holliknolli
Goto Top

Best practice Kinder- u jugendgerechte Webseiten zulassen, Rest sperren

Hallo,

wollte mal fragen, was so best practice ist, wenn man für Schulen Pornoseiten, ###zeugs, Gewalt & Co,etc sperren möchte. Kann nämlich unmöglich Black- u. Whitelists pflegen.

Was gibt es denn hier so am Markt, was nicht die Welt kostet für ne normale Schule mit knapp 500 Schülern?

Zur Klarstellung: es soll im Netzwerk gesperrt weden und nicht am Client. Schülern soll ja erlaubt sein mit ihren privaten Laptops im Schul-WLAN zu surfen - nur halt nicht auf besagte obige Seiten.

LG,
H.K.

Content-Key: 6442245778

Url: https://administrator.de/contentid/6442245778

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: Dani
Dani 20.03.2023 um 20:17:55 Uhr
Goto Top
Moin,
Was gibt es denn hier so am Markt, was nicht die Welt kostet für ne normale Schule mit knapp 500 Schülern?
Sagt dir JusProgDNS - Jugendschutzprogramm von JusProg e.V. zu?


Gruß,
Dani
Mitglied: zaphod88
zaphod88 20.03.2023 um 20:38:53 Uhr
Goto Top
Moin,

Cloudflare hat auch separate DNS-Server für sowas.
Mitglied: aqui
aqui 20.03.2023 aktualisiert um 21:17:39 Uhr
Goto Top
Raspberry Pi und Adguard:
https://github.com/AdguardTeam/AdGuardHome

Filtert auch alle Apps wie Facebook, Twitter, TikTok und Co. Ist kostenfrei und kann man mit den Kids in der Informatik AG aufsetzen. face-wink
Mitglied: DerMaddin
DerMaddin 21.03.2023 um 07:27:57 Uhr
Goto Top
Wer keine Frickellösung haben möchte, der nimmt eine Firewall, die einen Content-Filter hat.
Mitglied: MrHeisenberg
MrHeisenberg 21.03.2023 um 07:56:51 Uhr
Goto Top
Zitat von @DerMaddin:

Wer keine Frickellösung haben möchte, der nimmt eine Firewall, die einen Content-Filter hat.

Bin da voll und ganz bei dir, die funktionieren und werden seitens FW-Hersteller gewartet, meistens als Abo erhältlich, aber bei uns läuft die von Barracuda und seitdem hatten wir keine Probleme mehr
Mitglied: Looser27
Looser27 21.03.2023 um 09:21:00 Uhr
Goto Top
Ich bin da bei @aqui mit einer Änderung:

Bei einer Anwendung für eine Schule würde ich 2 identische VM aufbauen, so dass beide DNS-Einträge gesetzt werden können und man im laufenden Betrieb die Systeme warten / updaten kann ohne das Lücken entstehen.

Ansonsten nutze ich privat eben auch den AD Guard für den Jugendschutz in unserem Kids-WLAN.

Gruß

Looser
Mitglied: DerMaddin
DerMaddin 21.03.2023 um 09:41:06 Uhr
Goto Top
Ich denke einige vergessen bei den Vorschlägen, dass eine Schule eine öffentliche Trägerschaft ist und dort "Bastellösungen" eine ganz schlechte Idee ist. Wenn etwas schief läuft, aus welchen Gründen auch immer, dann ist es mehr als schlecht. Langlebigkeit, Support und weitestgehende Wartungsfreiheit ist ein MUSS.

Bei öffentlichen Einrichtungen spielt der Preis dabei kaum eine große Rolle, daher würde ich hier sogar zu einem Cluster auf zwei Firewalls raten. Muss man sich genauer anschauen was für AccessPoints schon vorhanden sind, da einige Hersteller nur ihre eigenen Geräte unterstützen.
Mitglied: SomebodyToLove
SomebodyToLove 21.03.2023 um 09:41:39 Uhr
Goto Top
Hiho,

OPNsene + Content Filter oder + Zenarmor (leichtere konfiguration) sollte hier auch das gewünschte Ergebnis liefern. Es ist allerdings etwas komplexer einzurichten.

Dennoch sollte doch in einer Schule sowieso eine Firewall vorhanden sein, also hier einfach den content filter lizenzieren und konfigurieren.

Ohne Firewall ist heutzutage doch schon grob fahrlässig.

Wenn man ein Netzwerk betreut sollte man das aber eigentlich auch wissen.

