BYOD in Schulen mit SafeSearch
Moin,
ich beschäftige mich derzeit mit dem Thema WLAN an Schulen. Es kommt ja immer häufiger vor, dass in Schulen WLANs angeboten werden, wo die Schüler per BYOD eigene Geräte einbinden können, indem sie sich über einen Voucher oder über einen RADIUS Server mit Schulkonten authentifizieren. Um das ganze sicher zu machen, kann ich VLANs nutzen und eine Firewall mit Webfilter vorschalten, der mir zumindest bestimmte Kategorien sperrt.
Bei schuleigenen Geräten ist meist ein fester Proxy hinterlegt, bzw. HTTPS Deep Inspection aktiv, um Dinge wie SafeSearch zu nutzen. Viele nutzen hier z. B. den Schulrouter von Time for Kids. Bei BYOD Konzepten kann ich keine festen Proxy in Handy hinterlegen - das wäre viel zu aufwendig und HTTPS Inspection geht auch nicht, da ich auf jedem Gerät das Zertifikat der Firewall ausrollen müsste. Hier kann also nur ein transparenter Proxy aktiv sein (HTTPS Inhalte lassen sich via Webfilter blocken - ohne Anzeige, dass der Inhalt geblockt wurde, aber SafeSearch lässt sich nicht erzwingen).
Ich bin jetzt auf cleanbrowsing.org PublicDNS Server gestoßen, die einen FamilyShield DNS bereit stellen, der die meisten kritischen Inhalte filtert - funktioniert soweit auch ganz gut. Jetzt können ich diesen DNS ja an die Clients per DHCP verteilen und via Firewallregel Auflösungen nur über diesen DNS erlauben. Wenn sich dann Clients eigene DNS Server eintragen, kann dieser durch die Firewall nicht erreicht werden.
Welche Möglichkeiten gibt es für Schulen, in BYOD Konzepten das WLAN möglichst so zu gestalten, dass es nicht jugendfreie Inhalte filtert oder blockt? Wäre die o. g. Möglichkeit von cleanbrowsing.org oder OpenDNS eine aktzeptable Möglichkeit? Kenn jemand einen deutschen DNS Dienst, der sowas anbietet?
Kennt jemand ein Whitepaper wie eine technische Ausstattung mit WLAN und BYOD in Schulen ausehen kann (v. a. die Sache mit SafeSearch, transparentem Proxy etc.)?
ich beschäftige mich derzeit mit dem Thema WLAN an Schulen. Es kommt ja immer häufiger vor, dass in Schulen WLANs angeboten werden, wo die Schüler per BYOD eigene Geräte einbinden können, indem sie sich über einen Voucher oder über einen RADIUS Server mit Schulkonten authentifizieren. Um das ganze sicher zu machen, kann ich VLANs nutzen und eine Firewall mit Webfilter vorschalten, der mir zumindest bestimmte Kategorien sperrt.
Bei schuleigenen Geräten ist meist ein fester Proxy hinterlegt, bzw. HTTPS Deep Inspection aktiv, um Dinge wie SafeSearch zu nutzen. Viele nutzen hier z. B. den Schulrouter von Time for Kids. Bei BYOD Konzepten kann ich keine festen Proxy in Handy hinterlegen - das wäre viel zu aufwendig und HTTPS Inspection geht auch nicht, da ich auf jedem Gerät das Zertifikat der Firewall ausrollen müsste. Hier kann also nur ein transparenter Proxy aktiv sein (HTTPS Inhalte lassen sich via Webfilter blocken - ohne Anzeige, dass der Inhalt geblockt wurde, aber SafeSearch lässt sich nicht erzwingen).
Ich bin jetzt auf cleanbrowsing.org PublicDNS Server gestoßen, die einen FamilyShield DNS bereit stellen, der die meisten kritischen Inhalte filtert - funktioniert soweit auch ganz gut. Jetzt können ich diesen DNS ja an die Clients per DHCP verteilen und via Firewallregel Auflösungen nur über diesen DNS erlauben. Wenn sich dann Clients eigene DNS Server eintragen, kann dieser durch die Firewall nicht erreicht werden.
