36
Wie kann man Ultrasurf blocken?
Hallo zusammen,
kurz zur Vorgeschichte: ich bin Systemadministrator an mehreren Schulen und wir haben eine Proxy Lösung um jugendgefährdende Inhalte aus dem Internet zu filtern.
Der Proxy wird von Time for Kids zur Verfügung gestellt.
Nun sind Schüler was die Blockierung von Inhalten sehr kreativ diese zu umgehen und neuerdings nutzen sie das Programm von Ultrasurf.
Meine Frage: Wie zur Hölle kann man dieses Programm blockieren? Sei es über die AD, den Proxy, die Firewall, irgendwie? Ich bin relativ verzweifelt, da es schier unmöglich scheint, das Programm irgendwie zu blockieren (mal abgeseshen von der SonicWall, googlesearch)
kurz zur Vorgeschichte: ich bin Systemadministrator an mehreren Schulen und wir haben eine Proxy Lösung um jugendgefährdende Inhalte aus dem Internet zu filtern.
Der Proxy wird von Time for Kids zur Verfügung gestellt.
Nun sind Schüler was die Blockierung von Inhalten sehr kreativ diese zu umgehen und neuerdings nutzen sie das Programm von Ultrasurf.
Meine Frage: Wie zur Hölle kann man dieses Programm blockieren? Sei es über die AD, den Proxy, die Firewall, irgendwie? Ich bin relativ verzweifelt, da es schier unmöglich scheint, das Programm irgendwie zu blockieren (mal abgeseshen von der SonicWall, googlesearch)
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 163559
Url: https://administrator.de/contentid/163559
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
36 Kommentare
Neuester Kommentar
Wenn du dem hinterherhecheln willst was täglich neu an Software auf den Markt kommt stehst du auf verlorenem Posten. Folglich muss dein Proxy, wenn schon nicht ins Gateway (weil das gerade nicht geht) dann doch wenigstens so dicht dran wie es geht. Weiterhin ist es sinnig am Gateway zu verbieten, dass irgendwas anderes als der Proxy und einige dedizierte Server direkt ins Internet dürfen. Das mal zuallererst. Jetzt zu deinen Fragen:
Wenn ihr ein AD habt kannst du per Richtlinie festlegen welche Programm ausgeführt werden dürfen und welche nicht. Sobald die Schüler jedoch private Hardware nutzen können sollen ist das hinfällig, weil diese Hardware nun mal nicht im AD hängt und daher auch keine Richtlinien umsetzt. Gleiches gilt für Nicht-Windows-Maschinen. Die kennen einfach keine Richtlinien.
Wenn ihr ein AD habt kannst du per Richtlinie festlegen welche Programm ausgeführt werden dürfen und welche nicht. Sobald die Schüler jedoch private Hardware nutzen können sollen ist das hinfällig, weil diese Hardware nun mal nicht im AD hängt und daher auch keine Richtlinien umsetzt. Gleiches gilt für Nicht-Windows-Maschinen. Die kennen einfach keine Richtlinien.
Hallo,
zum einen kannst du auf jedem Client in der Firewall das Programm blockieren.
Aber findige Schüler die schon darauf kommen das Ding zu benutzen, würden
dann einfach die .exe umbenennen (wenn das Programm dann noch tut, was
bei sehr vielen Programmen der Fall ist).
Noch eine Möglichkeit wäre wohl die DEP von Windows einzuschalten und nur
Programme freizugeben die explizit erlaubt sein sollen. Allerdings würden die
Schüler dann ggf. auch damit Schindluder treiben und ggf. die .exe umbenennen.
Ob die DEP da mehr einfließen lässt außer den Programmnamen kann ich dir
allerdings nicht sagen, habe ich nie getestet, wäre aber wohl einen Versuch
wert.
btw. die Schüler haben Adminrechte auf den Kisten oder nicht? Falls ja, kannste
dir alles sparen, denn dann können sie jegliche Arbeit die du machst gleich revidieren.
Mfg.
zum einen kannst du auf jedem Client in der Firewall das Programm blockieren.
Aber findige Schüler die schon darauf kommen das Ding zu benutzen, würden
dann einfach die .exe umbenennen (wenn das Programm dann noch tut, was
bei sehr vielen Programmen der Fall ist).
Noch eine Möglichkeit wäre wohl die DEP von Windows einzuschalten und nur
Programme freizugeben die explizit erlaubt sein sollen. Allerdings würden die
Schüler dann ggf. auch damit Schindluder treiben und ggf. die .exe umbenennen.