Grüße
Somebody
Mitglied: Looser27
Looser27 21.03.2023 um 09:50:23 Uhr
Goto Top
...dort "Bastellösungen" eine ganz schlechte Idee ist.

Dann solltest Du mal bei Hochschulen gucken gehen.....da ist die "Bastellösung" der Standard!

Ich sehe es nicht als Bastellösung, wenn man ADGuard oder vergleichbar als DNS-Filter nutzt.
Im Gegenteil: Wie oben erwähnt sind das tolle Projekte, die man im IT-Unterricht aufbauen und untersuchen kann.

Bei öffentlichen Einrichtungen spielt der Preis dabei kaum eine große Rolle

Wenn dem so wäre, warum haben dann die meisten Schulen keine anständige IT-Infrastruktur? Die eingesetzten PCs sind alle min. 5 Jahre alt, die meisten noch älter. Aber diese Diskussion ist hier fehl am Platz. Es ging schließlich um eine kostengünstige Lösung für einen Jugendschutz-Filter.

Just my 2 Cents.
Mitglied: DerMaddin
DerMaddin 21.03.2023 um 10:02:56 Uhr
Goto Top
Zitat von @Looser27:

...dort "Bastellösungen" eine ganz schlechte Idee ist.

Dann solltest Du mal bei Hochschulen gucken gehen.....da ist die "Bastellösung" der Standard!

Ich sehe es nicht als Bastellösung, wenn man ADGuard oder vergleichbar als DNS-Filter nutzt.
Im Gegenteil: Wie oben erwähnt sind das tolle Projekte, die man im IT-Unterricht aufbauen und untersuchen kann.

Bei öffentlichen Einrichtungen spielt der Preis dabei kaum eine große Rolle

Wenn dem so wäre, warum haben dann die meisten Schulen keine anständige IT-Infrastruktur? Die eingesetzten PCs sind alle min. 5 Jahre alt, die meisten noch älter. Aber diese Diskussion ist hier fehl am Platz. Es ging schließlich um eine kostengünstige Lösung für einen Jugendschutz-Filter.

Just my 2 Cents.

Ich kenne eine Hochschule, eine Uni (medizinisch) und eine Berufsschule entweder direkt oder indirekt, da ich dort Kontakte zu den Admins bzw. zu meinen Azubis habe und NEIN!!! dort sind keine Bastellösungen Standard.

DNS-Filter *hahaha* welchen Nutzer soll das davon abhalten es umzugehen? Es geht nicht um URLs und IPs, es geht um den Inhalt der geblockt werden soll. Die Endgeräte können gern auch 20 Jahre alt sein, das macht für eine Content-FW keinen Unterschied.
Mitglied: NoAiming
NoAiming 21.03.2023 um 10:56:33 Uhr
Goto Top
Moin zusammen,
ich will mich gar nicht einmischen; nur kurz eine Frage aus Neugier (kenne mich damit nicht aus): Über den DNS-Filter schränkt man die Möglichkeiten zur Auflösung der Web-Domains ein (?). Ich vermute mal, dass ich dann einem Client oder bei einer Domäne diesen DNS-Server vorschalte bevor ich das Internet erreiche. Also der Client oder Server kann nur diesen DNS-Filter fragen und bekommt dann sowas wie www.pornoseite.com nicht aufgelöst, richtig soweit? Angenommen, ich habe einen Client, an dem ich nicht an die Netzwerkeinstellungen komme - wie umgehe ich diese Einstellung? Oder geht es nur darum, dass ich die Auflösung einer Adresse einfach per (DNS)Web-Service mache und dann direkt die IP in meinen Browser kopiere?
Liebe Grüße,
Mitglied: DerMaddin
DerMaddin 21.03.2023 um 11:19:30 Uhr
Goto Top
DNS-Filter arbeiten mit Listen, also Böse-URL1:0.0.0.0, Böse-URL2:0.0.0.0 z.B. In der Regel ist WLAN als DHCP eingerichtet, daher wird auch der DNS-Server an den Client übermittelt. Dieser DNS-Server ist dann für diese Netzwerkschnittstelle aktiv. In jedem Browser kann man das über Proxy-Einstellung umgehen, ohne dass man das Netzwerk/Adapter verändert.