Welche Möglichkeiten gibt es für Schulen, in BYOD Konzepten das WLAN möglichst so zu gestalten, dass es nicht jugendfreie Inhalte filtert oder blockt? Wäre die o. g. Möglichkeit von cleanbrowsing.org oder OpenDNS eine aktzeptable Möglichkeit? Kenn jemand einen deutschen DNS Dienst, der sowas anbietet?
Kennt jemand ein Whitepaper wie eine technische Ausstattung mit WLAN und BYOD in Schulen ausehen kann (v. a. die Sache mit SafeSearch, transparentem Proxy etc.)?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 484366
Url: https://administrator.de/forum/byod-in-schulen-mit-safesearch-484366.html
Ausgedruckt am: 26.12.2024 um 04:12 Uhr
7 Kommentare
Neuester Kommentar
Bei BYOD Konzepten kann ich keine festen Proxy in Handy hinterlegen
Musst du auch nicht, denn mit einem entsprechenden Router lässt sich das mit einem Feature wie z.B. http redirect oder auch mit einfachen ACLs und Policy based Routing auf einen Zwangsproxy redirecten. Mit entsprechender Hardware ist das mit ein oder zwei Konfig Parametern im Handumdrehen erledigt.Ein einfacher Filter ist z.B. sowas wie das PiHole Konzept. Hier gibt es auch entsprechende Filterlisten mit Jugendschutz Charakter. Sicher ist ein PiHole nicht so skalierbar aber sowas kann man auch einfach auf etwas potenterer HW laufen lassen. Hier gibt es auch dirverse fertige Produkte bzw. Software die man erwerben kann. Nur mal so als Denkansatz...
Hallo MasterPhil,
PfSense mit dem PFBlockerNG Paket kann das ohne Deep Inspection auf DNS Ebene. Per Firewall/NAT kannst du alle auf die PFSense umleiten (Redirecting all DNS Requests to pfSense) dann per DNS Override zu SafeSearch umleiten bzw. mit PFBlockerNG zu filtern. Anleitungen dazu finden sich massig im Netz!
LG Martin
PfSense mit dem PFBlockerNG Paket kann das ohne Deep Inspection auf DNS Ebene. Per Firewall/NAT kannst du alle auf die PFSense umleiten (Redirecting all DNS Requests to pfSense) dann per DNS Override zu SafeSearch umleiten bzw. mit PFBlockerNG zu filtern. Anleitungen dazu finden sich massig im Netz!
LG Martin
Bei Google, Bing und YouTube lassen sich die Suchergebnisse über Eingriffe in die Namensauflösung steuern. Siehe z.B. https://support.zyxel.eu/hc/es/article_attachments/360001987659/Google_S ...
Bei vielen Firewalls (z.B. bei Sonicwall) ist das zumindest für die google-Suche sogar fest in die Firewall-Firmware integriert und bedarf noch nicht mal einer Nutzung der Firewall als DNS-Proxy (DNS-Inspection im Stream).
Natürlich lassen sich solche Manipulationen durch den Anwender umgehen. Z.B. per DoH in Firefox.
Gruß
sk
Bei vielen Firewalls (z.B. bei Sonicwall) ist das zumindest für die google-Suche sogar fest in die Firewall-Firmware integriert und bedarf noch nicht mal einer Nutzung der Firewall als DNS-Proxy (DNS-Inspection im Stream).
Natürlich lassen sich solche Manipulationen durch den Anwender umgehen. Z.B. per DoH in Firefox.
Gruß
sk
Hi,
schau dir mal die Seite schulnetz.info an. Da findest du sicher die eine oder andere gute Anregung.
Gruß NV
schau dir mal die Seite schulnetz.info an. Da findest du sicher die eine oder andere gute Anregung.
Gruß NV
Das macht ein Pi-Hole exakt genau so für ganz kleines Geld:
Raspberry Pi Zero W als Pi-hole Adblocker
Raspberry Pi Zero W als Pi-hole Adblocker