Ob die DEP da mehr einfließen lässt außer den Programmnamen kann ich dir
allerdings nicht sagen, habe ich nie getestet, wäre aber wohl einen Versuch
wert.
btw. die Schüler haben Adminrechte auf den Kisten oder nicht? Falls ja, kannste
dir alles sparen, denn dann können sie jegliche Arbeit die du machst gleich revidieren.
Mfg.
Das das mit der AD nicht klappt hatte ich mir schon fast gedacht. Die Schüler dürfen ihre USB Sticks benutzen.
zur Info: Proxy ist gleichzeitig Gateway.
zur Info: Proxy ist gleichzeitig Gateway.
die Schüler haben lokale Adminrechte 
aber geht nicht anders, da viele Programme die wir hier nutzen diese erfordern. Über Firewall oder Proxy ist nichts zu machen?
aber geht nicht anders, da viele Programme die wir hier nutzen diese erfordern. Über Firewall oder Proxy ist nichts zu machen?Das das mit der AD nicht klappt hatte ich mir schon fast gedacht
Wo schrieb ich das denn? Umgekehrt wird ein Schuh draus.Die Schüler dürfen ihre USB Sticks benutzen
Mit "Hardware" meinte ich eher komplette Rechenmaschinen AKA Notebook oder PCdie Schüler haben lokale Adminreche
...ist ungefähr das gleiche wie "Ich wähle Tor 3" - Mööööööp. Zonk drin 
Wenn ich meinen Usern, egal ob Schüler oder Angestellte, Adminrechte gewähre muss ich mir im klaren sein, dass ich damit genausogut die komplette Administration an den Nagel hängen kann. Mir sind bisher aber nur ganz wenige Programme untergekommen, die wirklich Adminrechte benötigt hätte. Zugegebener Maßen dauert es aber manchmal eine Weile bis man herausgefunden hat an welchem Rädchen man drehen muss, damit es auch ohne geht.
Mit "Hardware" meinte ich eher komplette Rechenmaschinen AKA Notebook oder PC
Ja dürfen Sie, aber hier kommt die SonicWall ins Spiel und diese kann Ultrasurf blocken. Zumindest solange wie die Schüler das Wlan-Netz nutzen
Zitat von @manuel-r:
> die Schüler haben lokale Adminreche
...ist ungefähr das gleiche wie "Ich wähle Tor 3" - Mööööööp. Zonk drin
Wenn ich meinen Usern, egal ob Schüler oder Angestellte, Adminrechte gewähre muss ich mir im klaren sein, dass ich damit
genausogut die komplette Administration an den Nagel hängen kann. Mir sind bisher aber nur ganz wenige Programme
untergekommen, die wirklich Adminrechte benötigt hätte. Zugegebener Maßen dauert es aber manchmal eine Weile bis
man herausgefunden hat an welchem Rädchen man drehen muss, damit es auch ohne geht.
> die Schüler haben lokale Adminreche
...ist ungefähr das gleiche wie "Ich wähle Tor 3" - Mööööööp. Zonk drin
Wenn ich meinen Usern, egal ob Schüler oder Angestellte, Adminrechte gewähre muss ich mir im klaren sein, dass ich damit
genausogut die komplette Administration an den Nagel hängen kann. Mir sind bisher aber nur ganz wenige Programme
untergekommen, die wirklich Adminrechte benötigt hätte. Zugegebener Maßen dauert es aber manchmal eine Weile bis
man herausgefunden hat an welchem Rädchen man drehen muss, damit es auch ohne geht.
Dies hat ja erst einmal nichts mit dem eigentlichen Problem zu tun. Wir schützen die PCs mit einer Protektorlösung so dass Sie beim nächsten Neustart wieder auf Null zurückgesetzt werden.
Zitat von @manuel-r:
> die Schüler haben lokale Adminreche
...ist ungefähr das gleiche wie "Ich wähle Tor 3" - Mööööööp. Zonk drin
Wenn ich meinen Usern, egal ob Schüler oder Angestellte, Adminrechte gewähre muss ich mir im klaren sein, dass ich damit
genausogut die komplette Administration an den Nagel hängen kann. Mir sind bisher aber nur ganz wenige Programme
untergekommen, die wirklich Adminrechte benötigt hätte. Zugegebener Maßen dauert es aber manchmal eine Weile bis
man herausgefunden hat an welchem Rädchen man drehen muss, damit es auch ohne geht.
> die Schüler haben lokale Adminreche
...ist ungefähr das gleiche wie "Ich wähle Tor 3" - Mööööööp. Zonk drin
Wenn ich meinen Usern, egal ob Schüler oder Angestellte, Adminrechte gewähre muss ich mir im klaren sein, dass ich damit
genausogut die komplette Administration an den Nagel hängen kann. Mir sind bisher aber nur ganz wenige Programme
untergekommen, die wirklich Adminrechte benötigt hätte. Zugegebener Maßen dauert es aber manchmal eine Weile bis
man herausgefunden hat an welchem Rädchen man drehen muss, damit es auch ohne geht.
