Metainformationen zur Seite
  •  

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
sysbetr:proxy [2019/07/21 13:52] cbsysbetr:proxy [2020/04/06 17:45] – [Test] cb
Zeile 3: Zeile 3:
 Gerade an Schulen muss man aus rechtlichen und pädagogischen Gründen den Internetzugang beschränken. Gerade an Schulen muss man aus rechtlichen und pädagogischen Gründen den Internetzugang beschränken.
  
-Schüler sollen nicht auf "böse Seiten" kommen und sie sollen keine illegalen Uploads (bittorrent usw.) durchführen können. +Schulkinder sollen zu ihrem Schutz nicht auf "böse Seiten" kommen und sie sollen zum Schutz der Schule keine illegalen Uploads (bittorrent usw.) durchführen können. 
  
-====Idee IP-Port-Filter + DNS-Filter ====+==Grenzen== 
 +Da die meisten Schulkinder inzwischen mit internetfähigen Smartphones mit ausreichender Flatrate ausgestattet sind, sollte man den Filteraspekt nicht überbewerten. Es geht mehr um unsere rechtliche Absicherung und Verhindern, dass Schüler ungewollt "böse Seiten" sehen. 
 +====1. Idee IP-Port-Filter + DNS-Filter ====
 Man kann mit einer Firewall den IP-Traffic selbst einschränken, in dem man nur die Zielports 80 und 443 erlaubt und außerdem per DNS-Filterung die "bösen Seiten" unauffindbar macht. Man kann mit einer Firewall den IP-Traffic selbst einschränken, in dem man nur die Zielports 80 und 443 erlaubt und außerdem per DNS-Filterung die "bösen Seiten" unauffindbar macht.
  
 **Nachteil / Grenzen:** **Nachteil / Grenzen:**
  
-Leider ist der DNS-Filter einfach umgehbar (spätestens mit einer lokalen Hosts-Datei) und wird in naher Zukunft durch DNS over irgendwas (([[https://de.wikipedia.org/wiki/DNS_over_HTTPS|DoH]] [[https://de.wikipedia.org/wiki/DNS_over_TLS|DoT]])) gezielt ausgehebelt - mit der nachvollziehbaren Absicht Zensur zu verhindern.+Leider ist der DNS-Filter einfach umgehbar (spätestens mit einer lokalen Hosts-Datei) und wird in naher Zukunft durch DNS over irgendwas (([[https://de.wikipedia.org/wiki/DNS_over_HTTPS|DoH]] [[https://de.wikipedia.org/wiki/DNS_over_TLS|DoT]])) gezielt ausgehebelt - mit der grundsätzlich nachvollziehbaren Absicht Zensur zu verhindern und der wirtschaftlichen Absicht Adblocker per DNS zu verhindern.
  
-Da die Zuordnung DNS-Name <--> IP-Adresse nicht bijektiv ((ein Hostname kann auf mehrere IP-Adressen zeigen, eine IP-Adresse kann Dienste für mehrere Hostnamen anbieten)) ist, ist eine Adressfilterung auf Grundlage von DNS-Filterlisten sinnlos bzw. führt zu vielen Falsch-Positiven.+Da die Zuordnung DNS-Name <--> IP-Adresse nicht bijektiv ((ein Hostname kann auf mehrere IP-Adressen zeigen, eine IP-Adresse kann Dienste für mehrere Hostnamen anbieten)) ist, wäre eine von den Listen zu sperrender Hostnamen abgeleitete IP-Adressfilterung sinnlos bzw. führt zu vielen Falsch-Positiven.
  
-====Idee Proxy==== +====2. Idee Proxy==== 
-Ein Proxy ist eine Application-Firewall, die nur Datenübertragungen zulässt, die potentiell gewünschter Webtraffic ist. Diejenige Software (Browser, Betriebssysteme für Updates), welche Internetzugang benötigt, muss zur Benutzung des Proxys konfiguriert werden. Wird dies vergessen, so sieht man im Browser nur eine nichtssagende Fehlermeldung, dass der Server nicht erreichbar ist[[proxyinfo|zur Lösung]]+Ein Proxy ist eine Application-Firewall, die nur Datenübertragungen zulässt, die potentiell gewünschter Webtraffic ist. Diejenige Software (Browser, Betriebssysteme für Updates), welche Internetzugang benötigt, muss zur Benutzung des Proxys konfiguriert werden. Wird dies vergessen, so sieht man im Browser nur eine nichtssagende Fehlermeldung, dass der Server nicht erreichbar ist, außer man [[proxyinfo|leitet den Traffic zu einer Infoseite]].
  
