Proxyeinstellungen per DHCP verteilen für Android, Mac und Windows

Hallo in die Runde!

Kann man irgendwie Proxy-Einstellungen per DHCP verteilen? Ich habe was von der WPAD.DAT gelesen, die aber unter Android wohl nicht funktionieren soll. Dann habe ich aber etwas von einer PAC-Datei gelesen, wo die Aussagen im Netz etwas widersprüchlich sind, ob das von allen Systemen unterstützt wird. Der Hintergrund ist folgender:

Wir haben in unserer Schule diverse Accessoints, die (unter anderem) ein wLAN für BYOD-Geräte ausstrahlen. Der Internetverkehr der Schüler-Endgeräte muss aber trotzdem über unseren Time-for-Kids-Schulfilter gefiltert werden. Ein transparenter Proxy wäre zwar möglich, filtert aber laut Time for Kids keinen HTTPS-Verkehr. Da aber inzwischen viele WebSites per HTTPS bereitgestellt werden, muss das natürlich funktionieren. Dazu muss der Schulfilter aber bei den Endgeräten als Proxy eingetragen sein. Das muss aber sinnvollerweise automatisch, also ohne Zutun des Benutzers passieren.


Schöne Grüße von der Elbe!
Winfried

Content-Key: 376830

Url: https://administrator.de/contentid/376830

Ausgedruckt am: 21.01.2022 um 08:01 Uhr

Mitglied: St-Andreas
St-Andreas 13.06.2018 um 14:20:22 Uhr
Goto Top
Hallo,


ssl verschlüsselten Traffic kannst Du nur filtern (von URL Filtern mal abgesehen), wenn Du die Verschlüsselung aufbrichst.
Dazu musst Du den Endgeräten ein Zertifikat unterschieben und den Benutzern vortäuschen, sie würden trotzdem verschlüsselt mit dem Server sprechen.

Ich würde an Deiner Stelle die Finger davon lassen, zumindest was BYOD Geräte anbelangt.

Was Schuleigene Geräte anbelangt mag das gehen, ich halte das trotzdem für untragbar, zumindest wenn es um private Aktivitäten der Benutzer geht.

Übrigens sollte "viele Websites per HTTPS " nicht mehr lange gelten, dann gilt "alle Websites".

Schöne Grüße vom Flughafen.
Andreas
Mitglied: Winfried-HH
Winfried-HH 13.06.2018 um 14:27:54 Uhr
Goto Top
Zitat von @St-Andreas:

Ich würde an Deiner Stelle die Finger davon lassen, zumindest was BYOD Geräte anbelangt.
Was Schuleigene Geräte anbelangt mag das gehen, ich halte das trotzdem für untragbar, zumindest wenn es um private Aktivitäten der Benutzer geht.

"Private" Aktivitäten sind den Schülern klar per Nutzungsrichtlinie untersagt. Das wLAN der Schule darf nur für schulische Aktivitäten verwendet werden und dann darf, nein muss die Schule den Jugendschutz gewährleisten.
Mitglied: St-Andreas
St-Andreas 13.06.2018 um 14:29:30 Uhr
Goto Top
Ja, aber darf die Schule denn in private Geräte eingreifen?
Mitglied: tomolpi
tomolpi 13.06.2018 um 14:43:59 Uhr
Goto Top
Zitat von @St-Andreas:

Ja, aber darf die Schule denn in private Geräte eingreifen?
Außerdem kannst du bei Android keinen systemweiten Proxy setzen, die Einstellungen gelten dann nur für Google Chrome, aber nicht für Apps!
Mitglied: Winfried-HH
Winfried-HH 13.06.2018 um 14:45:09 Uhr
Goto Top
Zitat von @St-Andreas:

Ja, aber darf die Schule denn in private Geräte eingreifen?

Was ist ein Eingriff? Wenn wir gar nicht "eingreifen" dürfen, dann könnten wir nicht mal per DHCP eine IP-Adresse vergeben. Und da bei Android Proxy-Einstellungen immer nur für das selektierte wLAN gilt, betrifft es alle anderen Netze, die der Schüler dann privat nutzt, nicht.
Mitglied: St-Andreas
St-Andreas 13.06.2018 um 14:54:07 Uhr
Goto Top
Der Eingriff: Du musst dem Gerät ein Zertifikat importieren und dies vertrauenswürdig machen.
http://www.openschoolproxy.de/index.php?one=sslfilterung.html

In dem Ihr mit der https Filterung faktisch eine "man in the middle" Attacke ausführt macht Ihr Euch nicht nur eventuell strafbar, sondern Ihr sorgt auch dafür das Eure Schüler zukünftig gefährdeter im Internet sind als notwendig.
Warum: Ihr hebelt den Sinn der Verschlüsselung aus und zeigt Euren Schülern das das "ok" ist. Warum sollte ein Schüler zukünftig bei SSL-Warnhinweisen vorsichtig sein, wenn in der Schule sowas ja auch kommt?

