simi2204
Goto Top

Netzwerk Proxy verschleiern Mac Book Air

Hallo zusammen,

ich arbeite aktuell daran einen apple Mdm server einzurichten. Aufgrund der Tatsache das wir eine Schule sind wollen wir den Apple School Manager verwenden. Wir haben nun das Problem das der School Manager Admin (im Browser) immer wieder abschmiert. Unser erster verdacht war die Firewall dann sind wir mit Apple in Kontakt getreten und haben versucht das Problem zu lokalisieren und evtl Ports an der Firewall freizugeben. Apple hat dann irgendwann nachdem sie die Ports nicht finden konnten die wir freischalten müssten gesagt ja das liegt nicht an der Firewall sondern am Proxy der Apple School Manager lässt keine geproxyten Verbindungen zu soweit so gut. Mein Problem ist jetzt aber ohne proxy komme ich nicht ins Internet ist so blockiert in unserem Schulnetzwerk das ist auch nicht änderbar kann ich es irgendwie verschleiern das ich einen Proxy nutze? Oder meint ihr eher das die FW schuld ist?

Content-ID: 341876

Url: https://administrator.de/forum/netzwerk-proxy-verschleiern-mac-book-air-341876.html

Ausgedruckt am: 26.12.2024 um 03:12 Uhr

sabines
sabines 28.06.2017 aktualisiert um 12:33:12 Uhr
Goto Top
Moin,

was spricht denn dagegen für den Zugriff auf den Manager den Proxy im Webbrowser zu deaktivieren und ihn für's Internet wieder zu aktivieren?

Zumindest könntest Du so den Proxy als Fehlerquelle eingrenzen.

Oder steh' ich auf'm Schlauch? Oder braucht das Ding eine Internetverbindung im lokalen Netz?

Gruss
simi2204
simi2204 28.06.2017 um 13:38:24 Uhr
Goto Top
Zitat von @sabines:

Moin,

was spricht denn dagegen für den Zugriff auf den Manager den Proxy im Webbrowser zu deaktivieren und ihn für's Internet wieder zu aktivieren?

Der Admin ist ein Online Admin school.apple.com tut mir leid hab ich mich wohl nicht ganz klar ausgedrückt

Zumindest könntest Du so den Proxy als Fehlerquelle eingrenzen.

Oder steh' ich auf'm Schlauch? Oder braucht das Ding eine Internetverbindung im lokalen Netz?


Gruß Simon
chiefteddy
chiefteddy 28.06.2017 um 13:53:35 Uhr
Goto Top
Hallo,

Du meinst also, der Admin kommt von extern aus dem Internet durch eure Firewall, über einen Proxy auf den Webserver eures Management-Systems.

Aus Sicht der Netzwerksicherheit ganz schlechte Lösung!

Schon mal an ein VPN für den externen Admin gedacht?! Dann agiert er quasi von "innen" und geht nicht über einen Proxy. Und sicherer ist das auch noch.

Jürgen
sabines
sabines 28.06.2017 aktualisiert um 14:36:30 Uhr
Goto Top
Moin,

der MDM Server ist aber lokal im LAN?
Und über das Internet Webinterface greift Apple dann darauf zu?

Hab' ich das jetzt richtig verstanden?

Vermutlich wirst Du nicht umhin kommen, den Proxy testweise zu deaktivieren, ich kenne kein System bei dem das nicht funktioniert.
Ebenso gibt es sicher eine Möglichkeit bspw. für eine VM Ausnahmen im Proxy zu definieren.

Das gleiche gilt auch für die FW, ich habe hier eine standardmäßig deaktivierte Regel die für eine bestimmte lokale IP alles durchlässt.
Wenn irgendwas nicht läuft aktiviere ich diese und schließe damit die FW als Fehler in 90% der Regel aus.

Das kann man dann auch wunderbar dem Hersteller Support um die Ohren knallen.

Letzte Möglichkeit:
Per Wireshark das Netz abhören, so kannst Du prüfen ob und ggfs. wo intern das Problem liegt.

Gruss
simi2204
simi2204 28.06.2017 um 16:25:02 Uhr
Goto Top
Zitat von @chiefteddy:

Hallo,

Du meinst also, der Admin kommt von extern aus dem Internet durch eure Firewall, über einen Proxy auf den Webserver eures Management-Systems.

