, quantitativ ist die Beteiligung eigentlich erschreckend...


Naja, bevor ich solche komischen Verrenkungen mache nehme ich doch lieber ein relativ sicheres System für alles private und Win10 ist die pure Entertainment Kiste und wenn ich einen Porno kucke ist es mir Wurst ob MS das weiß oder nicht.

Von daher: Vielen ist es schlicht egal.

Und das Betriebssystem ist ja auch nur ein Punkt. Beim Browser und den Addons dafür muss man auch aufpassen, dass nicht alles an Russland oder sonst wohin gesendet wird

Ich nehme an ihr kennt das alle und alles. Oder ich bin sonst im völlig falschen Forum.
Erinnet so bisschen an diese "...um eine Glühbirne zu wechseln?" Story.
@Dr.Doom
Du meinst mein Plan war doch nicht so ausgeklügelt, umzusteigen, wenn das ganze Thema längst erforschtes Gebiet ist und Infos diesbezüglich wie ein Regen auf mich runterprasseln sollten?

Oder meinst du das ist der typische Fall von "bei mir rennts nun und jetzt interessieren mich die gleiche Nöten anderer nicht mehr. Hauptsache es wurde damals mir geholfen"? :rolleyes:
Ja. Kann schon sein. Ist ja nur ein Forum :wink:
Selbstverständlich vielen dank an alle ;) sich beteiliegenden, aber ich muss schon sagen, quantitativ ist die Beteiligung eigentlich erschreckend...
Ja, es liegt nämlich bestimmt nicht an deiner unterirdischen Art der Selbstbeweihräucherung kombiniert mit Publikumsbeschimpfung.

Die Rahmenbedingungen und Gedanken die man sich zu Alternativen gemacht hat nicht erwähen, dann aber Leute angehen, weil sie nicht wissen können, dass ungenannte Anforderungen und ein Fetisch für PS/2 Mäuse simple Alternativen ausscheiden lassen...

P.S: Da du recht allergisch auf Lösungsvorschläge reagierst, auf die du dich nicht schon von vorneherein fixiert hast, wird es dir wohl nicht viel helfen - aber falls jemand über diesen Thread stolpert hilft es demjenigen evtl:
Win10 am Router vom Internet abschneiden + Browser (z.B. von einem RPi 4) per X11 Forwarding (https://sourceforge.net/projects/xming/)/Remote Desktop/VNC/whatever aus dem Lokalen Netz nutzen.

Nein. Das wäre eine berechtigte Frage, wenn ich keine "Windows-spezifische" Software nutzen würde. Das tue ich aber.

Und die kann wirklich nicht in einer abgeschotteten VM laufen?

Ich frage nur nach, weil System XY + Windows in einer VM definitiv die elegantere Lösung ist als über eine Firewall einzelne IPs freizuschalten. IP-Adressen-Whitelists zu pflegen ist in einer Welt, in der das halbe Internet hinter AWS, Azure oder irgendwelchen CDNs hängt, nicht gerade sehr angenehm.

@#44 - 44
Leider fehlte ein brauchbarer Lösungsansatz dabei. Einfach nur Leuten hinterher kläffen, weil man glaubt eine nackte Wade zu erkennen... Aber ok. Jeder im Forum sucht sich seine Aufgabe selbst aus. Mach einfach weiter. Der Schein der wohl bitter notwendiogen "vollen Kontrolle" sei dir gegönnt :usweet:
Haupstsache du bist HIER fertig damit und spamst nicht weiter rum. Danke.

@lumines
1.
Könnte man das nicht erstmal mit einer Blacklist angehen? =)

2.
Würde das nicht allgemein Sinn machen sich (endlich) anzueigenen, die komplette Infrakstruktur zum Netz hin hinter pfSense packen zu können?
Da wäre Win10 Spionage nur noch ein Teilaspekt, aber nebenbei auch abgehandelt.

