Moin .*
mal ganz abgesehen von Backups, die man sowieso haben sollte: Wie sichert ihr eure Oldies bzw. euer Oldie-Netzwerk (Extra-Subnet) gegen WasAuchImmer ab, wenn man mal Testweise mit einem alten Netscape Navigator im Netz schnueffeln will? Am besten sein lassen, ist klar. Ich will aber mal 
Als Beispiel sei ein DEC/OSF 3.2 genannt. Das ist ja aus heutiger Sicht so loechrig wie ein Schweizer Kaese.
So als erste Idee: Wie wärs mit einem Proxy?
Gegen was denn absichern? Schadsoftware? Also irgendwelche Viren oder Trojaner, die man sich heutzutage einfangen kann, sollten nicht mehr auf den alten Kisten laufen. Für den Vorschlag von Toast_r wäre eine kleine Bastelplatine wie der Raspberry Pi geeignet https://www.bytebee.de/raspberry-proxy-server/
wenn man absolut sicher gehen will.
Also wenn ich mit meinen Oldies mal für eine halbe Stunde ins Netz gehe, sichere ich gar nichts ab.
Bin ich leichtsinnig?
Proxy? Ist das eine Antivirus-Appliance von Symantec, McAfee, etc. , die täglich für die Proxy-Funktion neue Virenpattern zieht, und so die alten Schätze genau wie das moderne Gelumps schützt? Als Privatperson kann man sich sowas eigentlich nicht leisten. Ob man sowas auf Basis von Squid und ClamAv selber bauen kann, und das dann genauso gut/sicher ist, entzieht sich meiner Kenntnis.
Wahrscheinlich ist es besser, wenn man da Befürchtungen hat, die alten Schätze hinter einen Router in ein eigenes Netz zu packen, das hilft aber nur, die alten Schätze vor den modernen PCs zu schützen. Die alten Schätze können dann immer noch alle IPs im übergeordneten Netz, in dem die modernen PCs stecken, ansprechen, es sei denn der Router lässt da irgendwie ein Regelwerk zu, dass man nur noch Zugriffe auf den Internet-Router zulässt.
Wenn man einen VLAN-fähigen InternetRouter hat, kann man das auch darüber realisieren.
Oder man macht es umgekehrt, und packt das moderne Gelumps hinter den zweiten Router. Das ist dann für die Oldtimer nicht mehr erreichbar.
Eine weitere Variante wäre die Gäste-WLAN-Funktion mancher Router, man braucht dann nur eine WLAN-Bridge/Range-Extender, die man an dieses WLAN koppelt. Mindestens von NetGear gibt es solche Range-Extender, die auch Netzwerkports haben, an die man dann die alten Schätze andockt. (Der NetGer Range-Extender braucht ab und zu einen Neustart, sonst baut er keine Verbindung mehr auf.)
Oldtimer -> Interner Router -> Netz mit modernem Gelumps -> Internet Router -> Internet
Oldtimer -> VLAN 1 \
Modern -> VLAN 2 -> Internet-Router -> Internet
Modern -> Interner Router -> Oldtimer-DMZ -> Internet Router -> Internet
Oldtimer -> Range-Extender -> Gäste-WLAN -> Internet Router -> Internet
Alles davon hat seinen Charme, und seine Nachteile.
Man kann sich aber auch fragen, ob ein DEC/OSF 3.2 mit einem alten Netscape Navigator überhaupt noch im Fokus von Hackern / Schädlichen Webseiten ist. Vielleicht ist so ein System durch sein Alter daher sogar "sicherer" als wie wenn du auf einem Linuxwindows mit Firefox 70 rumsurfst.
Eine andere Sache wäre aber noch, einen PiHole als DNS hinzustellen, der filtert auf IP-Adress-Ebene Server mit bekannten schädliche Seiten und lästige Werbung raus. Auch das ist kein 100% Schutz, aber sicher das einfachste ohne das Netz allzusehr umzubauen. Auch in Kombination mit obigen Ideen kombinierbar.
PiHole ist eine idee. Oder schau Dir unter http://www.endian.com und dort unter Community/Download mal die UTM Softwareappliance an.
Die allermeiste Malware "in the wild" setzt aber mindestens Windows XP oder Windows 7 voraus und einen Intelprozessor. Schon der Prozessor in deiner DEC ist der beste Virenschutz. Dein Windows PC mit höchstens tagesaktuellen AV Signaturen ist durch Zero Day Exploits deutlich mehr gefährdet.
PiHole ist "nur" für's Blockieren von Werbung gedacht, wenn auch dafür richtig gut.
Du kannst aber PiHole mit einem http/https-Proxy (wie "squid" bspw.) kombinieren, die durch den Proxy heruntergeladenen Dateien dann via ClamAV auch auf dem Raspberry scannen, bevor Du die für's downloaden freigibst. Du kannst auch generell den DNS von Quad9 benutzen, viele Command&Control Bot-Netze werden da schon ausgefiltert.
