Metainformationen zur Seite
  •  

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
sysbetr:proxy [2019/07/29 18:19] – [Realisation] cbsysbetr:proxy [2020/04/06 17:45] – [Test] cb
Zeile 26: Zeile 26:
  
 Die früher gebräuchlichen URL-Filter werden mit dem bald omnipräsenten HTTPS wirkungslos. Man sollte der Verführung widerstehen einen Man-in-the-Middle-Proxy mit Aufbrechen der HTTPS-Verschlüsselung zu verwenden, der dann auch Inhalte prüfen kann. Damit sind alle Geräte, welche man dazu mit einem Zertifikat geimpft hat, nicht mehr vertrauenswürdig für ernsthaft verschlüsselte Verbindungen. Man darf also diese Rechner nicht mehr für Onlinebanking oder den Zugriff auf Webmails verwenden. Damit ist gerade BYOD nicht mehr mit gutem Gewissen zu empfehlen. Die früher gebräuchlichen URL-Filter werden mit dem bald omnipräsenten HTTPS wirkungslos. Man sollte der Verführung widerstehen einen Man-in-the-Middle-Proxy mit Aufbrechen der HTTPS-Verschlüsselung zu verwenden, der dann auch Inhalte prüfen kann. Damit sind alle Geräte, welche man dazu mit einem Zertifikat geimpft hat, nicht mehr vertrauenswürdig für ernsthaft verschlüsselte Verbindungen. Man darf also diese Rechner nicht mehr für Onlinebanking oder den Zugriff auf Webmails verwenden. Damit ist gerade BYOD nicht mehr mit gutem Gewissen zu empfehlen.
-====Realisation====+====Realisierung====
 Eine physikalische oder virtuelle Maschine wird zum Proxy ernannt. Sie benötigt i.d.R. zwei Netzwerkanschlüsse: Zum internen LAN und zum Internetrouter. Sie darf kein IP-Forwarding machen. Wenn der Schule ein Zugriff über den Proxy ausreicht, so ist keine weitere Firewall nötig. Sollen aber Lehrer bspw. mit Thunderbird Emails abholen dürfen, so ist eine Firewall nötig, welche diesen Verkehr hindurch läßt. Dies kann dieselbe Maschine sein - muss aber nicht. Eine physikalische oder virtuelle Maschine wird zum Proxy ernannt. Sie benötigt i.d.R. zwei Netzwerkanschlüsse: Zum internen LAN und zum Internetrouter. Sie darf kein IP-Forwarding machen. Wenn der Schule ein Zugriff über den Proxy ausreicht, so ist keine weitere Firewall nötig. Sollen aber Lehrer bspw. mit Thunderbird Emails abholen dürfen, so ist eine Firewall nötig, welche diesen Verkehr hindurch läßt. Dies kann dieselbe Maschine sein - muss aber nicht.
  
 1. Installation eines geeigneten Systems 1. Installation eines geeigneten Systems
   * Wähle selbst: z.B. Debian bzw. eine fertige Firewalldistribution wie OPNsense..   * Wähle selbst: z.B. Debian bzw. eine fertige Firewalldistribution wie OPNsense..
 +  * Kein IP-Forwarding (zumindest nicht für Webtraffic)
 2. Installiere Squid 2. Installiere Squid
   * apt get install squid bzw. Aktivieren des Services   * apt get install squid bzw. Aktivieren des Services
 3. Konfiguriere Squid 3. Konfiguriere Squid
   *In den ACL müssen die internen Netze als legale User freigegeben werden   *In den ACL müssen die internen Netze als legale User freigegeben werden
-  *Kein IP-Forwarding für Webtraffic 
   *Test sofort...   *Test sofort...
 4. Installiere squidGuard bzw. konfiguriere Filterliste 4. Installiere squidGuard bzw. konfiguriere Filterliste
 +
 5. Konfiguriere automatischen Download der Listen 5. Konfiguriere automatischen Download der Listen
 ====Test==== ====Test====
Zeile 43: Zeile 44:
   * verfolge die Zugriffe auch in den Logfiles   * verfolge die Zugriffe auch in den Logfiles
  
 +{{tag>Proxy Webfilter}}