wern2000
Goto Top

AVM Ken umgehen

Hallo,

gibt es eine möglichkeit den AVM Ken zu umgehen?

Hintergrund:
Ich betreue in einer Schule das Schülernetzwerk und der Lehrer kam jetzt auf mich zu, das ein Schüler behauptet es gibt eine möglichkeit den Ken zu umgehen.
Im Ken ist der Avira Businessfilter aktiviert.
Alle SchülerPCs bekommen den Proxy per GPO zugewiesen.

Folgendes hab ich jetzt als Schüler versucht:

Proxy im Internet Explorer rausnehmen --> Seite kann nicht angezeit werden (PCs haben kein default GW)
hinzufügen eines GW per CMD --> keine berechtigung
Anonyme Proxy Seite aufrufen z.B http://hidemyass.com/ --> Ken Meldung Anonyme Proxy gesperrt

Gibt es nochwas wie ich dieser Behauptung nachgehn kann?

gruss
Werner

Content-ID: 179663

Url: https://administrator.de/forum/avm-ken-umgehen-179663.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

tikayevent
tikayevent 27.01.2012 um 12:34:09 Uhr
Goto Top
SSH-Tunnel durch den Proxy. So hab ich damals das Schulnetz auch bearbeitet, aber mit Wissen der Lehrer.
thingsyoucantdo
thingsyoucantdo 27.01.2012 um 12:57:00 Uhr
Goto Top
Jo es wird entweder "getunnelt" oder vielleicht auch ein witzbold der seinen UMTS Stick mitbringt ?
tikayevent
tikayevent 27.01.2012 um 12:59:10 Uhr
Goto Top
UMTS-Stick sollte sich nicht installieren lassen, wenn keine Administratorrechte vorhanden sind und diese sind ja scheinbar nicht vorhanden, weil das Standardgateway nicht geändert werden darf.
thingsyoucantdo
thingsyoucantdo 27.01.2012 um 13:04:28 Uhr
Goto Top
GIbt es glaub ich heutzutage auch schon Plug and Play bei Windows 7.

Zu meiner Berufsschulzeit war es schon so, dass die Schüler teilweise ihre eigenen Notebooks mitgebracht haben und dort halt UMTS eingebaut hatten.
Wern2000
Wern2000 27.01.2012 um 13:25:20 Uhr
Goto Top
Sind alles Normalos keine Hauptbenutzer oder Lokale Admins

das mit dem ssh...

mit putty einen localhost port öffenen den durch den Proxy zu einem anderen Proxy verbinden
danach den IE auf den geöffneten localhost Port stellen

Wenn ich per GPO das Menü für Verbindungen ausblende dann müste das mit dem SSH doch erledigt sein oder Denk ich da falsch.

oder gibts eine einstellmöglichkeit das Benutzer den Proxy nicht ändern dürfen?
goscho
goscho 27.01.2012 um 13:25:31 Uhr
Goto Top
Zitat von @thingsyoucantdo:
GIbt es glaub ich heutzutage auch schon Plug and Play bei Windows 7.
Du musst für eine Treiberinstallation Admin sein oder die Adminkennung eingeben (UAC-Prompt).
Zu meiner Berufsschulzeit war es schon so, dass die Schüler teilweise ihre eigenen Notebooks mitgebracht haben und dort halt
UMTS eingebaut hatten.
Das ist aber nicht die frage des TO. Wenn jemand ein eigenes Gerät mit eigenem Internetzugang nutzt (kann übrigens auch ein Smartphone oder Tablet sein), dann umgeht er ja den KEN nicht einem PC aus dem Netzwerk.

@Werner,
baut KEN die Internetverbindung auf oder wird ein davor geschalteter Router verwendet?

Wenn es der KEN selbst ist, dann kannst du dort nachschauen, ob dieser auch Routing erlaubt.
Wenn er ein Router ist, dann schau, ob die Schüler nicht mit alternativen Browsern surfen und dort die IP-Adresse des Routers eingetragen haben.
Wern2000
Wern2000 27.01.2012 um 13:36:09 Uhr
Goto Top
der Ken-PC hat 2 Netzwerkkarten: eine fürs Schulnetz und eine die zum Router geht.
Der Ken-PC ist gleichzeitig auch GW wenn man ihn als Default-GW einträgt.

vom Schüler PC ist kein Ping ins Internet möglich, es wird nur der Name aufgelöst.

Sobald im IE oder Firefox die Proxyadresse oder der Proxyport fehlt ist kein mehr Internet möglich.
tikayevent
tikayevent 27.01.2012 um 14:38:46 Uhr
Goto Top
Eventuell kann Ken SSH-Verbindungen rausfiltern.
Karo
Karo 27.01.2012 um 14:40:33 Uhr
Goto Top
Hi,

vielleicht bist Du nicht der Admin, sondern derjenige der es umgehen will.....wer weiss, wer weiss....

Karo
kingkong
kingkong 27.01.2012 um 15:22:15 Uhr
Goto Top
Nur ein Einfall: Kann KEN Datenverbindungen auf Port 53 unterbinden? Wenn nicht könnte man eventuell mit einem portablen Proxy Server auf einen außen stehenden Proxy weiterleiten. Und das Fehlen von Adminrechten allein schützt auch nicht vor dem Einsatz von portablen Browsern (vgl. Firefox portable).
Lochkartenstanzer
Lochkartenstanzer 27.01.2012 um 17:28:49 Uhr
Goto Top
Zitat von @Wern2000:
gibt es eine möglichkeit den AVM Ken zu umgehen?

Klar, z.B. mit einem DNS-Tunnel.wenn DNS von den Clients nicht rausgefiltert wird.

Oder mit einem Server in Netz, zu dem man lokalen traffic üebr erlaubte protokolle (http, https, dns, etc.) tunnelt. Kann jeder skriptkiddie mit einem gemieteteten vserver aufsetzen.

Solange man nicht mit whitelists und/oder application-level-proxies arbeitet, läßt sich sowas nicht verhindern.

lks
dog
dog 27.01.2012 um 17:33:03 Uhr
Goto Top
Das sind ja alles interessante Ideen....und alle viel zu kompliziert für den Durchschnitts-1337-Schüler.

Anonyme Proxy Seite aufrufen z.B http://hidemyass.com/ --> Ken Meldung Anonyme Proxy gesperrt

Es gibt noch wesentlich mehr Seiten als HMA und auch Listen dafür.
Wenn ich da bei unserem Schulfilter mal eine Liste mit aktuellen Diensten durchgehe komme ich schon auf die Meisten drauf...

Solange man nicht mit whitelists und/oder application-level-proxies arbeitet, läßt sich sowas nicht verhindern.

Es lässt sich niemals verhindern!
Selbst mit einem FIlter der auch HTTPS-Inspection kann fallen mir auf Anhieb eine Menge Möglichkeiten ein sich da durch zu tunneln.
Wirklich sicher ist nur ein reiner Whitelist-Modus - und da dürfen keine Seiten mit dynamischen Inhalten wie Wikipedia erlaubt sein.
Wern2000
Wern2000 31.01.2012 um 07:54:01 Uhr
Goto Top
Die DNS-Server funktion vom KEN ist ausgeschaltet. Das übernimmt ein Windows 2003 Server

aber wenn man nur mit Whitlist arbeitet und dynamische Seiten sperrt ist ein Arbeiten schon fast unmöglich bzw der verwaltungsaufwand zu groß. Es soll ja fast nix kosten.
Es gibt auch so Übungsaufgaben wie Internetrecherche

Anstecken von USB-Geräten ist auch nicht erlaubt (DeviceLock)