Schade das auf dem Raspberry keine Sandbox für Malware laufen kann. Da brauchst Du einen Rechner mit Virtualisierungstechnik ausgestatteten Intel-CPU, um so was laufen zu lassen.
Auch wenn ich denke, dass die meiste heutige Malware auf alten Rechnern nicht läuft, heisst das nicht, dass besonders alte PCs mit Windows 95 bspw. nicht angreifbar sind (denk' mal an "Ping of Death" bspw.). Lediglich non-Intel Hardware sollte sicher sein, ein altes Linux auf einer alten Intel-CPU ist auch ein beliebtes Ziel, nicht nur Windows.
Auch wenn ich denke, dass die meiste heutige Malware auf alten Rechnern nicht läuft, heisst das nicht, dass besonders alte PCs mit Windows 95 bspw. nicht angreifbar sind (denk' mal an "Ping of Death" bspw.). Lediglich non-Intel Hardware sollte sicher sein, ein altes Linux auf einer alten Intel-CPU ist auch ein beliebtes Ziel, nicht nur Windows.
Prinzipiell hast Du Recht. Allerdings bildet ein DSL Router mit der Standardeinstellung IP Masqerading nach draußen und Blocken aller eingehenden Verbindungen schon eine deutliche Risikoreduktion. Ein Ping of Death aus dem Internet wird am DSL Router scheitern, ebenso wie alle anderen Würmer, die direkt auf einen Rechner hinter dem Router wollen. Die sind schlicht nicht exponiert.
Anders sieht es mit Malware auf Ebene der Anwendungen aus- wenn etwas auf eine lange vorhandene Netscape-Schwachstelle zielt, kann man sich bei Besuch einer entsprechenden Webseite schon etwas einfangen. Voraussetzung ist natürlich, dass der Code dann auf der CPU oder dem Scriptinterpreter läuft. Altes Java oder JavaScript stellt ein Risiko dar. Die organisierte Kriminalität wird aber kaum in die Suche nach einem m68k- oder RM- Assemblerprogrammierer investieren, um eine Ramsomware für einen alten Mac oder eine DEC OSF oder VMS Maschine zu programmieren. Der Return-of-invest ist einach zu gering. Auch Kriminelle müssen ökonomisch denken... .
In freier Wildbahn wirst Du aber eher moderne 32- oder 64 BIt Windowsschädlinge finden. Alte Malware aktiv zu verbreiten, ist einfach kein lukratives Geschäft. Die können höchstens auf alten Webseiten lauern. Mehr Angst habe ich vor Link-Viren in Downloads auf alten Softwaresammlungen. Mich wundert ehrlich gesagt, dass es dort nicht mehr Berichte über antike Schadsoftware in alten ZIP Files gibt. Wurden die früher oder werden die heute so gut gescannt?
Gruß- Georg B.
Ich nutze:
glasfaser <-> Fritzbox <-> UTM9 <-> internes Netz
Die UTM9 Software läuft auf einem Shuttle DS47 und ist für den Privatanwender frei, wobei natürlich einige Bereiche der Software gespeert bleiben.
Das EOL DS47 hat 2 Netzwerkschnittstellen, die 3. habe ich per USB NIC angebunden.
https://www.sophos.com/de-de/p…hos-utm-home-edition.aspx
Dokumentation - für UTM bitte runterscrollen
https://www.sophos.com/de-de/s…entation/sophos-utm.aspx#
Das Dashboard der UTM9 zeigt in rot für den Homeanwender gesperrte und auch erlaubte aber deaktivierte Module an.
PiHole nutze ich auch - zum Leidwesen meiner Frau - ich muss ab und zu Seiten auf die weisse oder schwarze Liste setzen.
Pihole läuft im Keller auf einer weiteren DS47 - deren Samba ist für WIN3.1 und OS/2 erreichbar und eingerichtet.
Endian hatte ich auch mal getestet, bin aber dann wegen Stabilität und dem Funktionsumfang bei Sophos geblieben.
Absichern gegen Viren oder Hacker... Wer hackt den schon einen Dos-Rechner. Ich habe eher die Modernen Rechner abgesichert hinter einer OpenWRT Firewall.
Internet <> Fritzbox <> "Externes Netz" <> OpenWRT <> "Internes Netz"
Im "Internen Netz" sind sämtliche Rechner von alt bis neu und das NAS. Im "Externen Netz" befinden sich die Dinger wo ich weniger vertrauen zu habe, z.B. die Android Handys und alles was mit WLAN zu tun hat (das interne hat keinen AP). Und die IoT Dinger sind da auch noch drin, wie die Heizung und das Pioneer N-50.
