Proxy-Lösung für ca. 5 User

Hallo,

Wenn Du die eigentlich Staerke (Cache) eines Proxy's nicht brauchst, duerfte eventuell Privoxy fuer Dich interesant werden.

BFF

Moin,

sorry, TOR und Squid haben mal so gar nix gemeinsam... Ok, beides sind "irgendwie" Proxys, aber Squid hat nix mit Anonymisierung zu tun...

Also da wirst du keine alternative zu Tor haben - sondern eben einfach nur was komplett anderes.

So nebenbei.

Das Teil worauf der Proxy soll, ist das ein Stueck Blech und koennte 2 Netzwerkkarten beherbergen? Weil dann wuerde ich eher zu einer Loesung wie IPFIRE greifen. Das Teil steht dann komplett zwischen dem Schulnetz und der Aussenwelt. Und ich glaube fuer IPFIRE gibt es auch einen TOR-Client.

BFF

dir ist aber auch klar das du dann solche dinge wie X_Forward_For auch noch hast bzw. im dümmsten fall irgendwelche Scripte die IP trotzdem auslesen?

Hallo,

Also der Proxy steht in der Regel zwischen dem Router oder der Firewall und der DMZ oder dem LAN.

Der Proxy filtert Webseiteninhalte und cached Daten die öfters einmal abgerufen werden!

In der Regel muss dieser Proxy dann auch eingetragen werden und zwar in den Einstellungen der Browser!

Hat die x86 CPU 64Bit? und hat sie auch AES-NI als Befehlssatz? Dann würde ich lieber versuchen pfSense
darauf zu installieren und dann mittels Squid, SquidGuard, SARG, Snort und pfBlockerNG im Zusammenspiel
mit OpenDNS etwas zu bauen was wesentlich besser zu sein scheint als das was Du vorhast und zusätzlich
noch das man den Radius Server für das Lehrer WLAN und das Captive Portal für das Schüler WLAN mit
benutzen kann.

Kein SOCKS Proxy in diesem Fall sondern einen HTTP proxy wie Sqwuid und/oder Ngix einzusetzen.

Eines ist mir noch nicht ganz klar dabei, Du schreibst das es um einen Proxy in einer Schule geht, der aber nur
für 5 Leute eingeschaltet werden soll und dann auch noch via Heimischer IP Adresse in das Internet weiterleiten soll?

Das ist irgend wie hanebüchen und nicht ganz korrekt, oder verschweigst Du uns hier etwas?

Und wofür soll der TOR dann gut sein? Damit dann alle Schüler anonym im Internet sind?

Und ich noch nicht ganz was der Proxy denn überhaupt soll!?

Willst Du das für 5 Leute wirklich machen? Warum denn das? Oder wollt Ihr das Internet in der Schule
auf dem Schulhof ohne Schulfilter genießen?


Gruß
Dobby

Moin,


Also dir ist aber bewusst, dass wenn du @home 'nen Proxy platzierst, um von überall (auf der Welt) diesen verwenden zu können und KEINEN VPN-Tunnel dafür nutzen kannst oder möchtest, dass dann quasi !Jeder! andere auch den Proxy nutzen kann!? denn irgendwie musst du ja von außen an deinen Proxy kommen...

"Ich" als Liebhaber von Nakkedei-Filmchen finde dann zufällig deinen Proxy, nutze den und besorge mir dann über deinen Anschluss erstmal fleißig Material für die nächsten Wochen...
Zur Abwechslung schaue ich mal noch, ob es icht schon die Blockbuster gibt, die Morgen erst im Kino anlaufen...

In meinen Augen grob fahrlässig, aber ist ja nicht mein Anschluss.

Wenn du das absichern willst: VPN ist das Zaberwort, aber dann bedarf es auch keinen Proxy, sondern eine static-Route alá 0.0.0.0 0.0.0.0 [Gateway vom VPN-Router] und sämtlicher Clienttraffic wandert über den VPN-Tunnel ins Netz... wer es mag...

Gruß
em-pie

Hallo,
das Ansinnen des Themenstarters hat Dobby wohl richtig erfasst.


Da ich mittlerweile für unseren Schulfilter verantwortlich bin, würde mich interessieren, wie ich genau dies verhindern kann.