Zu meinen mit einem einfachen Jugendschutzfilter und dem Aufbrechen der Vertrauensstellungen zwischen Client und Server sei Eurer Pflicht genüge getan, ist, sorry, unverantwortlich.
Mitglied: aqui
aqui 13.06.2018 aktualisiert um 15:14:05 Uhr
Goto Top
Man kann ja auf dem Router oder Switch einen Zwangs Redirect machen von Port TCP 80 und TCP 443 Traffic für dieses Netz. Damit erreicht man das gleiche. Das ist in der Wirkung gleich dem Cisco WCCP Kommando.
Ohne WCCP macht man das einfach über eine ACL um den o.a. Traffic zu selektieren und gibt ihn dann per Policy Routing mit einem Next Hop zwangsweise an den Proxy. Fertsch...
Mit der richtigen HW eine Sache von ein paar Minuten.
Mitglied: erikro
erikro 13.06.2018 um 16:28:46 Uhr
Goto Top
Moin,

Zitat von @St-Andreas:
In dem Ihr mit der https Filterung faktisch eine "man in the middle" Attacke ausführt macht Ihr Euch nicht nur eventuell strafbar,

Nein, machen sie sich nicht, sofern die Maßnahme in der von den Schülern und ihren Eltern zu unterzeichnenden Nutzungsbedingung bekannt gemacht wird. Stimmt der Anwender zu, dann darf ich alles, was sonst datenschutzrechtlich verboten ist.

sondern Ihr sorgt auch dafür das Eure Schüler zukünftig gefährdeter im Internet sind als notwendig.
Warum: Ihr hebelt den Sinn der Verschlüsselung aus und zeigt Euren Schülern das das "ok" ist. Warum sollte ein Schüler zukünftig bei SSL-Warnhinweisen vorsichtig sein, wenn in der Schule sowas ja auch kommt?

Ist da ein Stammzertifikat installiert, dann kommt da auch keine Meldung.

Ich würde das so lösen: Kein Router per DHCP verteilen. Damit ist schonmal die direkte Verbindung ins Internet unterbunden. Dann auf dem Proxy die Aufrufe abfangen. Die Aufrufe werden dann an den Server per https weitergeleitet allerdings direkt vom Proxy. Also nicht vollständig transparent. Nun kann der Proxy die Seiten entschlüsseln und auf Inhalt prüfen. Dann werden sie unverschlüsselt weiter an den Client gereicht. Das schreibt man in einfachen Worten in die Vereinbarung und gut ist.

Liebe Grüße

Erik
Mitglied: BlairChristopher
BlairChristopher 13.06.2018 um 17:00:47 Uhr
Goto Top
Hallo,

wie die meisten "Systemadministratoren" an Schulen beschäftigt auch mich das Problem mit der Filterung.
Bisher dachte ich, dass man https-Verbindungen nur filtern kann durch eine "man in the middle" Attacke oder einen Zwangsproxy.
Die Probleme der "man in the middle" Attacke sind oben schon zur Sprache gekommen.
Beim Zwangsproxy mit Verteilung der Wpad.dat Datei per DNS oder DHCP macht vor allem Android Probleme. Die sind teilweise nicht fähig, die Einstellungen für den Proxy automatich vorzunehmen.

Aqui erwähnt die Möglichkeit von Zwangs Redirect von https. Zu meiner Schande muss ich gestehen, dass diese Möglichkeit mir bisher nicht bekannt ist. Könnte mir hier jemand einen Link für eine verständliche Erläuterung geben. Idealerweise sogar eine Anleitung für z.B. Pfsense oder IPFire?