Die meisten Web-Dienste sind nicht über IP-Adresse erreichbar oder nur eingeschränkt, daher hilft es nicht diese IP zu kennen. Mit einem Proxy-Server, Diensten wie Hidemyass.com oder VPN sind solche DNS-Filter, egal ob lokal oder durch den ISP, wirkungslos.
Mitglied: commodity
commodity 21.03.2023 um 11:52:25 Uhr
Goto Top
Der Terminus
"Bastellösungen"
ist nach meiner Einschätzung ein hier vorwiegend von Händlern/Vertrieblern benutzer Terminus. Dort wo entweder der Umsatz regiert (Systemhaus) oder die technischen Fähigkeiten begrenzt sind (Fachhandel). Da wird dann jedes Linux schnell zur "Bastellösung" degradiert und dabei vergessen, dass Linux (und herkunftsähnliches) mittlerweile die Gerätewelt regiert und Microsoft nur am Desktop (zu Recht) punktet.
DNS-Filter *hahaha* welchen Nutzer soll das davon abhalten es umzugehen?
Sorry, ein einfacher Redirect auf der Firewall und der normale User benutzt den vorgegebenen DNS oder keinen. Alle weiteren Umgehungen, VPN über HTTPS oder DNS über HTTPS o.ä. kann man real nur mit HTTPS-Interception filtern, was datenschutzrechtlich problematisch ist und ein beachtliches Budget für die Firewall benötigt, wenn man nicht nach drei Tagen über das langsame Netz klagen und die HTTPS-Interception wieder abschalten möchte. Für High-Security eine feine Sache. Bei normalen Anwendern: Eine Gelddruckmaschine für den Handel.

Der TO hat danach gefragt, wie man die Aufrufe sperrt, nicht wie man kommerzielle Umgehungsstrategien verhindert. Umgehung wird sich faktisch immer finden. Fast alle Schüler haben Handys mit oft beachtlichen Datenraten. Ggf. spannt eben einer nen Hotspot auf. Ist dann zwar nicht das Schulnetz, aber die Pornos sind immer noch in der Schule. Und die 20k EUR Firewall steht ebenso dumm da wie der Adguard für 0 EUR.

Die hier vorgeschlagenen "Bastellösungen" Adguard, PfSense, OPNsense sind funktionierende, verbreitete, gut dokumentierte und im Unternehmensumfeld zunehmend eingesetzte Varianten, (auch) weil die tollen "UTM-Firewalls" viele Haken haben, die man erst nach dem Kauf kennen lernt (die Zahl der Wechsler allein in diesem Forum ist beachtlich). Das Ziel des TO wird damit vollständig und mindestens ebenso gut erreicht - und das ohne das Budget der Schule zu belasten oder besondere Kompetenzen vorauszusetzen. Adguard und Pi-Hole sind kinderleicht umzusetzen. Kann man glatt einen Schüler dransetzen.

Von Adguard halte ich - trotz technischer Brillianz - nur deshalb nicht so viel, weil mir die auf Zypern sitzende Firma mit offenbar russischen Wurzeln zu fragwürdig erscheint, um sie in meine Netze zu lassen. Da ist mir ein echtes OpenSource-Projekt lieber, das diesen Zweck ebenso erfüllt und hier bislang unter den Tisch gefallen ist, obgleich von Deutschlands wohl renommiertesten Fachverlag als vorzügliche Lösung angepriesen: Pi-Hole. Geht als VM und auf Blech und weil es kaum Ressourcen braucht, auch auf einem Raspberry-Pi - wo die Händler dann wieder "Bastellösung" schreien, obwohl einige für mich seit mehr als 10 Jahren als Telefonanlage Dienst schrubben, mit im Peak mehreren Tausend Anrufen täglich. Gruß auch von 3CX, die ihn mittlerweile ebenso für's Business bewerben. Der Pi ist schon lange im Unternehmensumfeld angekommen.

Zusammen mit einer einfachen Firewall/Firewall-Router für 50 EUR (bzw. wahrscheinlich in der Schule bereits vorhanden) ist der Bedarf des TO für dieses Thema vollständig abgedeckt, ohne dass das Budget mit teuren Subskriptions für aufgeblähte kommerzielle Blackboxes belastet wird. Diese haben ihren Markt. Ihn auf die Frage des TO auszuweiten, halte ich für reichlich unangemessen.

Viele Grüße, commodity
Mitglied: Dani
Dani 21.03.2023 um 12:40:42 Uhr
Goto Top
Moin,
dazu muss ergänzen, dass die Schulen angehalten sind auch entsprechend die Altersfreigaben von Webseiten zu berücksichtigen. D.h. es spielt eine Rolle ob die Klasse 6 oder Klasse 10 online ist. Damit fallen viele Lösungen durch das Raster, weil eine Kategorisierung nicht vorhanden ist.

