Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Proxyeinstellungen per DHCP verteilen für Android, Mac und Windows

Mitglied: Winfried-HH

Winfried-HH (Level 2) - Jetzt verbinden

13.06.2018 um 13:58 Uhr, 898 Aufrufe, 12 Kommentare

Hallo in die Runde!

Kann man irgendwie Proxy-Einstellungen per DHCP verteilen? Ich habe was von der WPAD.DAT gelesen, die aber unter Android wohl nicht funktionieren soll. Dann habe ich aber etwas von einer PAC-Datei gelesen, wo die Aussagen im Netz etwas widersprüchlich sind, ob das von allen Systemen unterstützt wird. Der Hintergrund ist folgender:

Wir haben in unserer Schule diverse Accessoints, die (unter anderem) ein wLAN für BYOD-Geräte ausstrahlen. Der Internetverkehr der Schüler-Endgeräte muss aber trotzdem über unseren Time-for-Kids-Schulfilter gefiltert werden. Ein transparenter Proxy wäre zwar möglich, filtert aber laut Time for Kids keinen HTTPS-Verkehr. Da aber inzwischen viele WebSites per HTTPS bereitgestellt werden, muss das natürlich funktionieren. Dazu muss der Schulfilter aber bei den Endgeräten als Proxy eingetragen sein. Das muss aber sinnvollerweise automatisch, also ohne Zutun des Benutzers passieren.


Schöne Grüße von der Elbe!
Winfried
Mitglied: St-Andreas
13.06.2018 um 14:20 Uhr
Hallo,


ssl verschlüsselten Traffic kannst Du nur filtern (von URL Filtern mal abgesehen), wenn Du die Verschlüsselung aufbrichst.
Dazu musst Du den Endgeräten ein Zertifikat unterschieben und den Benutzern vortäuschen, sie würden trotzdem verschlüsselt mit dem Server sprechen.

Ich würde an Deiner Stelle die Finger davon lassen, zumindest was BYOD Geräte anbelangt.

Was Schuleigene Geräte anbelangt mag das gehen, ich halte das trotzdem für untragbar, zumindest wenn es um private Aktivitäten der Benutzer geht.

Übrigens sollte "viele Websites per HTTPS " nicht mehr lange gelten, dann gilt "alle Websites".

Schöne Grüße vom Flughafen.
Andreas
Bitte warten ..
Mitglied: Winfried-HH
13.06.2018 um 14:27 Uhr
Zitat von St-Andreas:

Ich würde an Deiner Stelle die Finger davon lassen, zumindest was BYOD Geräte anbelangt.
Was Schuleigene Geräte anbelangt mag das gehen, ich halte das trotzdem für untragbar, zumindest wenn es um private Aktivitäten der Benutzer geht.

"Private" Aktivitäten sind den Schülern klar per Nutzungsrichtlinie untersagt. Das wLAN der Schule darf nur für schulische Aktivitäten verwendet werden und dann darf, nein muss die Schule den Jugendschutz gewährleisten.
Bitte warten ..
Mitglied: St-Andreas
13.06.2018 um 14:29 Uhr
Ja, aber darf die Schule denn in private Geräte eingreifen?
Bitte warten ..
Mitglied: tomolpi
13.06.2018 um 14:43 Uhr
Zitat von St-Andreas:

Ja, aber darf die Schule denn in private Geräte eingreifen?
Außerdem kannst du bei Android keinen systemweiten Proxy setzen, die Einstellungen gelten dann nur für Google Chrome, aber nicht für Apps!
Bitte warten ..
Mitglied: Winfried-HH
13.06.2018 um 14:45 Uhr
Zitat von St-Andreas:

Ja, aber darf die Schule denn in private Geräte eingreifen?

Was ist ein Eingriff? Wenn wir gar nicht "eingreifen" dürfen, dann könnten wir nicht mal per DHCP eine IP-Adresse vergeben. Und da bei Android Proxy-Einstellungen immer nur für das selektierte wLAN gilt, betrifft es alle anderen Netze, die der Schüler dann privat nutzt, nicht.
Bitte warten ..
Mitglied: St-Andreas
13.06.2018 um 14:54 Uhr
Der Eingriff: Du musst dem Gerät ein Zertifikat importieren und dies vertrauenswürdig machen.
http://www.openschoolproxy.de/index.php?one=sslfilterung.html

In dem Ihr mit der https Filterung faktisch eine "man in the middle" Attacke ausführt macht Ihr Euch nicht nur eventuell strafbar, sondern Ihr sorgt auch dafür das Eure Schüler zukünftig gefährdeter im Internet sind als notwendig.
Warum: Ihr hebelt den Sinn der Verschlüsselung aus und zeigt Euren Schülern das das "ok" ist. Warum sollte ein Schüler zukünftig bei SSL-Warnhinweisen vorsichtig sein, wenn in der Schule sowas ja auch kommt?

