Https, transparenter Proxy und Firewall

gibt es irgendeine zuverlässige alternative zum Abschalten des transparenten Proxys, wenn man https Seiten über den IPFire filtern bzw. blocken möchte?
Wir müssen an der Stelle dringend was ändern, weil mittlerweile die Schüler jeden Mist ungefiltert über https abwickeln.
So wie ich das sehe müssen wir zu diesem Zweck weg vom transparenten Proxy, was zur Folge hat, dass wir sämtliche Clientinstallationen umstellen müssen.

Grüße,
gerd

Hallo Gerd,

gibt es irgendeine zuverlässige alternative zum Abschalten des
transparenten Proxys, wenn man https Seiten über den IPFire filtern bzw.
blocken möchte?

Ich denke nicht, dass es da eine Alternative dazu gibt: https ist eine
Ende zu Ende verschlüsselte Verbindung zwischen Client und Server.
Mithilfe der Zertifikate wird ein Sessionsecret ausgehandelt, welches
dann nur in der Session gilt: da kommst du ohne weiteres nicht hinein.
Eine Alternative kann es also nicht geben: willst du https filtern, dann
mußt du dich in die Verbindung als Man in the Middle einhacken: ich habe
gerade ärger mit einer großen Staatlichen Einrichtung, die genau sowas
in ihrem Netz macht (nein, ich sage nicht mit welcher).
Ich bin mir sicher, dass die, wenn es etwas einfacheres/zuverlässiges
gäbe, es machen würden.
Statdessen ist der transprente Proxy aus: aber die gehen noch weiter:
sie installieren auf den Clients ihre eigene RootCA: damit warnt der
Browser nicht, wenn sie sich mit falschen Zertifikaten als entfernter
Server ausgeben: ein klassischer Man in the Middle: verschlüsselt bis zu
denen und dann von dort aus mit dem richtigen Zertifikat bis zum Zielserver.
Und die haben einen Filter da drin, deswegen habe ich das überhaupt
gemerkt: die haben scripte aus der https Verbindung rausgefiltert.

Ich habe da ja nicht mal direkt was dagegen, wenn die meinen das machen
zu müssen um ihr Netz zu schützen: aber die müssen die „Betroffenen“
darüber informieren.
Ich habe das mal so verglichen: von mir aus können die Kammeras in den
Klos installieren: solange sie es mir sagen: dann uriniere ich halt
woanders. Wenn sie es mir aber nicht sagen, dann habe ich da keine Wahl
… und die haben Bilder von mir, die ich denen nicht gönne.
Ich bin mir ziemlich sicher, dass das gegen geltende Arbeitnehmerrechte
verstößt.

Also: willst du https filtern, dann mußt du die Verbindung am Proxy
unterbrechen und dann gibt es Warnungen, oder du setzt eine eigene
rootCA auf, die dir dynamisch beim Verbindungsaufbau ein Zertifikat für
sparkasse.de (oder was auch immer) erstellt, damit sich der Proxy als
diese Seite ausgeben kann. Soll der Clientbrowser ncht warnen,dann muss
er deiner rootCA vertrauen.
Man kann es dann aber noch immer herausfinden: wenn man das Zertifikat
anschaut: da steht dann nämlich ein ganz seltsamer Ersteller drin …

So: und jetzt noch meine Meinung dazu: ich kenne das Problem seit vielen
Jahren und ich weigere mich Man in the Middle Attacken auf meine Nutzer
zu fahren, weil:

  1. ich müßte jeden darüber informieren: was meint ihr, wieviele Schüler
    kapieren, was da eigentlich los ist?
  2. ich würde den Schülern zeigen, dass es OK ist sich als Cracker zu
    betätigen: den nichts anderes ist das in meinen Augen.
  3. es gibt Probleme, auch im Computerraum, die man technisch nicht
    vernünftig lösen kann: Computer sind kein Allheilmittel. Zum Glück haben
    wir aber auch ein paar Pädagogen in der Schule: die sollten mit solchen
    Problemen umgehen können und nicht sofort nach technischen Lösungen
    brüllen … so viel Professionalität sollte man erwarten können.