@#44 - 44
Leider fehlte ein brauchbarer Lösungsansatz dabei. Einfach nur Leuten hinterher kläffen, weil man glaubt eine nackte Wade zu erkennen... Aber ok. Jeder im Forum sucht sich seine Aufgabe selbst aus. Mach einfach weiter. Der Schein der wohl bitter "Kontrolle" sei dir gegönnt :usweet:
Haupstsache du bist HIER fertig damit und spamst nicht weiter rum. Danke.


Ist dir schon mal in den Sinn gekommen, dass es für deine Zwecke keinen brauchbaren Ansatz gibt?

Eventuell ist eine Lösung, gegen die Paranoia anzugehen, der bessere Ansatz.

Ansonsten kann ich #44 nur zustimmen. Der Ton macht die Musik.

Auf Wiedersehen!

Ist dir schon mal in den Sinn gekommen, dass es für deine Zwecke keinen brauchbaren Ansatz gibt?Das nicht, aber wenn mir das jemand vernünftig erklären könnte, würde ich bestimmt darüber nachdenken. Wurde das schon angesprochen, bis zum von dir zitiertem?

Eventuell ist eine Lösung, gegen die Paranoia anzugehen, der bessere Ansatz.

Ansonsten kann ich #44 nur zustimmen. Der Ton macht die Musik.Mir war schon klar, daß die Stimmung nicht die beste sein wird, wenn ich mit Datenprostitution für DX12 anfange... ;) Dachte nur, man steht hier irgendwie eher drüber als wenn der Thread auf PCGH laufen würde. Wohl falsch gedacht.

Aus Frust darüber (das kann ich vertehen) mal eben irgendeine Keule mit falschen Tönen herbeifantasieren und dann wegen angeblicher sozialer Inkompetenz den Thread mit Ausrufezeichen verlassen.
Sich moralisch zu erheben und dann wie eine Teeniegöre beim jeden Rausgehen die Tür zuknallen. Super :uup: Bei #44 ist das eh DIE Spezialität. Bei dir hätte ich eher gedacht, daß dies irgendein Fundament hat :usad:

Oh bitte... :rolleyes: Ja geht. Macht nur nicht immer soviel Tamtam drumherum. Sind wir mit dem Shice jetzt durch?

Könnte man das nicht erstmal mit einer Blacklist angehen? =)

Wenn dir der Begriff "Domain Fronting" noch nicht untergekommen ist, wirst du damit sehr wahrscheinlich schnell Bekanntschaft machen und irgendwann das Handtuch werfen, weil es dagegen keine praktikable Lösung auf Firewall-Ebene gibt.

Du kannst einzelne IPs oder Domains blocken, aber sehr wahrscheinlich wirst du damit zu viel blocken, weil nicht jede IP nur ein System ist und nicht jede Domain nur einen Dienst bereitstellt. Andersrum wirst du wahrscheinlich auch immer zu wenig blocken, weil z.B. Microsoft ihre Dienste auf einmal spontan hinter einer anderen Domain oder IP hosten kann, die du eventuell aus anderen Gründen freigegeben hast. Die ganze Lösung ist bestenfalls löchrig und im schlimmsten Fall komplett nutzlos.

Würde das nicht allgemein Sinn machen sich (endlich) anzueigenen, die komplette Infrakstruktur zum Netz hin hinter pfSense packen zu können?
Da wäre Win10 Spionage nur noch ein Teilaspekt, aber nebenbei auch abgehandelt.

Auf Layer 3 zu blocken riecht immer so ein bisschen nach einer Lösung für die 90er. Es ist wortwörtlich mehr Arbeit als ein Vollzeitjob und nicht einmal besonders erfolgsversprechend, weil man die Regeln immer weiter aufweichen muss, um es noch irgendwie praktikabel zu halten.

Du hast übrigens schon eine Firewall Richtung Internet. Praktisch jeder Consumer-Router muss für IPv4 NAT Connection Tracking durchführen und braucht dafür eine (stateful) Firewall. Eventuell willst du mehr Kontrolle über diese Firewall für ausgehende Verbindungen, aber hätte diese Firewall nur ein paar Stellschrauben mehr, wäre sie eigentlich schon vollkommen ausreichend.

