Metainformationen zur Seite
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
sysbetr:proxy [2019/07/29 16:28] – [Idee Proxy] cb | sysbetr:proxy [2020/04/06 17:45] – [Test] cb | ||
---|---|---|---|
Zeile 5: | Zeile 5: | ||
Schulkinder sollen zu ihrem Schutz nicht auf "böse Seiten" | Schulkinder sollen zu ihrem Schutz nicht auf "böse Seiten" | ||
+ | ==Grenzen== | ||
+ | Da die meisten Schulkinder inzwischen mit internetfähigen Smartphones mit ausreichender Flatrate ausgestattet sind, sollte man den Filteraspekt nicht überbewerten. Es geht mehr um unsere rechtliche Absicherung und Verhindern, dass Schüler ungewollt "böse Seiten" | ||
====1. Idee IP-Port-Filter + DNS-Filter ==== | ====1. Idee IP-Port-Filter + DNS-Filter ==== | ||
Man kann mit einer Firewall den IP-Traffic selbst einschränken, | Man kann mit einer Firewall den IP-Traffic selbst einschränken, | ||
Zeile 24: | Zeile 26: | ||
Die früher gebräuchlichen URL-Filter werden mit dem bald omnipräsenten HTTPS wirkungslos. Man sollte der Verführung widerstehen einen Man-in-the-Middle-Proxy mit Aufbrechen der HTTPS-Verschlüsselung zu verwenden, der dann auch Inhalte prüfen kann. Damit sind alle Geräte, welche man dazu mit einem Zertifikat geimpft hat, nicht mehr vertrauenswürdig für ernsthaft verschlüsselte Verbindungen. Man darf also diese Rechner nicht mehr für Onlinebanking oder den Zugriff auf Webmails verwenden. Damit ist gerade BYOD nicht mehr mit gutem Gewissen zu empfehlen. | Die früher gebräuchlichen URL-Filter werden mit dem bald omnipräsenten HTTPS wirkungslos. Man sollte der Verführung widerstehen einen Man-in-the-Middle-Proxy mit Aufbrechen der HTTPS-Verschlüsselung zu verwenden, der dann auch Inhalte prüfen kann. Damit sind alle Geräte, welche man dazu mit einem Zertifikat geimpft hat, nicht mehr vertrauenswürdig für ernsthaft verschlüsselte Verbindungen. Man darf also diese Rechner nicht mehr für Onlinebanking oder den Zugriff auf Webmails verwenden. Damit ist gerade BYOD nicht mehr mit gutem Gewissen zu empfehlen. | ||
- | ====Realisation==== | + | ====Realisierung==== |
Eine physikalische oder virtuelle Maschine wird zum Proxy ernannt. Sie benötigt i.d.R. zwei Netzwerkanschlüsse: | Eine physikalische oder virtuelle Maschine wird zum Proxy ernannt. Sie benötigt i.d.R. zwei Netzwerkanschlüsse: | ||
1. Installation eines geeigneten Systems | 1. Installation eines geeigneten Systems | ||
- | * Wähle selbst: z.B. Debian | + | * Wähle selbst: z.B. Debian |
+ | * Kein IP-Forwarding (zumindest nicht für Webtraffic) | ||
2. Installiere Squid | 2. Installiere Squid | ||
- | * apt get install squid | + | * apt get install squid bzw. Aktivieren des Services |
3. Konfiguriere Squid | 3. Konfiguriere Squid | ||
*In den ACL müssen die internen Netze als legale User freigegeben werden | *In den ACL müssen die internen Netze als legale User freigegeben werden | ||
*Test sofort... | *Test sofort... | ||
- | 4. Installiere squidGuard | + | 4. Installiere squidGuard |
- | | + | |
5. Konfiguriere automatischen Download der Listen | 5. Konfiguriere automatischen Download der Listen | ||
====Test==== | ====Test==== | ||
Zeile 41: | Zeile 44: | ||
* verfolge die Zugriffe auch in den Logfiles | * verfolge die Zugriffe auch in den Logfiles | ||
+ | {{tag> |