Zu meinen mit einem einfachen Jugendschutzfilter und dem Aufbrechen der Vertrauensstellungen zwischen Client und Server sei Eurer Pflicht genüge getan, ist, sorry, unverantwortlich.
Bitte warten ..
Mitglied: aqui
13.06.2018, aktualisiert um 15:14 Uhr
Man kann ja auf dem Router oder Switch einen Zwangs Redirect machen von Port TCP 80 und TCP 443 Traffic für dieses Netz. Damit erreicht man das gleiche. Das ist in der Wirkung gleich dem Cisco WCCP Kommando.
Ohne WCCP macht man das einfach über eine ACL um den o.a. Traffic zu selektieren und gibt ihn dann per Policy Routing mit einem Next Hop zwangsweise an den Proxy. Fertsch...
Mit der richtigen HW eine Sache von ein paar Minuten.
Bitte warten ..
Mitglied: erikro
13.06.2018 um 16:28 Uhr
Moin,

Zitat von St-Andreas:
In dem Ihr mit der https Filterung faktisch eine "man in the middle" Attacke ausführt macht Ihr Euch nicht nur eventuell strafbar,

Nein, machen sie sich nicht, sofern die Maßnahme in der von den Schülern und ihren Eltern zu unterzeichnenden Nutzungsbedingung bekannt gemacht wird. Stimmt der Anwender zu, dann darf ich alles, was sonst datenschutzrechtlich verboten ist.

sondern Ihr sorgt auch dafür das Eure Schüler zukünftig gefährdeter im Internet sind als notwendig.
Warum: Ihr hebelt den Sinn der Verschlüsselung aus und zeigt Euren Schülern das das "ok" ist. Warum sollte ein Schüler zukünftig bei SSL-Warnhinweisen vorsichtig sein, wenn in der Schule sowas ja auch kommt?

Ist da ein Stammzertifikat installiert, dann kommt da auch keine Meldung.

Ich würde das so lösen: Kein Router per DHCP verteilen. Damit ist schonmal die direkte Verbindung ins Internet unterbunden. Dann auf dem Proxy die Aufrufe abfangen. Die Aufrufe werden dann an den Server per https weitergeleitet allerdings direkt vom Proxy. Also nicht vollständig transparent. Nun kann der Proxy die Seiten entschlüsseln und auf Inhalt prüfen. Dann werden sie unverschlüsselt weiter an den Client gereicht. Das schreibt man in einfachen Worten in die Vereinbarung und gut ist.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: BlairChristopher
13.06.2018 um 17:00 Uhr
Hallo,

wie die meisten "Systemadministratoren" an Schulen beschäftigt auch mich das Problem mit der Filterung.
Bisher dachte ich, dass man https-Verbindungen nur filtern kann durch eine "man in the middle" Attacke oder einen Zwangsproxy.
Die Probleme der "man in the middle" Attacke sind oben schon zur Sprache gekommen.
Beim Zwangsproxy mit Verteilung der Wpad.dat Datei per DNS oder DHCP macht vor allem Android Probleme. Die sind teilweise nicht fähig, die Einstellungen für den Proxy automatich vorzunehmen.

Aqui erwähnt die Möglichkeit von Zwangs Redirect von https. Zu meiner Schande muss ich gestehen, dass diese Möglichkeit mir bisher nicht bekannt ist. Könnte mir hier jemand einen Link für eine verständliche Erläuterung geben. Idealerweise sogar eine Anleitung für z.B. Pfsense oder IPFire?

Vielen Dank!
Bitte warten ..
Mitglied: aqui
13.06.2018, aktualisiert um 20:00 Uhr
Die sind teilweise nicht fähig, die Einstellungen für den Proxy automatich vorzunehmen.
Macht ja nix wenn du ihn auf der Firewall oder dem Router zwangsredirectest.
Könnte mir hier jemand einen Link für eine verständliche Erläuterung geben
Lies dir WCCP bei Cisco durch. Ist das gleiche Prinzip nur das Cisco dafür ein festes Komamndo hat und bei "normalen" Routern oder Firewalls man das mit ACLs und Policy Based Routing macht
Das PBR Grundprinzip ist auch hier erklärt:
http://www.administrator.de/articles/detail.php?id=103423
In der pfSense kreierst du ganz einfach eine Firewall Regel in der du aus dem Source IP Netz die Ports TCP 80 und TCP 443 filterst. Unter den Advanced Rules gibst du dann dafür ein dediziertes Gateway an was dann dein Proxy ist.
Et voila...fertig ist die HTTP(S) PBR Zwangsroute auf den Proxy.
Bitte warten ..
Mitglied: BlairChristopher
15.06.2018 um 14:15 Uhr
Vielen Dank für die Informationen.
An der Schule setze ich IPFire ein. Dort ist es mit der GUI scheinbar nicht möglich, die gefilterten Daten an ein anderes Gateway zu senden.
Ich erstelle jetzt ein Testnetz mit Pfsense und eigenständigem Proxy. Da probiere ich das dann mal aus. Soweit ich das verstanden habe, kann ich auf der Pfsense selbst den Proxy aber nicht setzen. Die Daten müssen an einen Rechner mit eigener IP. Oder?
Bitte warten ..
Mitglied: aqui
15.06.2018, aktualisiert um 17:21 Uhr
Dort ist es mit der GUI scheinbar nicht möglich
Mit einer pfSense wäre das nicht passiert
kann ich auf der Pfsense selbst den Proxy aber nicht setzen.
Doch das geht natürlich auch !
Du kannst dir über die Package Verwaltung den Proxy dort direkt installieren
Bitte warten ..
Ähnliche Inhalte
Google Android
Android - bei jedem reboot neue MAC
Frage von HenereGoogle Android24 Kommentare