Wenn du wirklich den Weg gehen willst und dir nicht einen kompletten x86-Rechner anschaffen willst, sind die Router von MikroTik eventuell eine Alternative. Im Grunde liefern die auch nur eine leichte Abstraktion über iptables und schnüren das in ein relativ stromsparendes Gesamtpaket mit MIPS, ARM, etc. SoCs. Viel mehr Features hat pfsense auch nicht, eventuell sogar weniger.

Aber so oder so, eine Isolation über einen Hypervisor in Kombination mit netzwerktechnisch stark abgeschotteten VMs ist deutlich einfacher sicher und datenschutzfreundlich zu managen, weil man eben nicht alle Anwendungen darüber laufen lässt, sondern nur das, was man unter Windows unbedingt laufen lassen muss. RAM ist billig und VMs liefern auch so ganz praktische Eigenschaften wie einfach zu erstellende Snapshots.

...
2.
Würde das nicht allgemein Sinn machen sich (endlich) anzueigenen, die komplette Infrakstruktur zum Netz hin hinter pfSense packen zu können?
Da wäre Win10 Spionage nur noch ein Teilaspekt, aber nebenbei auch abgehandelt.
Im Allgemeinen nicht, im Speziellen schon :>. Denn meinen Eltern oder Bekannten, die 0 Ahnung von IT haben, brauch ich keinen IPFire/*sense hinstellen, wenn ich diese nicht selber administrieren will.

Und lumines hat natürlich vollkommen recht, was das Blacklisting angeht.

Und wenn du die Firewall dicht machst (geschlossener Modus), musst du für jeden Kram, den du oder jemand anderes in deinem Netzwerk nutzen möchte, manuell freigeben, wenn die Software nicht proxy-tauglich ist. Das wird denk ich so einige Spiele und Kommunikationssoftware sein. Im Proxy musst du entsprechende Filterlisten einfügen - manuell (ein)gepflegte und/oder automatisiert aktualisierte wie die z.B. Shalla-List, die z.B. den ganzen Tracking-Telemetrie-Kram blockiert.

Geschlossener Modus ist leider eine Qual. Du brauchst ne VPN-Verbindung von einem deiner Clients zum Arbeitsnetzwerk? Du musst das erst freigeben. Du brauchst eine zweite Verbindung, die aber auf einem ganz anderen Port läuft? Musst du erst freigeben. Du willst dich auf nen Teamspeak-Server verbinden? Musst du erst freigeben. Du willst auf nen anderen TS-Server, der aber einen anderen Port nutzt? Musst du erst freigeben. Du willst ein Spiel spielen, dass aber eine direkte Verbindung zu seinen Spielservern über eine Portrange benötigt? Musst du erst recherchieren/analysieren, welche Ports/Protokolle/IP-Netze benutzt werden, und daaaaann? Richtig, freigeben :x.

Dein Regelwerk wird nach einigen Monaten immer länger werden. Daher hab ich mich nicht fürs Whitelisting (ala Kuketz) entschieden, sondern fürs Blacklisting.

Die Vorschläge mit den 2 getrennten Geräten, ist durchaus sinnvoll, wenn man die Möglichkeit dazu hat.

@Lumines
Wie oft hat MS für die Telemetrie irgendeine Art von domain fronting genutzt?
Andererseits, wie kann das geschehen, wenn man erstmal nicht sofort alles automatich updaten lässt? Wurde schonmal mit einem sehr schnellen critical security patch nebenbei auch etwas an den Telemetrie_"zielen" geändert?

Andersrum wirst du wahrscheinlich auch immer zu wenig blocken, weil z.B. Microsoft ihre Dienste auf einmal spontan hinter einer anderen Domain oder IP hosten kann, die du eventuell aus anderen Gründen freigegeben hast.Das ist klar möglich, aber erstmal noch sehr hypothetisch oder? :wink:
Andererseits, wie gesagt, muss so ein Update sich erstmal hinter der Firewall ausrollen. Da ich jetzt kein Studentenheim verwalte, halte ich das erstmal für überschaubar.