Wer denkt, dass ist ein Hirngespinst darf kommende Woche gerne mit auf den Elternabend. face-big-smile


Gruß,
Dani
Mitglied: DerMaddin
DerMaddin 21.03.2023 um 13:19:19 Uhr
Goto Top
@Dani Zugriff auf das Internet kann doch die Schule selbst regeln. Die unterbinden einfach jeden Zugriff auf nicht passende Kategorien. Was soll da genau nicht passen können? Wenn ich mir die Kategorien in unserer Firewall anschaue, dann finde ich da über 80 davon.
Mitglied: Dani
Dani 21.03.2023 um 14:27:25 Uhr
Goto Top
@DerMaddin
Woran erkennst du welche Kategorien Seiten für welchen Altersstufen beinhalten?! Nochmals zu Erinnerung es wird zwischen unter 6, über 6, unter 12, über 12, über 16 Jahren unterschieden.

Gruß,
Dani
Mitglied: SomebodyToLove
SomebodyToLove 21.03.2023 um 15:30:05 Uhr
Goto Top
@Dani

Es geht darum die Kinder von nicht jugendfreien Inhalten zu bewahren, wie die oben genannten pr0n Websites oder andere ähnliche Inhalte (Gewalt, Waffen usw.).
Aber wie willst du einen Filter bitte Altersgerecht ansetzen? Auf welcher Grundlage, du kannst ja keinen Wikipedia Artikel über Kannibalismus rausfilter für Kinder unter 6... Also da sollte man schon noch die Kirche im Dorf lassen.

Wer soll den bitte definieren welcher Inhalt ab welchem Alter in Ordnung ist?

Die Schulen sollen sich darum kümmern das nicht jungendfreie oder illegale Seiten über das Schulnetz verboten sind. Aber meiner Meinung nach ist dann auch die Pflicht erfüllt.

Vielleicht muss ich doch mit auf den Elternabend ;)

Grüße
Somebody
Mitglied: DerMaddin
DerMaddin 21.03.2023 um 15:36:13 Uhr
Goto Top
Warum müssen Kinder mit 6 oder darunter ins Internet? In welchen Fächern ist das der Fall, vor allem bei den Erstklässlern? Digitale Medien sind ja durchaus okay, dann ist das Netzwerk entsprechend einzurichten aber "frei" ins Internet wäre erst ab bestimmten Klassen und Fächern eher sinnvoll.

Meine Kinder sind noch nicht in dem Alter aber ich kann mir aktuell keinen Anwendungsfall vorstellen, wo "unkontrollierter" Internetzugriff erforderlich ist.
Mitglied: Looser27
Looser27 21.03.2023 um 15:38:07 Uhr
Goto Top
Wer soll den bitte definieren welcher Inhalt ab welchem Alter in Ordnung ist?

Das ist klar definiert. vgl. https://www.bzkj.de/bzkj/indizierung/was-wird-indiziert

Auf der anderen Seite gebe ich Dir Recht, dass eine altersgerechte Medienerziehung Teil des Konzeptes sein muss um den unterschiedlichen Altersstufen gerecht werden zu können.

Im oben genannten adguard gibt es den sog. "Familienschutz" der jugendgefährdende Inhalte zu sehr großen Teilen rausfiltert. Eine 100%ig saubere Filterung wird man mit vertretbarem Aufwand nicht hinbekommen.

OT:
Elternabende zu diesen Themen sind immer wieder erhellend, zumal die "Helikopter-Mamis" fleissig ihr Leben inkl. das der Kinder in den sozialen Medien breittreten, sich dann aber beschweren, wenn da Sachen aus dem Ruder laufen.

OT Ende.
Mitglied: SomebodyToLove
SomebodyToLove 21.03.2023 um 16:57:49 Uhr
Goto Top
@Looser27
Guter Link, kannte ich bisher nicht.
Aber dennoch ist mir da nicht ganz klar, bzw. konnte es nicht auf die schnelle finden, wo auf der Seite explizit Dargestellt wird ab welchem Alter welcher Inhalt angemessen ist.

Wenn du jetzt bspw. auf Wikipedia nach "Jack the Ripper" suchst. Ist es ein sehr fachlicher Artikel, allerdings keiner welchen ich meinen Kindern zur Gutenachtgeschichte vorlesen würde.