Viele Grüße

Holger

Dann düfte OpenDNS dann ja so ähnlich machen, oder? Wie sonst können die httpS://facebook.foo filtern?

Hallo Michael,

Dann düfte OpenDNS dann ja so ähnlich machen, oder? Wie sonst können die
httpS://facebook.foo filtern?

wenn du den DNS im Griff hast, stehen dir weiter Möglichkeiten offen, da
du die Anfrage nach facebook.com umleiten kannst auf einen eigenen Server.
Der könnte dann auch zu nicht https umleiten: das wird aber inzwischen
schwieriger, da neuere Firefoxe generell warnen, wenn eine Seite
unverschlüsselt kommt.

Im Hintergrund baut der Server dort dann eine verschlüsselte Verbindung
zu facebook auf: ist aber am Ende das selbe: du hast verhindert, dass
eine Ende zu Ende verschlüsselte Verbindung aufgebaut wurde, damit du
den Inhalt lesen kannst.

VIele Grüße

Holger

OK, ich weiß, dass hier die Meinungen bzgl OpenDNS ziemlich auseinander gehen. Der Vorteil: Wir haben seit Jahren Ruhe in Sachen FB. Die Nachteile: s.o.
Ich bin mir selbst nicht sicher, was da der Königsweg ist. Aber gut zu wissen, wie das technisch abläuft.

Hallo Holger,

das ist ja mal viel Stoff, danke dafür. Den muss ich erst mal verarbeiten.
Dass wir grundsätzlich nicht zur Überwachungsschule werden wollen, da sind sich auch bei uns wohl alle einig. Da sind wir deiner Meinung.

… und die haben Bilder von mir, die ich denen nicht gönne.

danke auch für diesen Satz :wink:
Trotzdem existiert zZ ein Problem, das wir in den Griff bekommen müssen. Wir bauen den Internetzugang immer weiter aus und schaffen auch immer mehr offene Lernbereiche. Das läuft zum überwiegenden Anteil richtig gut. Jetzt gibt es aber ein paar Pappnasen, die das bis zum Anschlag für irgendein Mist ausnutzen (Steaming, online Games usw. usw.) und genau die sorgen dafür, dass die Bandbreite zu oft am Limit fährt. Wir sind schon einen Schritt weiter gekommen, über eine Bandbreitenbeschränkung pro User. Jetzt suchen wir eine zuverlässigere Möglichkeit unerwünschte https Seiten zu sperren.
schöne Grüße,
gerd

Genau das kann doch OpenDNS. Wir filtern damit unerwünschten Content (auch via https …)

Hallo Michael,
kannst mir einen Hinweis geben, wie und an welcher Stelle dieser OpenDNS zu diesem Zweck genutzt wird? Gibt’s dazu schon was im Wiki?

Grüße,
gerd

Hallo,

OK, ich weiß, dass hier die Meinungen bzgl OpenDNS ziemlich auseinander
gehen. Der Vorteil: Wir haben seit Jahren Ruhe in Sachen FB.

ich habe lokal in die hosts die Facebook Domains eingetragen und lass
sie so auf … habs vergessen … auflösen.
127.0.0.1 oder so: dann gehen die einfach nicht.

VIele Grüße

Holger

Hallo Holger,

also wirklich in die
Computerbild (sei mir verziehen)
also sozusagen jeweils in das Installationsimage einer Hardwaregruppe und nix mit OpenDNS
Kann man das nicht damit oder der DNS Weiterleiung des IPFire zentralisieren?
Grüße,
gerd

Ob’s im Wiki steht, weiß ich gerade nicht auswendig, aber es ist denkbar einfach: einen Account bei OpenDNS besorgen und dann im IPFire als DNS-Server (–> rot) die OpenDNS-Server eintragen – fertig.

HI,
schaut doch bitte mal herIPFire Wiki
und dann in das verlinkte Video hier
hier steht eine Anleitung für den IPFire direkt und zentral mit hinweisen auf downloadbaren blacklists.
Ware das nicht eine richtig gute und zentrale Lösung?
Das greift dann doch auch auf https Seiten - oder?

