Metainformationen zur Seite
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
sysbetr:proxy [2019/07/29 18:19] – [Realisation] cb | sysbetr:proxy [2020/04/06 17:45] – [Test] cb | ||
---|---|---|---|
Zeile 26: | Zeile 26: | ||
Die früher gebräuchlichen URL-Filter werden mit dem bald omnipräsenten HTTPS wirkungslos. Man sollte der Verführung widerstehen einen Man-in-the-Middle-Proxy mit Aufbrechen der HTTPS-Verschlüsselung zu verwenden, der dann auch Inhalte prüfen kann. Damit sind alle Geräte, welche man dazu mit einem Zertifikat geimpft hat, nicht mehr vertrauenswürdig für ernsthaft verschlüsselte Verbindungen. Man darf also diese Rechner nicht mehr für Onlinebanking oder den Zugriff auf Webmails verwenden. Damit ist gerade BYOD nicht mehr mit gutem Gewissen zu empfehlen. | Die früher gebräuchlichen URL-Filter werden mit dem bald omnipräsenten HTTPS wirkungslos. Man sollte der Verführung widerstehen einen Man-in-the-Middle-Proxy mit Aufbrechen der HTTPS-Verschlüsselung zu verwenden, der dann auch Inhalte prüfen kann. Damit sind alle Geräte, welche man dazu mit einem Zertifikat geimpft hat, nicht mehr vertrauenswürdig für ernsthaft verschlüsselte Verbindungen. Man darf also diese Rechner nicht mehr für Onlinebanking oder den Zugriff auf Webmails verwenden. Damit ist gerade BYOD nicht mehr mit gutem Gewissen zu empfehlen. | ||
- | ====Realisation==== | + | ====Realisierung==== |
Eine physikalische oder virtuelle Maschine wird zum Proxy ernannt. Sie benötigt i.d.R. zwei Netzwerkanschlüsse: | Eine physikalische oder virtuelle Maschine wird zum Proxy ernannt. Sie benötigt i.d.R. zwei Netzwerkanschlüsse: | ||
1. Installation eines geeigneten Systems | 1. Installation eines geeigneten Systems | ||
* Wähle selbst: z.B. Debian bzw. eine fertige Firewalldistribution wie OPNsense.. | * Wähle selbst: z.B. Debian bzw. eine fertige Firewalldistribution wie OPNsense.. | ||
+ | * Kein IP-Forwarding (zumindest nicht für Webtraffic) | ||
2. Installiere Squid | 2. Installiere Squid | ||
* apt get install squid bzw. Aktivieren des Services | * apt get install squid bzw. Aktivieren des Services | ||
3. Konfiguriere Squid | 3. Konfiguriere Squid | ||
*In den ACL müssen die internen Netze als legale User freigegeben werden | *In den ACL müssen die internen Netze als legale User freigegeben werden | ||
- | *Kein IP-Forwarding für Webtraffic | ||
*Test sofort... | *Test sofort... | ||
4. Installiere squidGuard bzw. konfiguriere Filterliste | 4. Installiere squidGuard bzw. konfiguriere Filterliste | ||
+ | |||
5. Konfiguriere automatischen Download der Listen | 5. Konfiguriere automatischen Download der Listen | ||
====Test==== | ====Test==== | ||
Zeile 43: | Zeile 44: | ||
* verfolge die Zugriffe auch in den Logfiles | * verfolge die Zugriffe auch in den Logfiles | ||
+ | {{tag> |