Also wirklich zu 100% kann man glaube ich die Inhalte nicht steuern welche angezeigt werden.

Aber ich denke wir sind da auf dem selben Dampfer und die Frage des TE´s wurde mehrfach beantwortet.

Deshalb bin ich jetzt hier mal raus, vielleicht kommt ja noch eine FSK für Webseiten face-smile

Grüße
Somebody
Mitglied: Dani
Dani 21.03.2023 um 20:28:12 Uhr
Goto Top
@SomebodyToLove
Die Schulen sollen sich darum kümmern das nicht jungendfreie oder illegale Seiten über das Schulnetz verboten sind. Aber meiner Meinung nach ist dann auch die Pflicht erfüllt.
das reicht heute nicht mehr. Zumal die staatlichen Schulen den Druck entsprechend an den Schulträger weiterreichen. Und der Schulträger bzw. die IT sich daran nicht die Finger verbrennen möchte. Da ist meistens schon die Axt am Baum, wenn Medientechnik temporär nicht funktioniert.

Also da sollte man schon noch die Kirche im Dorf lassen.
Ich mische mich da nicht ein. Ich bin als Vater und nicht als ITler. Aber heutzutage gilt das leider nicht mehr. Da wird seitens Eltern massiv Druck aufgebaut. Das ist sicherlich im ländlichen Raum zu differenzieren. Und eine Rechtsschutzversicherung wird heute mal schneller in Anspruch genommen als vor 20 Jahren.

Aber dennoch ist mir da nicht ganz klar, bzw. konnte es nicht auf die schnelle finden, wo auf der Seite explizit Dargestellt wird ab welchem Alter welcher Inhalt angemessen ist.
Ist auf dem Link bzw. in den Unterseiten alles ganz genau nachlesebar und dort wird auch der Prozess beschrieben. Zumal bei unter 6 Jahren sogar mit einer Whitelist gearbeitet wird. Alles andere ist gesperrt.


Gruß,
Dani
Mitglied: commodity
commodity 21.03.2023 aktualisiert um 22:44:08 Uhr
Goto Top
Also ich denke, der TO wird als Lehrer die für ihn maßgeblichen Anforderungen schon selbst kennen.
Die FSK-Regeln auf das Schul-LAN zu übertragen finde ich Quatsch. Die Schule ist ja kein Anbieter des Materials, sondern nur der "Leitung".
Zum JusProgDNS ist im Netz nicht viel zu finden. Aber der Verein wirkt schon auf den ersten Blick verschlafen deutsch. Leider. Ob ich dem (mit einer zuletzt 2019 aktualisierten Website) das DNS für meine Schüler anvertrauen würde? Kaum.
Hier gibts auch mal ein Userstatement (aus 2022), das stimmt auch nicht freudiger: https://ask.linuxmuster.net/t/wie-macht-ihr-contentfilterung/8796
Was JusProgDNS machen, können Pi-Hole, Adguard und die UTM-Firewalls auch locker. Die Staffelung nach Altersstufen ist fragwürdig und ja auch nicht umzusetzen, ohne mehrere Netze anzubieten. Dann gibt es eines für Oberschüler ab "6" also 10 Jahren, eines ab 12 und eines ab 16. Und wer stellt sicher, dass die Passwörter dafür nicht bereits in der ersten Woche kreisen?

Für mich ist das mal wieder die deutsche ich-steh-mir-im-Weg-Herangehensweise. Was einer der Gründe dafür ist, dass wir so dastehen: https://www.spiegel.de/karriere/internations-umfrage-was-expats-von-deut ...
Statt die vorhandenen einfachen und wirksamen Mittel kurzfristig einzusetzen und damit fast alle Usecases abzudecken, werden bürokratische und/oder unwirtschaftliche technische Umsetzungen erörtert. Am Ende geht es in den Arbeitskreis und dann passiert wieder Jahrelang nichts. Weil es ja megatoll und aufwendig sein soll, alle finden das suuuuperwichtig, aber machen, ja machen soll das natürlich der einzelne Lehrer. Wenn dann die Klage kommt gibt's Panik und alle kaufen die megateure Sicherheitslösung. Die dann wiederum nach einem Jahr verkommt, weil niemand da ist, der sich darum kümmert. Zigtausende iPads lassen grüßen.

Vieles geht auch bei uns einfach, man muss nur mal machen. Anfangen ist einfach wichtiger, als notorisch die perfekte Lösung zu diskutieren.

Viele Grüße, commodity