Gibt auch so tolle "RunAS" Dinger für spezielle Fälle, kann man Windows sogar mit Boardmitteln
beibringen mit welchen Rechten was gestartet wird und das sogar für jeden User
Ist dann zwar ein wenig Arbeit wenns viele Programme sind die man konfigurieren muss, aber man
hat danach weniger Ärger wenn die Schüler keine Adminrechte mehr haben ;)
moin,
ich hab sowas schon so oft gehört und bisher konnte mir noch keiner den gegenbeweis liefern, dass diese These wirklich stimmt und die nicht wegen Faulheit des jeweiligen Admins aufgestellt wurde.
Gruß
die Schüler haben lokale Adminrechte face-sad aber geht nicht anders, da viele Programme die wir hier nutzen diese erfordern.
ich hab sowas schon so oft gehört und bisher konnte mir noch keiner den gegenbeweis liefern, dass diese These wirklich stimmt und die nicht wegen Faulheit des jeweiligen Admins aufgestellt wurde.
- Entweder mußt du den "Usern" ntfs Rechte oder Rechte in einzelnen Reg Ästen geben - die globale pauchale Keule braucht man nicht.
Gruß
Hi,
es gibt so gut wie kein Programm das man nicht unter Benutzerrechten laufen lassen kann, wenn man ggf. gewisse Registryeinstellungen oder Ordnerberechtigungen manuell setzt.
Schüler mit Adminrechten auszustatten ist einfach ein GAU und bereitet nur Ärger.
So viel dazu!
Time for Kids ist schlecht! Da gibt es viel bessere Lösungen.
Ich würde sagen: Protokollieren was auf welchem Rechner geöffnet wird.
Habt ihr für jeden Nutzer einen Login?
Ich würde sagen: Absprechen mit der Schulleitung und Exempel statuieren.
Ich hatte ein ähnliches Problem ... da wurde über externe Proxys die interne Sperre umgangen. Dann hab ich mir den Verantwortlichen geschnappt und die Schulleitung und denen klar gemacht, dass die Sperren einen Sinn haben und nicht dazu da sind umgangen zu werden. Da weiterhin protokolliert wurde was wo geöffnet wurde konnte ich es trotz Umgehung nachvollziehen.
Seit dem ich denen sagte, dass ich sie komplett vom Netz nehme, wenn ich das weiter beobachte gehts wunderbar.
VG
es gibt so gut wie kein Programm das man nicht unter Benutzerrechten laufen lassen kann, wenn man ggf. gewisse Registryeinstellungen oder Ordnerberechtigungen manuell setzt.
Schüler mit Adminrechten auszustatten ist einfach ein GAU und bereitet nur Ärger.
So viel dazu!
Time for Kids ist schlecht! Da gibt es viel bessere Lösungen.
Ich würde sagen: Protokollieren was auf welchem Rechner geöffnet wird.
Habt ihr für jeden Nutzer einen Login?
Ich würde sagen: Absprechen mit der Schulleitung und Exempel statuieren.
Ich hatte ein ähnliches Problem ... da wurde über externe Proxys die interne Sperre umgangen. Dann hab ich mir den Verantwortlichen geschnappt und die Schulleitung und denen klar gemacht, dass die Sperren einen Sinn haben und nicht dazu da sind umgangen zu werden. Da weiterhin protokolliert wurde was wo geöffnet wurde konnte ich es trotz Umgehung nachvollziehen.
Seit dem ich denen sagte, dass ich sie komplett vom Netz nehme, wenn ich das weiter beobachte gehts wunderbar.
VG
Zitat von @60730:
moin,
> die Schüler haben lokale Adminrechte face-sad aber geht nicht anders, da viele Programme die wir hier nutzen diese
erfordern.
ich hab sowas schon so oft gehört und bisher konnte mir noch keiner den gegenbeweis liefern, dass diese These stimmt.
entweder mußt du den "Usern" ntfs Rechte oder Rechte in einzelnen Regäste geben - die globale pauchale Keule
bruacht man nicht.
Gruß
moin,
> die Schüler haben lokale Adminrechte face-sad aber geht nicht anders, da viele Programme die wir hier nutzen diese
erfordern.
ich hab sowas schon so oft gehört und bisher konnte mir noch keiner den gegenbeweis liefern, dass diese These stimmt.
entweder mußt du den "Usern" ntfs Rechte oder Rechte in einzelnen Regäste geben - die globale pauchale Keule
bruacht man nicht.