Vielen Dank!
Mitglied: aqui
aqui 13.06.2018 aktualisiert um 20:00:01 Uhr
Goto Top
Die sind teilweise nicht fähig, die Einstellungen für den Proxy automatich vorzunehmen.
Macht ja nix wenn du ihn auf der Firewall oder dem Router zwangsredirectest.
Könnte mir hier jemand einen Link für eine verständliche Erläuterung geben
Lies dir WCCP bei Cisco durch. Ist das gleiche Prinzip nur das Cisco dafür ein festes Komamndo hat und bei "normalen" Routern oder Firewalls man das mit ACLs und Policy Based Routing macht ;-) face-wink
Das PBR Grundprinzip ist auch hier erklärt:
http://www.administrator.de/articles/detail.php?id=103423
In der pfSense kreierst du ganz einfach eine Firewall Regel in der du aus dem Source IP Netz die Ports TCP 80 und TCP 443 filterst. Unter den Advanced Rules gibst du dann dafür ein dediziertes Gateway an was dann dein Proxy ist.
Et voila...fertig ist die HTTP(S) PBR Zwangsroute auf den Proxy.
Mitglied: BlairChristopher
BlairChristopher 15.06.2018 um 14:15:21 Uhr
Goto Top
Vielen Dank für die Informationen.
An der Schule setze ich IPFire ein. Dort ist es mit der GUI scheinbar nicht möglich, die gefilterten Daten an ein anderes Gateway zu senden.
Ich erstelle jetzt ein Testnetz mit Pfsense und eigenständigem Proxy. Da probiere ich das dann mal aus. Soweit ich das verstanden habe, kann ich auf der Pfsense selbst den Proxy aber nicht setzen. Die Daten müssen an einen Rechner mit eigener IP. Oder?
Mitglied: aqui
aqui 15.06.2018 aktualisiert um 17:21:21 Uhr
Goto Top
Dort ist es mit der GUI scheinbar nicht möglich
Mit einer pfSense wäre das nicht passiert ;-) face-wink
kann ich auf der Pfsense selbst den Proxy aber nicht setzen.
Doch das geht natürlich auch !
Du kannst dir über die Package Verwaltung den Proxy dort direkt installieren ;-) face-wink
Heiß diskutierte Beiträge
question
Windows XP: IE 8 zeigt keine Seiten mehr an :-) gelöst altmetallerVor 1 TagFrageWindows XP21 Kommentare

Huhu, ich habe hier tatsächlich noch einen Dell Dimension 9100 (Pentium IV, 3Ghz) stehen, den ich mit einer NVIDIA Quadro FX 540 und 4GB RAM ...

question
Datensicherung nach Geschäftsaufgabefboy33Vor 1 TagFrageBackup8 Kommentare

Guten Tag liebe (ex) Kollegen, nun nach 50 Jahren EDV, habe ich meine Firma abgemeldet und bin in den Ruhestand gegangen. Mein Problem, was mache ...

question
Zu lange Glasfaserkabel in Netzwerkschrank - wie organisieren? gelöst HerrITVor 1 TagFrageNetzwerke7 Kommentare

Hallo liebe Administratoren, ich hätte eine Frage an euch Experten, für die ich - selbst nach stundenlanger Suche - keine richtige bzw. zufriedenstellende Antwort gefunden ...

question
Ethernet über Telefonleitung gelöst Net-ZwerKVor 1 TagFrageLAN, WAN, Wireless8 Kommentare

Moin! Ich suche einen Konverter, mit dem ich auf eine Telefonleitung (2 Draht) ein Netzwerksignal legen kann. Geht darum, dass ich beim einem Kunden einen ...

question
PLEX bricht im HEIMNETZ nach 1 Minute Film abStrahlemann-69Vor 1 TagFrageUbuntu9 Kommentare

Hallo an alle, ich hab mir den Plexserver auf Proxmox installiert und mein NAS eingebunden. Er ließt auch alles ein und funktioniert. Nun laß ich, ...

question
O365 Outlook + Teams sperren gelöst sraL91Vor 19 StundenFrageMicrosoft Office15 Kommentare

Hallo Zusammen, wir haben in unserer Firma Office 365 ausgerollt und ich stehe nun vor folgendem Problem. Unsere Firma sind in 50 Standorte unterteilt und ...

question
Image auf zweiten Laptop kopierenmario28Vor 1 TagFrageWindows Installation5 Kommentare

Hallo zusammen, ich habe mir für daheim zwei Mal den gleichen Laptop bestellt (Schenker Via 15 Pro M20) und nach Erhalten mit dem ersten begonnen, ...

question
MFA mit Microsoft?cseVor 15 StundenFrageWindows Userverwaltung5 Kommentare

Hi Leute, ich hoffe ihr könnt mir ein wenig helfen. Von unserer Gruppe (central IT im Ausland) verlange ich (im Zuge TISAX Audit) auf unseren ...