Nein ich weise die iPads bei Apple dem Mdm zu. Dort wurde eine Token datei generiert wodurch sich unser. MDM server bei apple registriert. Rest läuft intern

Aus Sicht der Netzwerksicherheit ganz schlechte Lösung!

Das wäre mir bewusst

Schon mal an ein VPN für den externen Admin gedacht?! Dann agiert er quasi von "innen" und geht nicht über einen Proxy. Und sicherer ist das auch noch

Gruß Simon
simi2204
simi2204 28.06.2017 um 16:28:14 Uhr
Goto Top
Zitat von @sabines:

Moin,

der MDM Server ist aber lokal im LAN?
Und über das Internet Webinterface greift Apple dann darauf zu?


So in etwa genauer stehts in dem Kommentar weiter oben.

Hab' ich das jetzt richtig verstanden?

Ja

Vermutlich wirst Du nicht umhin kommen, den Proxy testweise zu deaktivieren, ich kenne kein System bei dem das nicht funktioniert.

Muss ich aber da ich ihn nicht Deaktivieren kann Firewall wird extern vom LRA betreut

Ebenso gibt es sicher eine Möglichkeit bspw. für eine VM Ausnahmen im Proxy zu definieren.

selbes Problem

Das gleiche gilt auch für die FW, ich habe hier eine standardmäßig deaktivierte Regel die für eine bestimmte lokale IP alles durchlässt.

same Problem

Wenn irgendwas nicht läuft aktiviere ich diese und schließe damit die FW als Fehler in 90% der Regel aus.

Das kann man dann auch wunderbar dem Hersteller Support um die Ohren knallen.

Wird Apple bestimmt interessieren ;)

Letzte Möglichkeit:
Per Wireshark das Netz abhören, so kannst Du prüfen ob und ggfs. wo intern das Problem liegt.

Werd ich mal machen

Gruß Simon
chiefteddy
chiefteddy 29.06.2017 um 09:56:58 Uhr
Goto Top
Hallo,

wenn Du eh nichts an der Firewall und dem Proxy machen kannst/darfst, worüber reden wir denn hier??

Dann Beauftrage den Dienstleister, der die Sicherheit eures Internetzugangs managt, die von Dir gewünschte Funktionalität einzurichten. Das ist nämlich die Aufgabe eines DIENSTLEISTERS. Dann muß er Applel kontaktieren und die Parameter abfordern.

Wenn man als Dritter zwischen 2 Beteiligten "sitzt", hat man immer die "Arschkarte"!

Jürgen
simi2204
simi2204 29.06.2017 um 10:28:35 Uhr
Goto Top
Zitat von @chiefteddy:

Hallo,

wenn Du eh nichts an der Firewall und dem Proxy machen kannst/darfst, worüber reden wir denn hier??

Genau gennomen reden wir darüber das irgendwie hinzubekommen das Landratsamt lässt uns nicht an die FW ran und verweist auf den externen der nach Brasilien ausgewandert ist das vereinfacht die sache natürlich nicht wirklich so war der Plan das ganze eher zuverschleiern das das über unsere FW und den Proxy geht

Dann Beauftrage den Dienstleister, der die Sicherheit eures Internetzugangs managt, die von Dir gewünschte Funktionalität einzurichten. Das ist nämlich die Aufgabe eines DIENSTLEISTERS. Dann muß er Applel kontaktieren und die Parameter abfordern.

Ja aber zu dem bekomm ich keinen Kontakt das ginge nur über unseren Offiziellen Systembetreuer welcher für mich absolut nicht greifbar ist.

Wenn man als Dritter zwischen 2 Beteiligten "sitzt", hat man immer die "Arschkarte"!

eigentlich zwischen 3 aber i know what you mean


Gruß Simon
chiefteddy
chiefteddy 29.06.2017 um 11:38:35 Uhr
Goto Top
so war der Plan das ganze eher zuverschleiern

Hallo,

verschleiern heißt in Deinem Fall VPN-Tunnel durch die Firewall. Aber auch das geht nur sinnvoll, wenn man die Fierwall entsprechend konfiguriert.