Gruß
Hier mal ein Beispiel für eine Software wo selbst die Programmierer nicht wussten wie man es lösen kann: AutoCAD Cilvil 3d 2011 mit CAD+T 2010 Aufsatz.
Dann die berühmtberüchtigte Software von der Bildungsstelle: Lanis (äußerst schlecht programmiert, aber die Lehrer wollen es nun mal)
Die eigentliche Frage ist damit aber auch nicht beantwortet
Dies hat ja erst einmal nichts mit dem eigentlichen Problem zu tun.
Natürlich hat es damit zu tun. Wenn ich lokaler Admin bin lege ich mir notfalls eine neuen lokalen Account für mich an. Und schwupp greifen sämtliche GPOs die auf Benutzer abzielen nicht mehr einen Millimeter. Lediglich die Computer-Richtlinien gelten noch. Damit habe ich den Admin gut 50% seiner Möglichkeiten beraubt.Wir schützen die PCs mit einer Protektorlösung so dass Sie beim nächsten Neustart wieder auf Null zurückgesetzt werden.
Und das bringt dir nichts, wenn jemand von seinem USB-Stick irgendeine portable Software nutzt. Hier geht es um einen Browser, da kann es noch einigermaßen egal sein, ob er den gestartet bekommt - nur surfen soll er nicht. Das regel ich am elegantesten am Gateway. Und wenn ich schon dabei bin sperre ich auch grad noch die Ports für Skype, ICQ, Filesharingdienst usw usw usw.Da bspw. Skype auch über Port 80 kann, könnte das auch über den Proxy. Dann bügele ich halt noch einen über die Softwarerichtlinien über...
Time for Kids ist schlecht! Da gibt es viel bessere Lösungen.
Ich würde sagen: Protokollieren was auf welchem Rechner geöffnet wird.
Habt ihr für jeden Nutzer einen Login?
Ich würde sagen: Absprechen mit der Schulleitung und Exempel statuieren.
Hi !
Ohjeee...
Naja schon, nur nutzt es nix... Saug dir Sysinternals Process Monitor und schaue welches Programm wo hinschreiben will, setze die Rechte dementsprechend und wenn ein Programm gar nicht ohne Adminrechte will, dann hau es weg oder beschwere dich beim Hersteller über die unprofessionelle Arbeit. Viele Softwareentwickler haben relativ wenig Erfahrung von den Sicherheitsfunktionen, die ein Admin in der Praxis benötigt oder sie scheren sich einen Dreck darum. Solchen Leuten muss man ordentlich Dampf machen, am besten von hoher Stelle aber die "hohen Stellen" müssen das Problem auch kennen! Und eigentlich ganz selbstverständlich (aber in der Praxis oftmals nicht so): Trenne Software für Bildung unbedingt von Software für die Schulverwaltung, ansonsten wirst Du da noch viel grössere Probleme bekommen. Und wie das von den Kollegen ja schon angemerkt wurde, ohne Einschränkungen bei den Benutzerechten ist alles was Du tust für die Katz....
mrtux
Zitat von @Crovax:
die Schüler haben lokale Adminrechte aber geht nicht anders, da viele Programme die wir hier nutzen diese erfordern.
die Schüler haben lokale Adminrechte
aber geht nicht anders, da viele Programme die wir hier nutzen diese erfordern.Ohjeee...
Über Firewall oder Proxy ist nichts zu machen?
Naja schon, nur nutzt es nix...
Saug dir Sysinternals Process Monitor und schaue welches Programm wo hinschreiben will, setze die Rechte dementsprechend und wenn ein Programm gar nicht ohne Adminrechte will, dann hau es weg oder beschwere dich beim Hersteller über die unprofessionelle Arbeit. Viele Softwareentwickler haben relativ wenig Erfahrung von den Sicherheitsfunktionen, die ein Admin in der Praxis benötigt oder sie scheren sich einen Dreck darum. Solchen Leuten muss man ordentlich Dampf machen, am besten von hoher Stelle aber die "hohen Stellen" müssen das Problem auch kennen! Und eigentlich ganz selbstverständlich (aber in der Praxis oftmals nicht so): Trenne Software für Bildung unbedingt von Software für die Schulverwaltung, ansonsten wirst Du da noch viel grössere Probleme bekommen. Und wie das von den Kollegen ja schon angemerkt wurde, ohne Einschränkungen bei den Benutzerechten ist alles was Du tust für die Katz....mrtux
Zitat von @Crovax:
>
> Time for Kids ist schlecht! Da gibt es viel bessere Lösungen.
>
jip ich weiß, aber kommt halt vom Landkreis. Was wäre denn eine Alternative?
Ich nutze eine Astaro die ich als Gateway eingetragen habe - nichts mit Proxyspielerein am IE oder das Nutzen von portablen Browsern.>
> Time for Kids ist schlecht! Da gibt es viel bessere Lösungen.