EDIT:
Jetzt bin ich noch mal auf diesen Thread gestoßen, der genau das gesuchte Thema behandelt.
Https von Facebook sperren
Nur der Erste Teil ist für mich erst mal interessant, bis vor Automatisch…
Diese Themen gabs vor Jahren auch schon in der Mailingliste.

Meine Frage:
Sind beide Techniken des Sperrens -A: obige DNS Umleitung, B: untere NICHT transparenten Proxy und https Filter, komplett unabhängig voneinander? Oder muss auch zur DNS Umleitung der Proxy eingetragen werden?
Macht es Sinn beides Parallel zu “installieren”? Wie seht ihr das?

Grüße,
gerd

Hallo Michael,
ach so, das ist ein externer Dienst. Okay muss ich mir anschauen.
Kannst du dir die oben genannten Links mal anschauen, ob das nicht genau das gleiche direkt im IPFire abbildet?

extrem OT: Übrigens OpenDNS gehört zu Umbrella. Da hat es irgendwie geklingelt bei mir, die wollen doch die Weltherrschaft und Zombies und so „Resident Evil“. Weiß nicht, ob hier so hochintellektuelles Material bekannt ist, aber dass es die Firma wirklich gibt, interessant

Grüße,
gerd

Hi,
bitte die Fragen im vorletzten Post (Nr.12) nicht übersehen :wink:

Hallo Gerd,

also sozusagen jeweils in das Installationsimage einer Hardwaregruppe
und nix mit OpenDNS
Kann man das nicht damit oder der DNS Weiterleiung des IPFire
zentralisieren?

ja, das kann man: wie das Video zeigt, das du vorhin gepostet hast.

Viele Grüße

Holger

Hallo Gerd,

Kann man das nicht damit oder der DNS Weiterleiung des IPFire
zentralisieren?

… aber nicht um TOR zu locken.
Du darfst nciht vergessen, dass TOR keinen Zentralen „Eingangspunkt“
hat: du müßtest also ständig die Liste der Eingangspunkte blocken.
Auch „tor“ in die Ausdrucksliste des URL Filters aufnehmen hilft nicht,
weil:

  1. müssen sie nicht „tor“ im Namen haben
  2. https wird so nicht gefiltert.

Außerdem könnte man dein ganzes DNS geblocke per direkter IP Eingabe im
Browser umgehen.
Das kannst du nur verhindern, wenn du im Adv. Proxy eingibst, dass nur
URLs erlaubt sind, keine IPs (habe ich so).

Aber: selbst dann kommt man dran vorbei: was die meisten nicht wissen:
unter windows ist die hosts Datei nicht geschützt: die kann ein Schüler
manipulieren und so die Adressauflösung ohne deinen DNS „von Hand“
erledigen Lassen.
Änderungen an der Datei gelten nach ein paar Sekunden.

VIele Grüße

Holger

Hallo Holger,

ja, aber mit den besagten Einstellungen sind wir schon mal ganz weit vorne.
Thematisch haben wir nicht so fitte Schüler, die so was können, da bleiben an der ganzen Schule vielleicht ein Hand voll, denke ich (das bespreche ich mal mit den Fachlehrern).
Was denkst du, ist die effektivere Methode, A ober B aus Post 12? Oder blockst du sowohl über DNS Umleitung als auch mit NICHT transparentem Proxy?
Grüße,
gerd

Das kann genügen, so was spricht sich schnell rum :wink:

Hallo Michael, welche Art von OpenDNS-Account hast Du denn für Eure Schule genommen? Da gibt es ja verschiedene zu verschiedenen Konditionen… Danke und Grüße, Linus

Hallo Linus.
Oh, das ist eeeewig her. Damals gehört OpenDNS noch nicht zu Cisco. Und ich kann mich nicht erinnern, dass es damals unterschiedliche Typen gab?? Von daher: Sorry … kann nicht wirklich weiterhelfen. Hier im Forum gibt es aber auch viele Stimmen, die OpenDNS niemals einsetzen würden, da es im Prinzip einem freiwillig installierten „man in the middle“ in nichts nachsteht …
Ich selbst bin in dieser Frage weiterhin hin- und hergerissen…
Schönen Gruß,
Michael