Wie kann ich verhindern, dass Schüler über Tor den Filter umgehen?
Wie kann ich verhindern, dass Schüler über einen Proxy, der bei Mama daheim steht, den Filter in der Schule umgehen?

Bei uns wird nun IPFIRE als Zwangs-Proxy eingesetzt. Google und Youtube sind per DNS-Umleitung auf safesearch eingestellt. Squidguard ist aktiv, aller Traffic muss über den Proxy oder wird geblockt. In der Filterliste der Shallalist sind auch anonvpn, proxy, redirector und searchengines aktiv.

Reicht das, oder kann der Filter durch Tor/Proxy überwunden werden? Wenn ja, kann ich das verhindern?


Wenn ich meine Frage in einem neuen Thread stellen soll, sagt es bitte. Habt Nachsicht, ist mein erstes Pos­ting.


Schöne Grüße,
Blair

Moin,

Das Zauberwort ist Firewall - und wenn das was der TO hier möchte (den Schulfilter umgehen) so einfach klappt - sorry, dann ist die Sicherung des Netzes vermutlich vom Hausmeister erledigt worden. Allerdings kann man dann auch ohne Proxy Daten laden - die Sicherung ist eh fürn Ar...

Punkt a)
Jede halbwegs gute Firewall sollte bei einer Schule eh den direkten Traffic auf Port 80 usw. Verbieten und nur über einen Proxy die Schüler rauslassen (ggf. Einen transparenten Proxy nutzen damit die nich viel konfigurieren müssen). In dem Fall würde das Vorhaben eh bereits scheitern da alle Requests bereits durch einen Proxy laufen....

Punkt b)
Spätestens bei der Deep Packet Inspektion würde es auffallen (und ggf. Auch anhand des Traffics zum einzelnen Host).

Punkt c)
Da die Leitungen auch heute privat meist noch Async sind möchte ich mir auch gar nicht vorstellen wie es ist einen Film darüber zu laden. Schön wenn man Zuhause 200 TeraBit-Download hat aber nur 5 Mbit upload. Der Proxy reduziert dann die Geschwindigkeit auf eben diese 5 Mbit....

Natürlich - alles kann überwunden werden. Und sorry wenn ich das mal so sage - aber grad im Schulbereich sind oft die "Admins" irgendwelche Lehrer die eben sich grad etwas mit IT auskennen und sowas dann machen sollen (ich kann mir nicht vorstellen das sich das die letzten 10-15 Jahre geändert hat). Und wenn die dann neben dem normalen Job und dieser (oft unbezahlten) Nebentätigkeit dann noch Feierabend machen wollen können die Kiddys gucken ob die nicht "irgendwie" an den Sperren vorbeikommen. Wie kann man das am besten Verhindern? Ich denke mal indem man ruhig mal 1-2 Wege scheinbar offen lässt und sich die entsprechenden Leute dann ranholt und denen ggf. Auch mal einige Wochen die IT-Nutzung untersagt (Honeypot-Verfahren halt) und ggf. Die Eltern einbezieht... Technisch ist da nicht viel möglich, es gibt immer einen der klüger ist...

Na dann kommt er ja noch gut dabei weg, denn wenn dort erst einmal jemand einen 4 TB Bestand an anderen
Filmchen hoch lädt ist auch schon einmal morgens das LKA oder BKA mit im Haus und "wischt dort Staub"!!
Das wird dann richtig teuer und hart vor Gericht etwas anderes zu beweisen und vom Lästern auf der Straße
erst einmal völlig abgesehen.

Das ist aber nur das Eine, denn hier geht es in einem Adminstratorforum darum Hilfe anzubieten einen Schulfilter
zu umgehen, zumindest mag man das, wenn man alles bis hier hin gelesen hat, vermuten bzw. muss es ab dort annehmen.

Und zum Anderen, ist es wohl eher zumindest feist, anzunehmen dass wir Schülern helfen den Schulfilter zu umgehen.
Das sollen sie mal alleine machen, zumindest so wie ich das sehe.

Und das ist wohl eher der gegenteilige Sinn von so einem Forum wo man eigentlich Schützenhilfe für den Admin
des Schulnetzes bereit stellen möchte.

Dazu gibt es Vorschriften und auch Gesetze und ich denke dazu muss dann auch keiner mehr groß etwas erzählen.