>
jip ich weiß, aber kommt halt vom Landkreis. Was wäre denn eine Alternative?
>
> Ich würde sagen: Protokollieren was auf welchem Rechner geöffnet wird.
>
> Habt ihr für jeden Nutzer einen Login?
>
ja haben wir
Dann sollte das ja kein Problem sein. Schüler müssen keine Exe dateien ausführen von irgendwelchen USB Sticks.> Ich würde sagen: Protokollieren was auf welchem Rechner geöffnet wird.
>
> Habt ihr für jeden Nutzer einen Login?
>
ja haben wir
>
> Ich würde sagen: Absprechen mit der Schulleitung und Exempel statuieren.
>
wäre eine Maßnahme
Sollte auch im Interesse der Schulleitung sein!> Ich würde sagen: Absprechen mit der Schulleitung und Exempel statuieren.
>
wäre eine Maßnahme
VG
Zitat von @Crovax:
Hier mal ein Beispiel für eine Software wo selbst die Programmierer nicht wussten wie man es lösen kann: AutoCAD Cilvil
3d 2011 mit CAD+T 2010 Aufsatz.
Hier mal ein Beispiel für eine Software wo selbst die Programmierer nicht wussten wie man es lösen kann: AutoCAD Cilvil
3d 2011 mit CAD+T 2010 Aufsatz.
Ich kenne diese Problematik. Ich habe selbst mit diesem Programm zu kämpfen. Selbst der Hersteller sagt, das zum ausführen dieses Programm Admin-Rechte nutzbar sein müssen. Weiss der Teufel warum.
Nun zu deinem Problem.
Ich würde hier ganz Prakmatisch rangehen. Wenn wirklich nur dieses Prog genutzt wird in der Vorlesung (Unterrichtsstd.) Deaktiviere die Internetverbindung für die jeweiligen PC´s.
Kurz. Std. beginnt. Internet aus. Std zu ende. Internet an.
So ist, falls nötig, die Netzwerkverbindung noch da falls ein Doongel genutzt wird.
Grüüße
Also fasse ich mal zusammen:
- Meine lokalen Adminrechte sind murks
- über die Firewall oder den Proxy ist es nicht möglich Ultrasurf zu blocken, es sei denn man macht HTTPS dicht
noch zur Info: Pädagogisches Netz und Verwaltungsnetz sind strickt getrennt. Die lokalen Adminrechte sind über die GPO eingeschränkt.
- Meine lokalen Adminrechte sind murks
- über die Firewall oder den Proxy ist es nicht möglich Ultrasurf zu blocken, es sei denn man macht HTTPS dicht
noch zur Info: Pädagogisches Netz und Verwaltungsnetz sind strickt getrennt. Die lokalen Adminrechte sind über die GPO eingeschränkt.
Moin moin,
du hast hier das klassische Katz und Maus Spiel. Und da die Schüler Adminrechte haben stehst du wirklich schlecht da.
Ich würde ein Audit mit den entsprechenden Lehrern und Verantwortlichen für diesen Bereich machen, in denen die Schwachstellen aufgezeigt werden und Lösungen zusammengetragen werden.
In einem Schulnetz sollten gewissen Sicherheitsfeatures wie zentrale Administration, Gruppenrichtlinien, etc auf jedenfall vorhanden sein...
Ich stimme meinen Vorrednern zu, die Softwarehersteller müssen die Bugs beheben, ansonsten muss eine Alternative angeschafft werden. (soviel zu geiz ist geil!)
Ausserdem sollst du ja die Verantwortung für die IT übernehmen, und so kannst du keine Sicherheit gewährleisten!
Stell dir vor, du sollst ein Tor bewachen, das Tag und Nacht sperrangelweit offen ist. Soviel kannst du gar nicht laufen!
Und wieder ein Punkt, wo mir die Verantwortlichen (Lehrer, Rektoren und Schulbehörden) zu wenig auf konsequente Beratung und Umsetzung achten. So langsam bekomme ich das Gefühl, dass mein Kindheitstrauma des rechthaberischen, nichtswissenden Lehrers gerechtfertigt war!
Gruß Keksdieb
du hast hier das klassische Katz und Maus Spiel. Und da die Schüler Adminrechte haben stehst du wirklich schlecht da.
Ich würde ein Audit mit den entsprechenden Lehrern und Verantwortlichen für diesen Bereich machen, in denen die Schwachstellen aufgezeigt werden und Lösungen zusammengetragen werden.
In einem Schulnetz sollten gewissen Sicherheitsfeatures wie zentrale Administration, Gruppenrichtlinien, etc auf jedenfall vorhanden sein...
