Wie blockiere ich TIKTOK?

[plumpsack]

Nicht "direkt" Firewall aber vielleicht hat jemand eine Idee.

Laut whois benutzt tiktok.com

Name Server via AWS -> *AWSDNS*.*

Leider bringt mir das nichts, da mein ISP das über seine DNS-Server via AKAMAI laufen lässt.

AKAMAI ist bis jetzt nicht auffällig geworden.

Aber ich möchte ungern AKAMAI via meinem ISP (direkter IP-Adress-Block) "freien" Zugang gewähren.

Ist das noch jemandem aufgefallen?

Wenn ja, wie blockiert ihr TikTok?

Nur via DNS-Filter oder auch via IP-Adressen?

Bei den IP-Adressen - welche?

Danke schon einmal für eure Informationen.

[cmx]

Hi

Ich habe für solche Fälle im Netzwerk ein Resolver (unbound) welcher eine DNSBL aus verschiedenen Quellen einbindet. Unter anderen diese:
https://raw.githubusercontent.com/Steve ... cial/hosts . Dort ist auch TikTok gelistet. Die Blocklisten nutze ich hauptsächlich um Ads, Tracker und Co. wegzufiltern. Aber dafür könnte man es auch verwenden, sofern der Anwender keine eigenen DNS Server eintragen kann und so...

Gruß

[plumpsack]

@cmx

Danke für deine Antwort.

Die Liste kann man verkürzt auch ganz komfortabel mit dem DNS-Filter im Lancom realisieren.

Lancom DNS-Filter:

01 *tiktok*.*
02 *musical.*
03 *tiktok*.akamai*.* # = 01?

Aber das sind nur DNS-Filter - was bringt dir das?

Eigentlich nichts - du du blockierst nur den ausgehenden Traffic auf diese "Domänen"!

Was wenn die IP-Adressen von TikTok nicht mehr auf AWS (Amazon) IP-Adressen laufen, sondern auf Akamai-IP-Adressen und dann diese "Akamai-IP-Adressen" nicht mehr auf Akamai laufen, sondern beim "eigenen" ISP liegen?

Das ist doch gruselig!

Mach mal einen Ping auf www.tiktok.com

Da bekommst du ja eine IP-Adresse zurückgeliefert.

Mach jetzt mal ein "whois" auf die IP-Adresse.

Zu wem gehört die IP-Adresse?

A) Amazon Web Services - AWS
B) Akamai Technologies
oder
C) deinem ISP

[cmx]

Hi

Mein Resolver liefert zu den in der DNSBL gelisteten Domain immer ein 0.0.0.0 zurück und verhindert damit erfolgreich die Verbindung zu der Domain. Ein Ping oder anderes Werkzeug löst ebenso die Domain vorher über diesen Resolver auf und geht damit ins Leere. Da ist es unerheblich welche IP Adressen sich eigentlich hinter der Domain befinden. Das ist genau das was Du möchtest.

Es hat jedoch - wie angemerkt - Grenzen: ändern des DNS Eintrags auf dem Client, eine Applikation welche anderweitig die IPs Adressen auflöst oder beispielsweise ein VPN Tunnel. Wenn die IP bekannt ist, dann ist die Lösung raus. Klar.

Gruß,
cmx

[plumpsack]

Da ist es unerheblich welche IP Adressen sich eigentlich hinter der Domain befinden. Das ist genau das was Du möchtest.

Eben nicht!

Ich empfinde es als "bedenklich" wenn das Reply des Pings u.A. von einer IP-Adresse meines eigenen ISPs erfolgt!

[cmx]

Hi

Du übersiehst einen Schritt: damit das Ping ein Reply von einem Host bei deinem Provider erhält, muss es die IP erstmal auflösen. Genau das verhindert die DNSBL. Es wird immer zu 0.0.0.0 aufgelöst.

Gruß
cmx

[GrandDixence]

Akamai ist einer der grössten CDN.
https://de.wikipedia.org/wiki/Akamai

Wir leben im Zeitalter von CDN. Hier wäre es angebracht, sich zu informieren, was CDN (Content Delivery Network) ist und wie CDN funktioniert.
https://de.wikipedia.org/wiki/Content_Delivery_Network

https://www.heise.de/select/ct/2021/18/ ... 0112019762

Server vom CDN können aus Performancegründen sehr wohl direkt beim Internetanschlussanbieter (ISP) stationiert sein.

Zugriff auf Tiktok mit den Angaben unter:
fragen-zum-thema-firewall-f15/schulnetz ... 18890.html
verhindern.

[cmx]

Hi

Das stelle ich auch nicht in Abrede, dass ein CDN benutzt wird oder die Server verteilt sind. Aber wie soll die App bzw. der Benutzer auf die Server zugreifen, wenn die Namensauflösung schon (bewusst) fehlschlägt?

Gruß

[sixty]

Redet Ihr noch vom selben Thema? Der Betreff lautet "Wie blockiere ich TIKTOK?"
Wieso soll die App dann auf TikTok zugreifen können?
Gut es gibt verschiedene Arten, wie Apps mit dieser Situation umgehen.
Manche sagen einfach "Kein Internen" und schließen sich. Manche werfen mit Fehlermeldungen für jede URL um sich.
Und manche frieren einfach ein. Der vom OP gewünschte Lerneffekt dürfte in allen Fällen eintreten.

[plumpsack]

Wir leben im Zeitalter von CDN. Hier wäre es angebracht, sich zu informieren, was CDN (Content Delivery Network) ist und wie CDN funktioniert.
https://de.wikipedia.org/wiki/Content_Delivery_Network

Hattest du selbst gelesen was da steht?

Nachteile

Mehr Einfallstore für Hacker: Das Thema Sicherheit von CDNs ist ein kritischer Punkt. Replika-Server schützen an sich den Ursprungsserver vor Angriffen, andererseits gibt es aber auch mehr Einfallstore für Hacker, weswegen die Unternehmen gerade bei sensiblen Daten besonders vorsichtig sein müssen.

Kontrollverlust: Nachdem sich die Daten nicht mehr nur auf dem eigenen Server, sondern auch auf mehreren Replika-Servern befinden, führt ein CDN auch zu einem gewissen Kontrollverlust.

Auch "Schrems II" ist da sehr interessant zum Thema CDN.

[plumpsack]

Aber wie soll die App bzw. der Benutzer auf die Server zugreifen, wenn die Namensauflösung schon (bewusst) fehlschlägt?

Warum Namensauflösung wenn es sich um ein IP-Netzwerk handelt?

Habe ich da etwas falsch verstanden wenn es sich um IP-basierende Netzwerke handelt?

IP liegt doch unter DNS, oder hat sich da etwas geändert?

[plumpsack]

Das ist doch gruselig!

https://www.heise.de/newsticker/meldung ... 03297.html

CDN = Netzneutralität ausgehebelt.
CDN = Big Firewall.

CDN - Content Delivery Network ist einfach an mir vorbeigelaufen - sorry!

Was ist das für ein Scheiß im Zeitalter des High Speed Network.

Alles läuft nur noch über Proxy-Server, deren Inhalt nicht mehr kontrolliert werden kann?


Kein Wunder das der Chrome-Browser z.Zt. so oft abka** / upgedated wird.