Jürgen

PS: Nimm´ es mir bitte nicht übel, aber vielleicht bist Du ein zu "kleines Licht" in dieser Gemengelage. Vielleicht sollte der Schulleiter mal beim Leiter des Schulamtes vorstellig werden und darauf hinweisen, das Frau Merkel eine "digitale Agende" für Deutschland verkündet hat. Und das Landesschulamt für die lokale Umsetzung dieser politischen Entscheidung im Schulbereich zuständig ist. Dh. der Schuladmin braucht wenigstens einen Zugang zum Sicherheits-DIENSTLEISTER!!
sabines
sabines 29.06.2017 um 13:07:36 Uhr
Goto Top
Moin,

Brasilien hin oder her.
Das ist doch ziemlich sicher eine Cisco FW, ich glaube kaum, dass in diesem Umfeld kein Wartungsvertrag mit einem namhaften Systemhaus existiert.

Gruss
simi2204
simi2204 30.06.2017 um 00:43:20 Uhr
Goto Top
Zitat von @sabines:

Moin,

Brasilien hin oder her.
Das ist doch ziemlich sicher eine Cisco FW,

Nein Sophos

ich glaube kaum, dass in diesem Umfeld kein Wartungsvertrag mit einem namhaften Systemhaus existiert.

haben wir auch endet an der Firewall ab da nur noch über das LRA soweit meine Information

Gruß Simon
simi2204
simi2204 30.06.2017 um 00:46:57 Uhr
Goto Top
Zitat von @chiefteddy:

so war der Plan das ganze eher zuverschleiern

verschleiern heißt in Deinem Fall VPN-Tunnel durch die Firewall. Aber auch das geht nur sinnvoll, wenn man die Fierwall entsprechend konfiguriert.

War auch mein erster gedanke aber wohin den einen VPN tunnel? zu mir nachhause? Irgendwo endet meine zuständigkeit als übereifriger Schüler finde ich.

Jürgen

PS: Nimm´ es mir bitte nicht übel, aber vielleicht bist Du ein zu "kleines Licht"

Hobby mässiger Zeitvertreib nach dem Unterricht ja kleines Licht triffts glaube ich gut

in dieser Gemengelage. Vielleicht sollte der Schulleiter mal beim Leiter des Schulamtes vorstellig werden und darauf hinweisen, das Frau Merkel eine "digitale Agende" für Deutschland verkündet hat. Und das Landesschulamt für die lokale Umsetzung dieser politischen Entscheidung im Schulbereich zuständig ist. Dh. der Schuladmin braucht wenigstens einen Zugang zum Sicherheits-DIENSTLEISTER!!

Den hat der Schuladmin auch aber 1. der bin ich nicht 2. Ist der aufgrund von abwesenheit auch nicht greifbar für micht :/

Gruß Simon
chiefteddy
chiefteddy 30.06.2017 um 10:15:44 Uhr
Goto Top
übereifriger Schüler

Hallo,

das hatte ich mir fast gedacht. Ich meine das nicht "böse"; ich kenne nur in meiner Stadt auch einige Schulen, wo die Administration des Schulnetzes von Schülern realisiert wird. Das Engagement ist durchaus lobenswert. Es ist aber nun mal leider so, das ein Schulnetz mit meheren Computerkabinetten, die vernetzten PCs in der Schulverwaltung usw. in professionelle Hände gehören. Das kann nicht der Informatik-Lehrer und einige "IT-Kidies" nebenbei administrieren!

In Baden Würtenberg gibt die Landesmedienzentrale den Schulen bei der Administration eine gute Unterstützung.

https://www.lmz-bw.de/technische-unterstuetzung/netzwerkloesung/paedmlr- ...

Versuche doch mal über diesen Weg in deinem Bundesland Unterstützung zu bekommen.

Jürgen
maretz
maretz 30.06.2017 um 10:51:59 Uhr
Goto Top
Moin,

dann sollte deine Schule da mal schnell tätig werden. Für gewöhnlich sollten Schüler ja auch die Schule mal verlassen weil die (hoffentlich) irgendwann den Abschluss mal schaffen. Dann ist eine solche Lösung durch Schüler aufgebaut generell schlecht.