Ich stimme meinen Vorrednern zu, die Softwarehersteller müssen die Bugs beheben, ansonsten muss eine Alternative angeschafft werden. (soviel zu geiz ist geil!)
Ausserdem sollst du ja die Verantwortung für die IT übernehmen, und so kannst du keine Sicherheit gewährleisten!
Stell dir vor, du sollst ein Tor bewachen, das Tag und Nacht sperrangelweit offen ist. Soviel kannst du gar nicht laufen!
Und wieder ein Punkt, wo mir die Verantwortlichen (Lehrer, Rektoren und Schulbehörden) zu wenig auf konsequente Beratung und Umsetzung achten. So langsam bekomme ich das Gefühl, dass mein Kindheitstrauma des rechthaberischen, nichtswissenden Lehrers gerechtfertigt war!
Gruß Keksdieb
Hab mich nochmal schlau gemacht:
Ultrasurf nutzt einen Proxy im Netz, sperr einfach den Zugriff auf den Proxy (auf deinem Proxy/Firewall) und schon können dein Schüler dieses Programm nicht mehr nutzen. Leider gibt es noch zig andere Programme, die Lösung ist also nur temporär sinnvoll...
wir bleiben also bei Katz und Maus
Gruß Keksdieb
Ultrasurf nutzt einen Proxy im Netz, sperr einfach den Zugriff auf den Proxy (auf deinem Proxy/Firewall) und schon können dein Schüler dieses Programm nicht mehr nutzen. Leider gibt es noch zig andere Programme, die Lösung ist also nur temporär sinnvoll...
wir bleiben also bei Katz und Maus
Gruß Keksdieb
Zitat von @keksdieb:
Und wieder ein Punkt, wo mir die Verantwortlichen (Lehrer, Rektoren und Schulbehörden) zu wenig auf konsequente Beratung und
Umsetzung achten. So langsam bekomme ich das Gefühl, dass mein Kindheitstrauma des rechthaberischen, nichtswissenden Lehrers
gerechtfertigt war!
Du glaubst gar nicht wie recht du damit hast!Und wieder ein Punkt, wo mir die Verantwortlichen (Lehrer, Rektoren und Schulbehörden) zu wenig auf konsequente Beratung und
Umsetzung achten. So langsam bekomme ich das Gefühl, dass mein Kindheitstrauma des rechthaberischen, nichtswissenden Lehrers
gerechtfertigt war!
Zitat von @keksdieb:
Hab mich nochmal schlau gemacht:
Ultrasurf nutzt einen Proxy im Netz, sperr einfach den Zugriff auf den Proxy (auf deinem Proxy/Firewall) und schon können
dein Schüler dieses Programm nicht mehr nutzen. Leider gibt es noch zig andere Programme, die Lösung ist also nur
temporär sinnvoll...
wir bleiben also bei Katz und Maus
Gruß Keksdieb
Hab mich nochmal schlau gemacht:
Ultrasurf nutzt einen Proxy im Netz, sperr einfach den Zugriff auf den Proxy (auf deinem Proxy/Firewall) und schon können
dein Schüler dieses Programm nicht mehr nutzen. Leider gibt es noch zig andere Programme, die Lösung ist also nur
temporär sinnvoll...
wir bleiben also bei Katz und Maus
Gruß Keksdieb
laut meinen Informationen nutzt er mehrere Tausend, sobald der erste dicht ist, geht er auf den nächsten
laut meinen Informationen nutzt er mehrere Tausend, sobald der erste dicht ist, geht er auf den nächsten
Das ist ja alles gut und schön. Ich frage mich, warum der OP nicht das macht, was ich ganz oben geschrieben habe? Einfach nur noch dem Proxy und nichts sonst den Zugriff auf das Internet erlauben. Er hat zwar noch nichts zum Gateway gesagt, aber alle halbwegs professionellen Firewalls sollten das können. Und wenn nur ein komischer DSL-zu-Hause-Router da hängt, dann setze ich mir halt schnell einen IPCop, ein Endian, eine Smoothwall, eine M0nowall oder eine der vielen anderen Firewalls auf...Zitat von @manuel-r:
> laut meinen Informationen nutzt er mehrere Tausend, sobald der erste dicht ist, geht er auf den nächsten
Das ist ja alles gut und schön. Ich frage mich, warum der OP nicht das macht, was ich ganz oben geschrieben habe? Einfach nur
noch dem Proxy und nichts sonst den Zugriff auf das Internet erlauben. Er hat zwar noch nichts zum Gateway gesagt, aber alle
halbwegs professionellen Firewalls sollten das können. Und wenn nur ein komischer DSL-zu-Hause-Router da hängt, dann
setze ich mir halt schnell einen IPCop, ein Endian, eine
Smoothwall, eine M0nowall oder eine der vielen anderen Firewalls auf...
