Wir müssen in der Schule neue Auflagen zum Kinderschutz umsetzen. Eine Möglichkeit, die wir andernorts erfolgreich betreiben ist die DNS-Server von dns4eu zu nutzen.
Nun meine Frage: Wenn die ich IPs dieser DNS-Server bei uns nutzen möchte, muss ich dann am OPNSense unter Dienste: Unbound-DNS: Query Forwarding einfach die IPs eintragen und die bestehenden (bis auf die 10.0.0.1) deaktivieren?
Muss ich da noch an anderer Stelle etwas umstellen?
Hallo Alex,
Du musst zusätzlich dafür sorgen, dass alle anderen Anfragen über Port 53 automatisch auf den von Dir eingestellten DNS_Server geleitet werden. Wenn ein Schüler also aus irgendwelchen Gründen die DNS_Einstellungen auf dem eigenen Endgerät ändern kann, muss dafür gesorgt werden, dass alle anderen Anfragen blockiert werden und/oder alles andere über Port 53 über ein Forwarding umgeleitet wird. Zudem können auch DNS over HTTPS (DoH) bzw DNS over TLS (DoT) ein Problem sein: Wenn die Anfragen also verschlüsselt rausgehen, musst Du diese Protokolle ebenfalls abfangen, da Deine Einstellungen ansonsten hinfällig sind.
Hier steht einiges dazu:
Danke für die Antwort. Nur nochmal für die Langsamen….
Wenn ich den DNS-Server prinzipiell unter Dienste: Unbound-DNS: Query Forwarding ändere, dann reicht das, damit im Normalfall darüber aufgelöst wird. Oder?
Wenn nun jemand lokal einen anderen DNS einstellt, dann ist der halt nicht blockiert und funktioniert trotzdem…..
Hi.
Es hängt auch maßgeblich davon ab, welche Endgeräte bei Euch im Einsatz sind. Tablets von verwenden gerne von sich aus direkt DoH/DoT-Einstellungen.
Wir hatten damit massive Probleme, da es hier so war, dass ganz viele Geräte in der Schule nicht mit unserer MDM-Lösung (bei uns on-premise-Intallation) „geredet haben“, weil die Adresse intern nicht aufgelöst wurde. Hinzu kam, dass bei vielen Schülern ein eigenes VPN-Profil installiert war, das aus Schülersicht dazu gedacht war, Sperren zu umgehen mit dem Nebenfeffekt, dass im Intranet auch nichts anderes mehr ging (DNS-Überschreibungen wurden damit ignoriert).
Es hat jedenfalls länger gedauert als das jetzt hier rüberkommt, bis wir dieses Problem überhaupt lokalisieren konnten.
Letztlich ist es ja so: Wenn die Schüler zu viel Blödsinn nebenbei machen, überlegt man sich Gegenmaßnahmen. Wir sind eigentlich ganz froh, dass wir den ganzen Social-Media-Kram über den AdGuard blockiert haben. (Aber selbstverständlich finden die Schüler trotzdem immer wieder Mittel und Wege, wie sie dennoch auf irgendeine Webseite gelangen, die eigentlich gesperrt sein sollte.)
Wir haben in unserem Netzwerk zwar hauptsächlich Ubuntugeräte, aber ich habe über die Opensense auch ein eigenes Netz für BYOD per Captive Portal laufen. Das könnte in der Tat interssant werden.
Dann werde ich das Forwaring mal umstellen für die Lokalen Geräte, aber für die Gesamtlösung muss ich mich tatsächlich noch intensiver beschäftigen….
Hallo raabi.
Ok, bei Ubuntu weiß ich nicht, ob ein User über genügend Rechte verfügt, um an den DNS-/VPN-Einstellungen herumspielen zu dürfen. Ich gehe aber davon aus, dass man es dort viel einfacher verbieten könnte.
Nur um es nochmal gesagt zu haben: Mit einem Linuxmuster-Server muss der v7-Server immer der erste DNS-Server sein. Damit hat man die wenigsten Probleme.
Nun gut. Dann sei DNS over TLS unterbunden. Jedoch kann der geneigte Nutzer den eingeschränkten DNS per DNS over HTTPS dennoch austricksen. Dann kann ich mir die anderen Maßnahmen auch sparen, oder?
