Metainformationen zur Seite
  •  

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
sysbetr:proxy [2019/06/30 17:35] – [Idee Proxy] cbsysbetr:proxy [2020/05/05 12:07] (aktuell) – Externe Bearbeitung 127.0.0.1
Zeile 1: Zeile 1:
-====Proxy==== +Dies Systembetreuungs-Seiten sind umgezogen zu **[[https://systembetreuung.bienmueller.de/dokuwiki/doku.php|Systembetreuung in der Praxis]]**!
-===Problem=== +
-Gerade an Schulen muss man aus rechtlichen und pädagogischen Gründen den Internetzugang beschränken.+
  
-Schüler sollen nicht auf "böse Seiten" kommen und sie sollen keine illegalen Uploads (bittorrent usw.) durchführen können.  +Diese Seite finden Sie dort als **[[https://systembetreuung.bienmueller.de/dokuwiki/doku.php/proxy]]**
- +
-** Dieser Text liefert nur einen Überblick und keine vollständige Anleitung.** +
-===Idee IP=== +
-Man kann mit einer Firewall den IP-Traffic selbst einschränken, in dem man nur die Zielports 80 und 443 erlaubt und außerdem per DNS-Filterung die "bösen Seiten" unauffindbar macht. +
- +
-**Nachteil / Grenzen:** +
- +
-Leider ist der DNS-Filter umgehbar (spätestens mit einer lokalen Hosts-Datei) und wird in Zukunft durch DNS over irgendwas gezielt ausgehebelt - mit der nachvollziehbaren Absicht Zensur zu verhindern. +
- +
-===Idee Proxy=== +
-Ein Proxy ist eine Application-Firewall, die nur Datenübertragungen zulässt, die potentiell gewünschter Webtraffic ist. Software (Browser, Betriebssysteme für Updates), welche den Proxy benutzen will, muss dazu konfiguriert werden. wird dies vergessen, so sieht man nur eine nichtssagende Fehlermeldung, dass der Server nicht erreichbar ist. [[proxyinfo|zur Lösung]] +
- +
-Da die Software den Proxy um die Daten vom Zielserver bitten muss, kann man die Zugriffe nach diesen Hostnamen steuern. Für Grundschulen: Whitelist, für höhere Schulen: Blacklistsystem (z.B. [[http://www.shallalist.de/|shallalist]]) mit zusätzlichen Whitelists (für schuleigene Freigaben). +
- +
-**Einschränkungen:** +
- +
-Die früher gebräuchlichen URL-Filter werden mit dem bald omnipräsenten HTTPS wirkungslos. Man sollte der Verführung widerstehen einen Man-in-the-Middle-Proxy mit Aufbrechen der HTTPS-Verschlüsselung zu verwenden, der dann auch Inhalte prüfen kann. Damit sind alle Geräte, welche man dazu mit einem Zertifikat geimpft hat, nicht mehr vertrauenswürdig für ernsthaft verschlüsselte Verbindungen. Man darf also diese Rechner nicht mehr für Onlinebanking oder den Zugriff auf Webmails verwenden. +
-===Realisation=== +
-Eine physikalische oder virtuelle Maschine wird zum Proxy ernannt. Sie benötigt i.d.R. zwei Netzwerkanschlüsse: Zum internen LAN und zum Internetrouter. Sie darf kein IP-Forwarding machen. Wenn der Schule ein Zugriff über den Proxy ausreicht, so ist keine weitere Firewall nötig. Sollen aber Lehrer bspw. mit Thunderbird Emails abholen dürfen, so ist eine Firewall nötig, welche diesen Verkehr hindurch läßt. Dies kann dieselbe Maschine sein - muss aber nicht. +
- +
-1. Installation eines geeigneten Systems +
-  * Wähle selbst: z.B. Debian oder eine fertige Firewalldistribution wie pfsense. +
-2. Installiere Squid +
-  * apt get install squid +
-3. Konfiguriere Squid +
-  *In den ACL müssen die internen Netze als legale User freigegeben werden +
-  *Test sofort... +
-4. Installiere squidGuard +
-  *Integriere squidGuard in die Squid-Konfiguration +
-5. Konfiguriere automatischen Download der Listen +
-===Test=== +
-  teste legitime und nicht-legitime Seiten +
-  verfolge die Zugriffe auch in den Logfiles+