> laut meinen Informationen nutzt er mehrere Tausend, sobald der erste dicht ist, geht er auf den nächsten
Das ist ja alles gut und schön. Ich frage mich, warum der OP nicht das macht, was ich ganz oben geschrieben habe? Einfach nur
noch dem Proxy und nichts sonst den Zugriff auf das Internet erlauben. Er hat zwar noch nichts zum Gateway gesagt, aber alle
halbwegs professionellen Firewalls sollten das können. Und wenn nur ein komischer DSL-zu-Hause-Router da hängt, dann
setze ich mir halt schnell einen IPCop, ein Endian, eine
Smoothwall, eine M0nowall oder eine der vielen anderen Firewalls auf...
Das ist ja das Problem: Ultrasurf nutzt das https Protokoll, welches ja bekanntlich verschlüsselt ist und somit die Firewall nichts tun kann oder irre ich mich!
Ultrasurf nutzt das https Protokoll, welches ja bekanntlich verschlüsselt ist und somit die Firewall nichts tun kann oder irre ich mich!
Und? Lass doch https machen? Wenn die Firewall aber zum Client sagt "Du kommst hier net raus.", dann ist an der Stelle Feierabend. Der Client darf sich dann vertrauensvoll an den Proxy wenden und ganz lieb fragen, ob der mal für ihn was im Internet abrufen kann. Da helfen dem tollen Tool aus seine zigtausend Proxies nicht weiter.Der hausinterne Proxy kann zwar die abgerufenen Inhalte wegen HTTPS nicht aufdröseln, er kann aber sehr wohl die URLs filtern. Damit ist schon mal ein guter Teil erschlagen. Und eine HTTPS-Verbindung zu den externen Proxies fällt auch flach, weil der Browser immer zuallerst den hauseigenen befragen muss. Alles was danach kommt entzieht seiner Einflussnahme.
Und? Lass doch https machen? Wenn die Firewall aber zum Client sagt "Du kommst hier net raus.", dann ist an der Stelle Feierabend. Der Client darf sich dann vertrauensvoll an den Proxy wenden und >ganz lieb fragen, ob der mal für ihn was im Internet abrufen kann. Da helfen dem tollen Tool aus seine zigtausend Proxies nicht weiter.
Der hausinterne Proxy kann zwar die abgerufenen Inhalte wegen HTTPS nicht aufdröseln, er kann aber sehr wohl die URLs filtern. Damit ist schon mal ein guter Teil erschlagen. Und eine HTTPS->Verbindung zu den externen Proxies fällt auch flach, weil der Browser immer zuallerst den hauseigenen befragen muss. Alles was danach kommt entzieht seiner Einflussnahme.
Der hausinterne Proxy kann zwar die abgerufenen Inhalte wegen HTTPS nicht aufdröseln, er kann aber sehr wohl die URLs filtern. Damit ist schon mal ein guter Teil erschlagen. Und eine HTTPS->Verbindung zu den externen Proxies fällt auch flach, weil der Browser immer zuallerst den hauseigenen befragen muss. Alles was danach kommt entzieht seiner Einflussnahme.
Das ist die Lösung! Jetzt muss ich dem Proxy nur noch beibringen, dass er das ganze auch transparent macht.
Hi !
Ich kenne das Problem, wir haben auch schon Schulen betreut und lassen seither da ganz bewusst die Finger weg...
Das Problem dabei ist, dass die Entscheider oftmals schon bei der Ausschreibung nur an die benötigte Hardware samt der Lizenzen denken. Für eine ordentliche Beratung (vor Ort), die mindestens genauso wichtig ist, wird meist kein Budget eingeplant. Und Dienstleister, die dann "auf Deubel kommt raus", solche Aufträge annehmen, stellen meist erst hinterher fest was sich sich und den Lehrern damit eingebrockt haben. Das läuft dann nach dem Motto: "Jetzt haben wir schon so viel Zeit reingesteckt, da verdienen wir ja nix mehr, sollen sich doch die Lehrer oder (wie ich das schon erlebt habe) der Hausmeister damit herumschlagen...."
mrtux
Ich kenne das Problem, wir haben auch schon Schulen betreut und lassen seither da ganz bewusst die Finger weg...