Servus zusammen, der Osterhase hat meinen Kids ein Point-of-View 7" Kids-Tablet gebracht. Nun habe ich ein kleines Problem damit, ...

Windows Netzwerk
DHCP MAC Filter unter W2008R2
Frage von sabinesWindows Netzwerk2 Kommentare

Moin, ich habe eine Frage zum DHCP MAC Filter unter W2008R2. Das ganze ist nur ein Teil einer Absicherungsstrategie, ...

LAN, WAN, Wireless

Kein DHCP-Lease an neueren Android Smartphones

Frage von sbs-newbieLAN, WAN, Wireless4 Kommentare

Hallo zusammen, ich vermute mal, dass mein Problem häufiger vorkommt, aber beim Suchen z. B. hier im Forum ist ...

Netzwerkmanagement

Windows bzw. Mac Softwaretool als temporären DHCP-Server gesucht

gelöst Frage von Server-NutzerNetzwerkmanagement6 Kommentare

Hallo Leute, mal wieder eine spezielle Frage für ein spezielles Anliegen. Situation: Auf Produktion (Liverecordings/Konferenzen) haben wir ein selbst ...

Neue Wissensbeiträge
Sicherheit
Have i been pwned Datensammlung lokal durchsuchen
Information von sabines vor 4 StundenSicherheit1 Kommentar

Heise beschreibt in diesem Artikel wie man seine eigenen Passwörter prüfen kann. Da viele den Weg der Onlineprüfung scheuen, ...

Windows 10

Windows 10 kann XPS erzeugen aber nicht anzeigen ????

Erfahrungsbericht von Deepsys vor 1 TagWindows 101 Kommentar

Heute schickt mir ein Kollegen eine E-Mail mit einer XPS-Datei vom Kunden im Anhang und fragt wie er diese ...

Exchange Server

1und1 IONOS: Probleme beim Mailversand mit Exchange

Information von reksierp vor 1 TagExchange Server3 Kommentare

Hallo, seit Do, 17.1.19 etwa Mittags nimmt 1und1 IONOS keine Mails mehr über den Standard-Port SMTP 25 an. Nachdem ...

LAN, WAN, Wireless

Cisco Mikrotik VPN Standort Vernetzung mit dynamischem Routing

Anleitung von aqui vor 2 TagenLAN, WAN, Wireless

1. Allgemeine Einleitung Das nachfolgende Tutorial ist eine Fortführung der hier bei Administrator.de schon bestehenden VPN Tutorials und beschreibt ...

Heiß diskutierte Inhalte
Windows Server
Sicherung Domain Controller
gelöst Frage von Monto1Windows Server20 Kommentare

Hallo zusammen, wie sichert Ihr den Domain Controller? Selbst, wenn zwei parallel laufen, ist eine Sicherung doch mal nützlich. ...

LAN, WAN, Wireless
Wo lässt sich das Gateway in der FRITZ!Box 7360 einstellen?
gelöst Frage von OssabowLAN, WAN, Wireless20 Kommentare

Hallo all, nach gründlicher Suche scheine ich der einzige zu sein der das Problem hat (macht micht schon mal ...

Backup
Was spricht gegen die veeam backup free edition?
Frage von keine-ahnungBackup19 Kommentare

Moin at all, aktuell plane ich die Umstellung meiner sehr überschaubaren Umgebung (3 Büchsen, davon 1 SBS2011 physisch, ein ...

Router & Routing
Probleme mit opnsense
Frage von BalivorinskyRouter & Routing15 Kommentare

Mir sind mehrere Probleme aufgefallen, hauptsächlich nachdem ich openvpn server eingerichtet habe und meine opnsense als Exposed Host in ...