Roman78 Dir ist schon klar, dass eine Router-Firewall keine Application Gateway FW ist, also sich einen Schei.. um den Inhalt kümmert, was da an Dateien übertragen wird, oder ob ein Protokoll missbraucht wird, die Protokoll-Standards also eingehalten werden usw. - Angriffe via Netzwerk sehen aber meist so aus. Und ob man mit einem alten Rechner (nicht DOS, aber bspw. Windows 98 oder eben mit einer historische Unix/Linux Version) dann doch auch mal einen Browser benutzt, oder alte Programme von Abandonware-Sites herunterlädt, entpackt und ausführt, hast Du ja auch nicht gesagt. Oder ob Du mal einen News- oder Mailclient ausprobieren willst.
Das Problem ist, wenn Du Kommunikation in einer Firewall erlaubst, und wenn es nur ein Port ist, dann kann genau über diesen Weg auch was passieren. Shit happens, you know... und übrigens - selbst Firewalls haben ab und an ein Fehler in der Firmware/Software und man kann dann die Firewall austricksen.
Außerdem ist es generell - also auch bei Nutzung von neuen Rechnern - sinnvoll, nur ausgehenden Netzwerkverkehr zu erlauben, nicht jedoch eingehenden.
Ich arbeite als IT Security Manager schon seit vielen Jahren in einem großen Konzern, und ich sage Dir, es passiert alles Undenkbare irgendwann doch.
Die größte Viren-Gefahr geht von den Disketten und Festplatten aus, die ich mit alten DOS-Rechnern bekomme.
Ich hatte schon mehrfach verseuchte PC's sowie Disketten hier.
Seit dem scanne ich alle Neuerwerbungen erst mal mit MSAV und F-Prot (der läuft aber erst ab 386er).
An so etwas denkt man erst mal gar nicht 
PS: Die Virendefinitionen sind zwar Mitte-Ende der 90er stehen geblieben, aber das langt bei den alten Kisten.
PS2: Bei F-Prot muss man das Systemdatum zurückstellen, da er sonst meckert das die Definitionen zu alt sind und den Dienst verweigert 
PS2: Bei F-Prot muss man das Systemdatum zurückstellen, da er sonst meckert das die Definitionen zu alt sind und den Dienst verweigert
c:\tools\av\fprotdos\f-prot /old
/OLD Do not complain when using outdated DEF files.
Usage: F-PROT [drive, file or directory] [options]
If a drive, file or directory is given, F-PROT will enter command-line
mode, unless the /INTER option is given as well.
/AI Enable neural-network virus detection.
/APPEND Append to existing report file.
/ARCHIVE=n Scan inside archives (n levels deep)
/AUTO Automatic virus removal.
/BEEP Beep when a virus is found.
/CDROM Scan any attached CD-ROM drives.
/COLLECT Scan a virus collection.
/DELETE Delete infected files.
/DISINF Disinfect whenever possible.
/DUMB Do a "dumb" scan of all files.
/EXT Scan only files with default extensions.
/FREEZE "Freeze" the program if a virus is found.
/HARD Scan the hard disk(s).
/HELP Display this list.
/INTER Force interactive mode.
/LIST List all files checked.
/LOADDEF Load DEF files from a floppy.
/NET Scan network directories mapped to a drive.
/NOBOOT Do not scan boot sectors.
/NOBREAK Do not abort scan if ESC is pressed.
/NOFILE Do not scan files.
/NOFLOPPY For use on system without floppy drives.
/NOHEUR Disable heuristics.
/NOLFN Disable long file name support.
/NOMEM Do not scan memory for viruses.
/NOSUB Do not scan subdirectories.
########################################
/OLD Do not complain when using outdated DEF files.
#########################################
/ONLYHEUR Only use heuristics, not "normal" scanning.
/PACKED Unpack compressed executables.
/RENAME Rename infected COM/EXE files to VOM/VXE.
/REPORT= Send the output to a file.
/SERVER Activate mail filter heuristics.
/TYPE Select files by type. (default)
/VIRLIST List the known viruses.
/VIRNO Count the known viruses.
/WRAP Wrap text so the report fits in 78 columns.
Special options for command-line mode:
/PAGE Pause after each page.
/SILENT Do not generate any screen output.
Special macro virus options:
/NOMACRO Do not scan for macro viruses.
/ONLYMACRO Only scan for macro viruses.
/REMOVEALL Remove all macros from all documents.
/REMOVENEW Remove new variants of macro viruses byremoving all macros from infected documents.
/SAFEREMOVE Remove all macros from documents, if a knownvirus is found.
PS2: Bei F-Prot muss man das Systemdatum zurückstellen, da er sonst meckert das die Definitionen zu alt sind und den Dienst verweigert
c:\tools\av\fprotdos\f-prot /old
Danke, funktioniert.
