Metainformationen zur Seite
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
sysbetr:proxy [2019/06/30 17:36] – [Idee Proxy] cb | sysbetr:proxy [2020/04/06 17:45] – [Test] cb | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====Proxy==== | + | =====Proxy===== |
- | ===Problem=== | + | ====Problem==== |
Gerade an Schulen muss man aus rechtlichen und pädagogischen Gründen den Internetzugang beschränken. | Gerade an Schulen muss man aus rechtlichen und pädagogischen Gründen den Internetzugang beschränken. | ||
- | Schüler | + | Schulkinder |
- | ** Dieser Text liefert nur einen Überblick | + | ==Grenzen== |
- | ===Idee IP=== | + | Da die meisten Schulkinder inzwischen mit internetfähigen Smartphones mit ausreichender Flatrate ausgestattet sind, sollte man den Filteraspekt nicht überbewerten. Es geht mehr um unsere rechtliche Absicherung |
+ | ====1. Idee IP-Port-Filter + DNS-Filter ==== | ||
Man kann mit einer Firewall den IP-Traffic selbst einschränken, | Man kann mit einer Firewall den IP-Traffic selbst einschränken, | ||
**Nachteil / Grenzen:** | **Nachteil / Grenzen:** | ||
- | Leider ist der DNS-Filter umgehbar (spätestens mit einer lokalen Hosts-Datei) und wird in Zukunft durch DNS over irgendwas gezielt ausgehebelt - mit der nachvollziehbaren Absicht Zensur zu verhindern. | + | Leider ist der DNS-Filter |
- | ===Idee Proxy=== | + | Da die Zuordnung DNS-Name <--> IP-Adresse nicht bijektiv |
- | Ein Proxy ist eine Application-Firewall, | + | |
- | Da die Software den Proxy um die Daten vom Zielserver bitten muss, kann man die Zugriffe nach diesen Hostnamen steuern. Für Grundschulen: | + | ====2. Idee Proxy==== |
+ | Ein Proxy ist eine Application-Firewall, | ||
+ | |||
+ | Da die Software den Proxy um die Daten vom Zielserver bitten muss, kann man die Zugriffe nach diesen Hostnamen steuern. Dies erledigt für den beliebtesten Proxy Squid bei uns die Erweiterung squidGuard. Für Grundschulen | ||
+ | |||
+ | (Für uns Zukunft: Bei OPNsense werden aus Filterlisten ACL (Regeln für Squid) generiert.) | ||
**Einschränkungen: | **Einschränkungen: | ||
- | Die früher gebräuchlichen URL-Filter werden mit dem bald omnipräsenten HTTPS wirkungslos. Man sollte der Verführung widerstehen einen Man-in-the-Middle-Proxy mit Aufbrechen der HTTPS-Verschlüsselung zu verwenden, der dann auch Inhalte prüfen kann. Damit sind alle Geräte, welche man dazu mit einem Zertifikat geimpft hat, nicht mehr vertrauenswürdig für ernsthaft verschlüsselte Verbindungen. Man darf also diese Rechner nicht mehr für Onlinebanking oder den Zugriff auf Webmails verwenden. | + | Die früher gebräuchlichen URL-Filter werden mit dem bald omnipräsenten HTTPS wirkungslos. Man sollte der Verführung widerstehen einen Man-in-the-Middle-Proxy mit Aufbrechen der HTTPS-Verschlüsselung zu verwenden, der dann auch Inhalte prüfen kann. Damit sind alle Geräte, welche man dazu mit einem Zertifikat geimpft hat, nicht mehr vertrauenswürdig für ernsthaft verschlüsselte Verbindungen. Man darf also diese Rechner nicht mehr für Onlinebanking oder den Zugriff auf Webmails verwenden. Damit ist gerade BYOD nicht mehr mit gutem Gewissen zu empfehlen. |
- | ===Realisation=== | + | ====Realisierung==== |
Eine physikalische oder virtuelle Maschine wird zum Proxy ernannt. Sie benötigt i.d.R. zwei Netzwerkanschlüsse: | Eine physikalische oder virtuelle Maschine wird zum Proxy ernannt. Sie benötigt i.d.R. zwei Netzwerkanschlüsse: | ||
1. Installation eines geeigneten Systems | 1. Installation eines geeigneten Systems | ||
- | * Wähle selbst: z.B. Debian | + | * Wähle selbst: z.B. Debian |
+ | * Kein IP-Forwarding (zumindest nicht für Webtraffic) | ||
2. Installiere Squid | 2. Installiere Squid | ||
- | * apt get install squid | + | * apt get install squid bzw. Aktivieren des Services |
3. Konfiguriere Squid | 3. Konfiguriere Squid | ||
*In den ACL müssen die internen Netze als legale User freigegeben werden | *In den ACL müssen die internen Netze als legale User freigegeben werden | ||
*Test sofort... | *Test sofort... | ||
- | 4. Installiere squidGuard | + | 4. Installiere squidGuard |
- | | + | |
5. Konfiguriere automatischen Download der Listen | 5. Konfiguriere automatischen Download der Listen | ||
- | ===Test=== | + | ====Test==== |
* teste legitime und nicht-legitime Seiten | * teste legitime und nicht-legitime Seiten | ||
* verfolge die Zugriffe auch in den Logfiles | * verfolge die Zugriffe auch in den Logfiles | ||
+ | {{tag> |