Ich kann doch meinen Browser oder nur ein Profil in einem Verzeichnis ablegen und da DNS über HTTPS aktivieren, um einen beliebigen zensurfreien DNS-Server (der das Protokoll anbietet) oder den eigenen Server eintragen. Schon habe ich das umschifft.
Hab den restlichen Thread nicht so genau gelesen, möglicherweise ist der DNS-Server 1.1.1.3 eine Option. Ist halt Cloudflare, aber easy konfiguriert und super performant.
Ich frage mal aus technischem Interesse: Das kann doch höchstens auf Basis bekannter IP-Adressen von DoH-Servern passieren, oder? Eine Kommunikation mit einem DNS-over-HTTPS-Server kann man schlecht am Inhalt der TLS-verschlüsselten Verbindung blocken ohne diese aufzubrechen. Die Lösung für den Nutzer, der den Schutz umgehen wöllte, wäre also sich zuhause einen DoH-Server aufzusetzen. Das ist zugegeben ein recht hoher Aufwand, aber die Lücke im Schutzsystem ist gegeben. Das muss man vielleicht auch im Kontext der zu schützenden Zielgruppe betrachten. Für eine Berufsschule für Fachinformatiker würde ich den Aufwand eher als relativ leicht bewerten
.. so ziemlich jede “Sperre” die wir aufbauen, kann umgangen werden. Meist ist das , so wie bei DNS-overHTTPS, dass man halt Port 443 nimmt, da dieser schlicht nicht gesperrt werden kann.
Also müßte ich HTTPS Verkehr aufbrechen, was wohl keiner von uns wirklich machen will: nicht zuletzt, weil das auch rechtliche Konsequenzen haben kann (ich muß vorher informieren, dass sowas gemacht wird .. klar: Nutzungsvereinbarung .. ).
Die Kröte müssen wir also schlucken.
Wenn Jemand den Internetverkehr filtern will, so geht das inzwischen doch sowiso nciht mehr anders, als wenn man den DNS filtert: kaum Jemand setzt noch URL Listen ein. INhaltsfilter wie früher den Dansguardian: das geht nciht mehr wegen https (der Proxy kann nicht in den INhalt schauen).
Also: wer filtern will, setzt den FilterDNS ein: wohl wissend, dass das umgangen werden kann. Man sollte es nciht zu einfach machen: also verbietet man Verkehr auf Port 53 nach draußen. Das ist schnell gemacht und einfach. Damit erschlägt man die allermeisten “Versucher”.
Besser geht es halt nicht, ohne wirkliche Einschränkungen.
Hinzu kommt dass der Anreiz da Energie reinzustecken von Schuelerseite dadurch begrenzt ist, dass das Internet per Handy immer billiger und schneller wird. Da ist es dann auch fuer den Fachinformatiker wohl mehr Motivation das Erfolgsgefühl zu haben die Sperre umgangen zu haben als der Nutzen, dass er er jetzt Inhalte im Schulnetz anschauen kann die sonst gesperrt wären…
insbesondere wenn der Schuelerwlanzugang etwas gedrosselt wird.
Aber es geht ja um die Vorgabe den Internetschutzfilter umzusetzen. Und da ist mit port 53 und einem DNS Filter alles getan, was üblich ist. Da wird iserv oder logodidact auch nichts anderes machen.
Ist das nicht Augenwischerei? Wohlwissend, daß mit wenigen Klicks im Browser diese Vorgabe umgangen werden kann, simuliert man einen “Schutz”. Für wen simuliert man dies? Für die Nutzer, Eltern, Behörden…?
Na ja – sooo einfach ist es nun auch wieder nicht. Bei uns ist jedenfalls zum allergrößten Teil Ruhe, seitdem der AdGuard und die entsprechenden Portweiterleitungen auf der OPNSense richtig eingestellt waren.
es ist auch rechtlich ein großer Unterschied, ob man gar keinen Filter hat oder einen Filter, deraktiv umgangen werden muss. Wenn man die Vorgabe hat, eine Sperre einzurichten, dann kann man nicht argumentieren, dass man gar nichts macht, nur weil jede Sperre irgendwie zu umgehen ist.
Und auch argumentativ ist schon ein Unterschied zwischen “… ich habe die Seite einfach aufgerufen / die Seite ist einfach aufgepoppt …” und “… Du hast aktiv die Sperre umgangen, um das zu machen …”
verwenden gerne von sich aus direkt DoH/DoT-Einstellungen.