-Da die Software den Proxy um die Daten vom Zielserver bitten muss, kann man die Zugriffe nach diesen Hostnamen steuern. Die erledigt für den beliebtesten Proxy Squid die Erweiterung squidGuard. Für Grundschulen empfehlenswert: Whitelists, für höhere Schulen: Blacklistsystem (z.B. [[http://www.shallalist.de/|shallalist]]) mit zusätzlichen Whitelists (für schuleigene Freigaben).+Da die Software den Proxy um die Daten vom Zielserver bitten muss, kann man die Zugriffe nach diesen Hostnamen steuern. Dies erledigt für den beliebtesten Proxy Squid bei uns die Erweiterung squidGuard. Für Grundschulen empfehlenswert: Whitelists, für höhere Schulen: Blacklistsystem (z.B. [[http://www.shallalist.de/|shallalist]]) mit zusätzlichen Whitelists (für schuleigene Freigaben). 
 + 
 +(Für uns Zukunft: Bei OPNsense werden aus Filterlisten ACL (Regeln für Squid) generiert.)
  
 **Einschränkungen:** **Einschränkungen:**
  
-Die früher gebräuchlichen URL-Filter werden mit dem bald omnipräsenten HTTPS wirkungslos. Man sollte der Verführung widerstehen einen Man-in-the-Middle-Proxy mit Aufbrechen der HTTPS-Verschlüsselung zu verwenden, der dann auch Inhalte prüfen kann. Damit sind alle Geräte, welche man dazu mit einem Zertifikat geimpft hat, nicht mehr vertrauenswürdig für ernsthaft verschlüsselte Verbindungen. Man darf also diese Rechner nicht mehr für Onlinebanking oder den Zugriff auf Webmails verwenden. +Die früher gebräuchlichen URL-Filter werden mit dem bald omnipräsenten HTTPS wirkungslos. Man sollte der Verführung widerstehen einen Man-in-the-Middle-Proxy mit Aufbrechen der HTTPS-Verschlüsselung zu verwenden, der dann auch Inhalte prüfen kann. Damit sind alle Geräte, welche man dazu mit einem Zertifikat geimpft hat, nicht mehr vertrauenswürdig für ernsthaft verschlüsselte Verbindungen. Man darf also diese Rechner nicht mehr für Onlinebanking oder den Zugriff auf Webmails verwenden. Damit ist gerade BYOD nicht mehr mit gutem Gewissen zu empfehlen
-====Realisation====+====Realisierung====
 Eine physikalische oder virtuelle Maschine wird zum Proxy ernannt. Sie benötigt i.d.R. zwei Netzwerkanschlüsse: Zum internen LAN und zum Internetrouter. Sie darf kein IP-Forwarding machen. Wenn der Schule ein Zugriff über den Proxy ausreicht, so ist keine weitere Firewall nötig. Sollen aber Lehrer bspw. mit Thunderbird Emails abholen dürfen, so ist eine Firewall nötig, welche diesen Verkehr hindurch läßt. Dies kann dieselbe Maschine sein - muss aber nicht. Eine physikalische oder virtuelle Maschine wird zum Proxy ernannt. Sie benötigt i.d.R. zwei Netzwerkanschlüsse: Zum internen LAN und zum Internetrouter. Sie darf kein IP-Forwarding machen. Wenn der Schule ein Zugriff über den Proxy ausreicht, so ist keine weitere Firewall nötig. Sollen aber Lehrer bspw. mit Thunderbird Emails abholen dürfen, so ist eine Firewall nötig, welche diesen Verkehr hindurch läßt. Dies kann dieselbe Maschine sein - muss aber nicht.
  
 1. Installation eines geeigneten Systems 1. Installation eines geeigneten Systems
-  * Wähle selbst: z.B. Debian oder eine fertige Firewalldistribution wie OPNsense..+  * Wähle selbst: z.B. Debian bzw. eine fertige Firewalldistribution wie OPNsense.. 
 +  * Kein IP-Forwarding (zumindest nicht für Webtraffic)
 2. Installiere Squid 2. Installiere Squid
-  * apt get install squid+  * apt get install squid bzw. Aktivieren des Services
 3. Konfiguriere Squid 3. Konfiguriere Squid
   *In den ACL müssen die internen Netze als legale User freigegeben werden   *In den ACL müssen die internen Netze als legale User freigegeben werden
   *Test sofort...   *Test sofort...
-4. Installiere squidGuard +4. Installiere squidGuard bzw. konfiguriere Filterliste 
-  *Integriere squidGuard in die Squid-Konfiguration+
 5. Konfiguriere automatischen Download der Listen 5. Konfiguriere automatischen Download der Listen
 ====Test==== ====Test====
Zeile 39: Zeile 44:
   * verfolge die Zugriffe auch in den Logfiles   * verfolge die Zugriffe auch in den Logfiles
  
 +{{tag>Proxy Webfilter}}