Das Problem dabei ist, dass die Entscheider oftmals schon bei der Ausschreibung nur an die benötigte Hardware samt der Lizenzen denken. Für eine ordentliche Beratung (vor Ort), die mindestens genauso wichtig ist, wird meist kein Budget eingeplant. Und Dienstleister, die dann "auf Deubel kommt raus", solche Aufträge annehmen, stellen meist erst hinterher fest was sich sich und den Lehrern damit eingebrockt haben. Das läuft dann nach dem Motto: "Jetzt haben wir schon so viel Zeit reingesteckt, da verdienen wir ja nix mehr, sollen sich doch die Lehrer oder (wie ich das schon erlebt habe) der Hausmeister damit herumschlagen...."
mrtux
Stimmt so nicht ganz. Eine Watchguard Firewall kann sich z.Bsp in das HTTPS Protokoll einklinken und mittels Webblocker werden dann auch HTTPS Seiten gefiltert.
Zitat von @Crovax:
Hier mal ein Beispiel für eine Software wo selbst die Programmierer nicht wussten wie man es lösen kann: AutoCAD Cilvil
3d 2011 mit CAD+T 2010 Aufsatz.
Dann die berühmtberüchtigte Software von der Bildungsstelle: Lanis (äußerst schlecht programmiert, aber die
Lehrer wollen es nun mal)
Die eigentliche Frage ist damit aber auch nicht beantwortet
Hier mal ein Beispiel für eine Software wo selbst die Programmierer nicht wussten wie man es lösen kann: AutoCAD Cilvil
3d 2011 mit CAD+T 2010 Aufsatz.
Dann die berühmtberüchtigte Software von der Bildungsstelle: Lanis (äußerst schlecht programmiert, aber die
Lehrer wollen es nun mal)
Die eigentliche Frage ist damit aber auch nicht beantwortet
Ja und der HP Support wollte mir auch sagen, dass deren Home-Scanner nur mit Adminrechten läuft. Hat mich 5 Min gekostet und er lief als Benutzer.
Processexplorer sei dank...
VG
Hallo.
Du schreibst gar nicht genau, ob Du die Schul-PCs schützen willst oder zwangsläufig auch verhindern musst, dass die Schüler mit ihren eigenen Laptops Daten über euren zugang hin und her schleusen. Unten schriebst du auf "Mit "Hardware" meinte ich eher komplette Rechenmaschinen AKA Notebook oder PC"
Du schreibst gar nicht genau, ob Du die Schul-PCs schützen willst oder zwangsläufig auch verhindern musst, dass die Schüler mit ihren eigenen Laptops Daten über euren zugang hin und her schleusen. Unten schriebst du auf "Mit "Hardware" meinte ich eher komplette Rechenmaschinen AKA Notebook oder PC"
Ja dürfen Sie, aber hier kommt die SonicWall ins Spiel und diese kann Ultrasurf blocken
also scheint es um die Schul-PCs zu gehen. Da würde die Softwareeinschränkungsrichtlinien bzw. Applocker mit einer Whitelist doch voll ausreichen - allerdings nicht, wenn Du den Schülern Adminrechte gewährst, dann funktioniert das nicht wirklich.
Nun ja wie gesagt es ist gelöst, in der Firewall ist nun nur noch der Proxy-Server erlaubt auf https zuzugreifen.
Zitat von @Crovax:
Nun ja wie gesagt es ist gelöst, in der Firewall ist nun nur noch der Proxy-Server erlaubt auf https zuzugreifen.
Nun ja wie gesagt es ist gelöst, in der Firewall ist nun nur noch der Proxy-Server erlaubt auf https zuzugreifen.
Na das ist doch schön
)VG
Hi,
wie genau hast du das denn nun gemacht ?
Gruß
Aron
wie genau hast du das denn nun gemacht ?
Gruß
Aron
Nun ja wie es halt schon oben steht.
Du lässt in der Firewall nur noch deinen eigenen Proxyserver auf den HTTPS Port zugreifen, den Rest verweigerst du. Problem gelöst. Um den Clients noch Zugriff HTTPS Seiten zu gewähren musst du in jedem Browser den Proxy eintragen.
Du lässt in der Firewall nur noch deinen eigenen Proxyserver auf den HTTPS Port zugreifen, den Rest verweigerst du. Problem gelöst. Um den Clients noch Zugriff HTTPS Seiten zu gewähren musst du in jedem Browser den Proxy eintragen.
Ja, soweit habe ich das verstanden. Sollte ich also neben dem TFK noch eine Endian oder eine Anderen Lösung als Firewall laufen lassen? Oder geht das auch allein mit dem TFK Router?
Gruß
AronD
Gruß
AronD
das geht alleine mit der TFK. Trägst quasi die TFK in der ausgehenden Verbindungsfirewall ein.
Achso, wenn du ne TFK hast, ruf die doch einfach mal an, die haben echt nen top support und wissen auch bescheid.
Achso, wenn du ne TFK hast, ruf die doch einfach mal an, die haben echt nen top support und wissen auch bescheid.