Das kommt drauf an was Du hast und zwar an Hardware, Budget und/oder Erfahrung. Was ist die Schule bereit zu
zahlen, zu spenden oder anzuschaffen? Man kann heute vieles machen und das auch performant, denn eine Schule
hat gleich drei Probleme;
- Sie hat einen erhöhten Schutzbedarf
- Sie hat leider kein Einkommen, Erlöse oder Einnahmen
- Sie hat aber meist das Bedürfnis eines kleinen bis mittleren Betriebes (zumindest aus Netzwerk technischer Sicht)

- Starker Proxy Server mit DPI oder aber Benutzeranmeldung via Zertifikat und/oder Voucher was eingetragen wird!
- Mittlerer Proxy Server gehärtet und mit DenyHost oder fail2ban und Firewall drauf. Linux ist hier schon richtig.
- Squid, SquidGuard, SARD, Snort DPI, pfBlockerNG & DNSBL, BundesJugendSchutzFilter,
- VLANs und ACLs und MacSec
- Netz basierendes IDS und Host basierendes IDS
- OpenLDAP (Kabel gebundene Geräte)
- RadiusServer mit Zertifikaten und Verschlüsselung
- Captive Portal mit Vouchers (Kabel lose Geräte) und einer Liste wer zu welchem Voucher gehört
- Monitoringlösungen
- OpenDNS miteinbeziehen
- gestapelte Switche in einem abgeschlossenen Raum
- Firewall oder UTM am WAN Proxy Filter dahinter DPI Einheit dahinter usw...
- Eine verwaltete und Server gestützte Struktur, wie zum Beispiel AD/DC und LDAP und RadiusRolle
mittels MS Server oder Linux Server ist das auch möglich und vor allem mittels GPOs und Startscripten
besser zu verwalten.

Auch IPFire kann man ausbauen wenn man denn dazu geneigt ist es in Angriff zu nehmen.

Squid und SquidGuard mit Benutzeranmeldung?

Mal nach pfBlockerNG & DNSBL + TDL geschaut? Man braucht aber mehr RAM im System, zumindest je
kehr Listen man abonniert hat.

Geh mal von der anderen Seite her ran und dann ist es besser zu beurteilen für Dich und andere!
Man geht in der Regel von 100% Unsicherheit aus und dann werden Maßnahmen ergriffen um sich
möglichst nah 15% Unsicherheit heran zu arbeiten!

Dann lieber in einem anderen und eigenen Beitrag!

Die Schule biete Di und anderen einen Zugang zum Internet an, und ist gezwungen diesen zu sichern sodass
dort keinerlei Beschwerden ankommen können. Oder gar ein Gesetz gebrochen wird.

Das erzählt Dir dann der Richter oder jemand von der unteren oder oberen Schulbehörde!

Merkt ein Lehrer oder Schüler dass Ihr dort anderen Schülern oder gar Euch selber etwas einräumt was so
nicht vorgesehen ist, dann ist es auf jeden Fall zu ahnden wenn nicht sagt man der Schule eventuell Beihilfe
nach!

Mein Tipp lass es einfach sein denn damit hast Du früher oder später nur Ärger und den nicht alleine!

Gruß
Dobby

: Hinweis : Hierbei handelt es sich nur um einen lockeren Erfahrungsaustausch unter Forumsteilnehmern und nicht um eine sachliche- oder fachliche Beratung.

Moin,

nochmal - ob du deinen Squid irgendwo betreibst oder nicht, ob du legal oder illegal runterlädst ist _uns_ erst mal völlig egal. Denn: Von uns dürften die meisten die Schule bereits verlassen haben und der grossteil bräuchte für sowas keinen Proxy, der würde sich hier einfach nen entsprechenden Mobil-Vertrag nehmen und das ganze übers eigene LTE abfackeln. Ich denke den meisten hier werden selbst 70 oder 80E im Monat für nen Mobilvertrag nicht wehtun.