Was das ganze mit "Verschleiern" angeht - verwerfe diese Idee am besten schneller als du die entwickelt hast. DAS ist einer der Gründe warum Schüler nicht an sowas gehören. Ok, du hast das am Laufen. Und wer trägt die Haftung? Entweder die Haftung dafür das es stabil läuft? Und jetzt nehmen wir den Fall an du hast da was gebaut und ich komme morgen an die Schule und kann die Verbindung nutzen um illegal Daten zu laden, einen Angriff zu starten oder sonstwas - wer haftet dann?

Es ist sicher gut wenn Schüler da mal helfen - aber die Entscheidungen muss halt jemand treffen der eben auch dafür verantwortlich ist. Und derjenige kann eben auch nen Dienstleister mal treten...
simi2204
simi2204 30.06.2017 um 17:16:49 Uhr
Goto Top
das hatte ich mir fast gedacht. Ich meine das nicht "böse"; ich kenne nur in meiner Stadt auch einige Schulen, wo die Administration des Schulnetzes von Schülern realisiert wird.

Wird es nicht ich helf wo ich kann wir haben für die eigentlichen pcs auch einen ansprechpartner nur für die iPads nicht

Das Engagement ist durchaus lobenswert. Es ist aber nun mal leider so, das ein Schulnetz mit meheren Computerkabinetten, die vernetzten PCs in der Schulverwaltung usw. in professionelle Hände gehören. Das kann nicht der Informatik-Lehrer und einige "IT-Kidies" nebenbei administrieren!

Man hilft halt wo man kann wenn ich keine Ahnung hab was ich machen muss lass ichs auch

In Baden Würtenberg gibt die Landesmedienzentrale den Schulen bei der Administration eine gute Unterstützung.
https://www.lmz-bw.de/technische-unterstuetzung/netzwerkloesung/paedmlr- ...

Versuche doch mal über diesen Weg in deinem Bundesland Unterstützung zu bekommen.

Werd ich nicht mehr ändern in meiner einen woche wo ich noch an der schule bin auf so eine Idee muss schon jemand kommen der da noch länger ist.

Gruß Simon
simi2204
simi2204 30.06.2017 um 17:20:39 Uhr
Goto Top
Zitat von @maretz:

Moin,

dann sollte deine Schule da mal schnell tätig werden. Für gewöhnlich sollten Schüler ja auch die Schule mal verlassen weil die (hoffentlich) irgendwann den Abschluss mal schaffen. Dann ist eine solche Lösung durch Schüler aufgebaut generell schlecht.

Richtig gennerell gilt in meiner schule aber das Moto schaff es oder wir lassen es so und für es so lassen bin ich nicht bereit bzw bin ich zu stolz

Was das ganze mit "Verschleiern" angeht - verwerfe diese Idee am besten schneller als du die entwickelt hast. DAS ist einer der Gründe warum Schüler nicht an sowas gehören. Ok, du hast das am Laufen. Und wer trägt die Haftung? Entweder die Haftung dafür das es stabil läuft? Und jetzt nehmen wir den Fall an du hast da was gebaut und ich komme morgen an die Schule und kann die Verbindung nutzen um illegal Daten zu laden, einen Angriff zu starten oder sonstwas - wer haftet dann?

Da hast du meinen Plan nicht ganz verstanden ich wollte nicht den Proxy umgehen sonder lediglich etwas basteln das die information das wir den Proxy nutzen nicht mehr an die besagte Seite weitergegeben wird das ich mir mit allem anderen eine Sicherheitslücke bauen würde ist mir bewusst.

Es ist sicher gut wenn Schüler da mal helfen - aber die Entscheidungen muss halt jemand treffen der eben auch dafür verantwortlich ist. Und derjenige kann eben auch nen Dienstleister mal treten...

Hab mir damit eine gewisse Grunderfahrung für meine Ausbildung als Fachinformatiker für Systemintegration aufgebaut. Ich hab geholfen weil die Zeit von anderen nicht da war so ein Dienstleister kostet eine menge geld die wie ich finde lieber in hardware investiert werden sollte anstatt in einen überteuerten dienstleister ich helf einfach wo ich kann.

Gruß Simon