@qiller
Ich hatte grad das Gefühl das ist irgendwie durcheinander bei dir. Geschlossen = Whitelist und offen = Blacklist. Ist das richtig?

So ein Zeug wie *Sense oder IPfire, wozu nochmal sind solche Sachen gut? Warum nochmal nutzt du das?

@all
Ich hab erstmal damit gewartet, die Frage die ich aber nun doch nur bezüglich Win10 stellen möchte:
Kennt hier wirklich überhaupt niemand Blackbird? (getblackbird net)

@Lumines
Wie oft hat MS für die Telemetrie irgendeine Art von domain fronting genutzt?
Andererseits, wie kann das geschehen, wenn man erstmal nicht sofort automatich updaten lässt? Wurde schonmal mit einem sehr schnellen critical security patch dabei auch etwas an der Telemetrie geändert?

Die Domains, die Microsoft für die Telemetrie nutzt, sind auf jeden Fall irgendwie mit Windows Update verbundelt. Ich weiß darüber nicht viel, weil es mich auch nicht interessiert, aber das sind eben so Probleme, denen du früher oder später begegnen wirst.

Das ist klar möglich, aber erstmal noch sehr hypothetisch oder? :wink:

Eigentlich nicht. Es wird durch CDNs eher zur Regel als zur Ausnahme. Dir muss klar sein, dass du keine Kontrolle darüber hast, was sich hinter einer Domain oder IP so alles verbirgt.

Firewalls lassen sich geschlossen und halboffen betreiben. Offene Firewalls gibt es aus offensichtlichen Gründen nicht :wink:. Geschlossen ist denk ich klar. Weder ein- noch ausgehende Verbindungen werden zugelassen. Bei einer halboffenen Firewall werden nur eingehende Verbindungen standardmäßig blockiert, ausgehende sind zugelassen. IPFire o. die Windows Firewall ist so standardmäßig konfiguriert.

geschlossen:
mehr Sicherheit, mehr Administrationsaufwand, Zwangsproxy möglich (Clients können nur Verbindungen bis zur FW/Proxy aufbauen), für zusätzliche, ausgehende Verbindungen müssen extra Regeln erstellt werden

halboffen:
weniger Sicherheit, weniger Administrationsaufwand, Proxy optional/umgehbar, alle ausgehenden Verbindungen sind ohne Regelaufwand zugelassen

Den Proxy selber kann man dann wiederum entweder per White- oder Blacklisting betreiben - im halboffenen Modus ist der Proxy aber umgehbar. Ich denke viele Schulen werden sowas wie IPFire/*sense im geschlossenen Modus am laufen haben und nur Verbindungen zum Proxy zulassen. Da läuft dann sehr wahrscheinlich ne Blacklist für Pornos/Glücksspiel/Gore etc. Proxy-Whitelists machen eigt. nur in Spezialfällen Sinn, z.B. für ne Art Kioskmodus oder so. Für normale Rechner, mit denen man das große weite Internet erreichen will, ist das indiskutabel.

@qiller
Jetzt außer der noch anstehenden Antwort auf die Frage warum du denn eine HW-Fw nutzt:

Darf ich das mittlerweile so verstehen, daß du der einzige auf 3DC bist der soetwas in sein Netzwerk eingebunden hat?

@lumines
Früher hätte ich gesagt, daß schonmal jeder der freien WLAN bereitstellt (Kaffees & Co.) so ein Teil kurz nach der Anschlussdose nutzt. Mittlerweile bin ich mir unsicher. Es scheint, so eine Kiste macht nur sehr wenig Sinn.

Google erzählt mir grad, auf CB gibt es 4190 Treffer zu pfsense. 3510 auf Luxx. Ich schau mich mal in den nächsten Tagen bisschen um warum die sich mit so einem Blödsinn überhaupt beschäftigen. Das ist ja irre...