Von daher - dein "wenn es uns nicht gefällt" ist am Thema vorbei -> sorry, "uns" gehts am Ar... vorbei. Nur was passiert wenn sowas auffällt?
a) die Schule holt sich jemanden der sich auskennt. Das Geld geht halt dann in die Person statt in die Infrastruktur der Schule
b) entweder die Person aus a oder die Schule selbst wird andere Nutzungsregeln aufstellen bzw. bis das gelöst ist (das Budget einer Schule ist nicht endlos) das freie WLAN einfach abschalten.
--> Was du also machst ist einerseits so unauffällig als würdest du dir direkt ne Kappe mit gelben Blinklicht auf den Kopf setzen. Andererseits wird das Resultat nicht dich sondern alle Schüler/Lehrer treffen. Ok, möglicherweise auch dich - wenn die Schule dir die Rechnung für ne Prüfung / Behebung hinlegt.

Was deine kluge Idee mit "Passwort vergessen" angeht: Auch da ist es technisch gar kein Problem - mich interessiert als verantwortlicher in dem Moment doch gar nicht WAS du runterlädst... Wenn sowas erkannt wird sperrt man das Gerät ganz einfach komplett aus allen Netzen - fertig. Bin ich soweit das ich dich als Person bereits vor mir habe (und das müsste ich ja um auf dein Gerät zu gucken) - kein Ding, ich sperre einfach deine Accounts an der Schule. Glaubst du wirklich das ich da auch nur 1 Sekunde damit verschwende zu gucken was du gemacht hast? Ich drehe es einfach um: Zeig das es für die normale Nutzung nötig war - ansonsten ist dein Account einfach zu. Kannst du aus dem Grund am Unterricht irgendwo nicht teilnehmen - warte, ist das MEIN Problem? Nicht? Na dann... Aber glaubst du wirklich weil du 2 Folgen NCIS gesehen hast kommst du in der Realität damit auch klar - und ein Lehrer würde heute noch gucken ob der in deinem Gerät irgendwas findet? Ganz davon ab das der das nicht dürfte da du ja durchaus auch sowas wie Datenschutz hast... Aber du hast ganz sicher kein RECHT auf ein freies WLAN in der Schule...

Moin,
du hast wirklich keine Ahnung was man alles tun kann, oder? In ca. 10 Min hat man das Netz umgestellt auf eine 802.1x Auth - und schon hat sich was mit freies WLAN... Und das wäre nur das erste was man machen kann, kost nix (Freeradius & nen paar Zeilen Konfig), ist schnell eingerichtet und je nach System der Schule einmal Tipparbeit oder nicht... Danach gibt es aber noch eine ganze reihe mehr Möglichkeiten...

Was deinen tollen Proxy angeht: EIN Blick in die Logs - fertig... Deshalb sagte ich das du so unauffällig bist das du dir auch gleich nen gelbes Blinklicht an dein Laptop binden kannst. Ich sehe somit zu deinem Host extrem viel Traffic in den Logs während sich der normale traffic ja verteilt. Einfaches Beispiel: Wenn du normal surfst bist du mal auf administrator.de (zum lesen), mal ggf. auf Facebook, Google, ... sagen wir du hast 20 Seiten. In den Logs vom Gateway stehen jetzt also 20 Destination-Hosts mit mittlerem Traffic - ok, nix zu beachten... Jetzt gehst du über deinen tollen Server -> schon steht im Gateway nur EIN Host mit viel Traffic. Je nachdem was du machst (wenn euer Netz so toll offen ist muss das ja schon was im Download-Bereich sein, sonst würde es sich nicht lohnen) bist du damit beim Traffic auch schnell mal unter den Top-10. Und ab jetzt wird es doch interessant - dein Host ist so unauffällig das der sich sogar beim Reverse-Lookup (macht das GW automatisch) meldet, meist mit "dyn-ip....provider.de" oder ähnlichem. Brauche ich also nicht lang gucken - das wird kein realer Webserver sein bei dem mehr Traffic zu erwarten wäre...

Also - du bist weit weg davon zu wissen was man tun kann -> das wären jetzt nur 2 Möglichkeiten von vielen. Sowohl wie man schnell erfährt was los ist (und die dinger sind heute schön grafisch gemacht, d.h. du brauchst keinen richtigen Admin dafür!) und was man schnell dagegen machen kann... Und ich denke jeder hier hat noch min 2-200 andere Optionen in der Hand um sowas zu finden, wie bereits erwähnt hat jeder solche Kiddys im Job. Aber nochmal: Es steht dir zu das zu probieren - mit Glück habt ihr in der Schule keinen den es kümmert (auch das ist nicht so selten). Mit Pech riskierst du halt für 3 Hoppel-Filme ne Menge Spass...