Metainformationen zur Seite
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
sysbetr:proxy [2019/07/21 13:52] – cb | sysbetr:proxy [2020/05/05 12:07] (aktuell) – Externe Bearbeitung 127.0.0.1 | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | =====Proxy===== | + | Dies Systembetreuungs-Seiten sind umgezogen zu **[[https:// |
- | ====Problem==== | + | |
- | Gerade an Schulen muss man aus rechtlichen und pädagogischen Gründen den Internetzugang beschränken. | + | |
- | Schüler sollen nicht auf "böse Seiten" | + | Diese Seite finden Sie dort als **[[https:// |
- | + | ||
- | ====Idee IP-Port-Filter + DNS-Filter ==== | + | |
- | Man kann mit einer Firewall den IP-Traffic selbst einschränken, | + | |
- | + | ||
- | **Nachteil / Grenzen: | + | |
- | + | ||
- | Leider ist der DNS-Filter einfach umgehbar (spätestens mit einer lokalen Hosts-Datei) und wird in naher Zukunft durch DNS over irgendwas (([[https://de.wikipedia.org/ | + | |
- | + | ||
- | Da die Zuordnung DNS-Name <--> IP-Adresse nicht bijektiv ((ein Hostname kann auf mehrere IP-Adressen zeigen, eine IP-Adresse kann Dienste für mehrere Hostnamen anbieten)) ist, ist eine Adressfilterung auf Grundlage von DNS-Filterlisten sinnlos bzw. führt zu vielen Falsch-Positiven. | + | |
- | + | ||
- | ====Idee Proxy==== | + | |
- | Ein Proxy ist eine Application-Firewall, | + | |
- | + | ||
- | Da die Software den Proxy um die Daten vom Zielserver bitten muss, kann man die Zugriffe nach diesen Hostnamen steuern. Die erledigt für den beliebtesten Proxy Squid die Erweiterung squidGuard. Für Grundschulen empfehlenswert: | + | |
- | + | ||
- | **Einschränkungen: | + | |
- | + | ||
- | Die früher gebräuchlichen URL-Filter werden mit dem bald omnipräsenten HTTPS wirkungslos. Man sollte der Verführung widerstehen einen Man-in-the-Middle-Proxy mit Aufbrechen der HTTPS-Verschlüsselung zu verwenden, der dann auch Inhalte prüfen kann. Damit sind alle Geräte, welche man dazu mit einem Zertifikat geimpft hat, nicht mehr vertrauenswürdig für ernsthaft verschlüsselte Verbindungen. Man darf also diese Rechner nicht mehr für Onlinebanking oder den Zugriff auf Webmails verwenden. | + | |
- | ====Realisation==== | + | |
- | Eine physikalische oder virtuelle Maschine wird zum Proxy ernannt. Sie benötigt i.d.R. zwei Netzwerkanschlüsse: | + | |
- | + | ||
- | 1. Installation eines geeigneten Systems | + | |
- | * Wähle selbst: z.B. Debian oder eine fertige Firewalldistribution wie OPNsense.. | + | |
- | 2. Installiere Squid | + | |
- | * apt get install squid | + | |
- | 3. Konfiguriere Squid | + | |
- | *In den ACL müssen die internen Netze als legale User freigegeben werden | + | |
- | *Test sofort... | + | |
- | 4. Installiere squidGuard | + | |
- | *Integriere squidGuard in die Squid-Konfiguration | + | |
- | 5. Konfiguriere automatischen Download der Listen | + | |
- | ====Test==== | + | |
- | | + | |
- | | + | |