@qiller
Jetzt außer der noch anstehenden Antwort auf die Frage warum du denn eine HW-Fw nutzt:

Darf ich das mittlerweile so verstehen, daß du der einzige auf 3DC bist der soetwas in sein Netzwerk eingebunden hat?
...
IPS, Proxy mit Filter, DoT mit mehreren Resolvern, DNSSec validierender Resolver, OpenVPN, IPSec/IKEv2, umfangreiche DHCP-Konfiguration, echte, geroutete DMZ (nicht diesen "exposed Host"-Müll), QoS ... (bestimmt noch was vergessen) sind die Feature, die son Heimrouter nicht bietet.

Aber ich kann verstehen, dass man ne HW-FW erstmal als unnütz ansieht. Wenn du dein Windows allerdings wirklich zum "Schweigen" bringen willst, bleibt dir gar keine andere Wahl, als eine HW-FW im geschlossenen Modus und Zwangsproxy+Blocklisten. Außer du deaktivierst alle Netzwerkschnittstellen in deinem Windows-Rechner, aber ich denke, das ist keine Option :wink:.

@qiller
Gemach. Das war nur bisschen Sarkasmus Richtung Lumines ;)

Und danke. Ich schätze wir werden uns noch paar mal unterhalten nächste Woche, falls du magst :redface:

Bis denne.

ps:
Läuft ALLES auf einer Kiste bei dir und wird alles erwähnte komplett von IPfire erledigt?

Naja die "Standardsachen" wie Routing, WLAN (IPFire unterstützt jetzt auch WPA3), NAT, SPI Firewall, statische Routen, DNS-Forwarding, Zeitserver... hab ich jetzt nicht aufgezählt, weil die teilweise ja auch die Homerouter können. Gibt ja auch viele Dinge, die IPFire von haus aus nicht kann (denke da an IPv6, ans IPTV der Telekom, was man wohl erst fummlig per IGMP-Proxy einrichten muss oder Heimautomation, was ja bei der FB mittlerweile drin ist). Gibt aber auch einige Addons, die die Funktionalität erweitern. Man kann das natürlich noch alles weiterspinnen: NAS, VM-Host, Mediaserver, Nextcloud... Denke bei *sense wird das ähnlich sein (naja, IPv6 wird *sense schon länger können, kommt bei IPFire wohl erst mit Version 3).

Aber rein sicherheitstechnisch haben solche Zusatz-Dienste auf ner HW-Firewall nix mehr verloren.

Früher hätte ich gesagt, daß schonmal jeder der freien WLAN bereitstellt (Kaffees & Co.) so ein Teil kurz nach der Anschlussdose nutzt. Mittlerweile bin ich mir unsicher. Es scheint, so eine Kiste macht nur sehr wenig Sinn.

Nun, es gibt unterschiedliche Gründe, warum man das macht. Liability- und Compliance-Gründe haben nicht immer etwas mit Sicherheit oder Datenschutz zu tun.

Google erzählt mir grad, auf CB gibt es 4190 Treffer zu pfsense. 3510 auf Luxx. Ich schau mich mal in den nächsten Tagen bisschen um warum die sich mit so einem Blödsinn überhaupt beschäftigen. Das ist ja irre...

Wahrscheinlich aus dem gleichen Grund, warum ich mich damit beschäftige. Jemand bezahlt dafür.

Nun, es gibt unterschiedliche Gründe, warum man das macht. Liability- und Compliance-Gründe haben nicht immer etwas mit Sicherheit oder Datenschutz zu tun.Ah naja... Mittlerweile, nach Blackbird, paar Unterhaltungen später mit StevenBlack, paar Packages weiter, u.a. pfBlockerNG... Es geht schon :wink:

Nachjustierung findet zwar weiterhin statt, aber der Aufwand sinkt jetzt schon.

Es ist zwar nicht gleich "white Net", aber schon eine andere Welt.
Daß hier nicht jeder Shice mit meinen Daten rumhausiert oder auch nur nach Updates sucht wo ich keine will oder nur selbst nachschauen und entscheiden möchte (Qnap, Synology) was passiert, schon alleine das beruhigt die Seele :tongue:

Und halt das SpielzeugOS, das endlich sein Maul zugehalten bekommen hat.