13
AVM Ken umgehen
Hallo,
gibt es eine möglichkeit den AVM Ken zu umgehen?
Hintergrund:
Ich betreue in einer Schule das Schülernetzwerk und der Lehrer kam jetzt auf mich zu, das ein Schüler behauptet es gibt eine möglichkeit den Ken zu umgehen.
Im Ken ist der Avira Businessfilter aktiviert.
Alle SchülerPCs bekommen den Proxy per GPO zugewiesen.
Folgendes hab ich jetzt als Schüler versucht:
Proxy im Internet Explorer rausnehmen --> Seite kann nicht angezeit werden (PCs haben kein default GW)
hinzufügen eines GW per CMD --> keine berechtigung
Anonyme Proxy Seite aufrufen z.B http://hidemyass.com/ --> Ken Meldung Anonyme Proxy gesperrt
Gibt es nochwas wie ich dieser Behauptung nachgehn kann?
gruss
Werner
gibt es eine möglichkeit den AVM Ken zu umgehen?
Hintergrund:
Ich betreue in einer Schule das Schülernetzwerk und der Lehrer kam jetzt auf mich zu, das ein Schüler behauptet es gibt eine möglichkeit den Ken zu umgehen.
Im Ken ist der Avira Businessfilter aktiviert.
Alle SchülerPCs bekommen den Proxy per GPO zugewiesen.
Folgendes hab ich jetzt als Schüler versucht:
Proxy im Internet Explorer rausnehmen --> Seite kann nicht angezeit werden (PCs haben kein default GW)
hinzufügen eines GW per CMD --> keine berechtigung
Anonyme Proxy Seite aufrufen z.B http://hidemyass.com/ --> Ken Meldung Anonyme Proxy gesperrt
Gibt es nochwas wie ich dieser Behauptung nachgehn kann?
gruss
Werner
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 179663
Url: https://administrator.de/contentid/179663
Printed on: April 16, 2024 at 08:04 o'clock
13 Comments
Latest comment
SSH-Tunnel durch den Proxy. So hab ich damals das Schulnetz auch bearbeitet, aber mit Wissen der Lehrer.
Jo es wird entweder "getunnelt" oder vielleicht auch ein witzbold der seinen UMTS Stick mitbringt ?
UMTS-Stick sollte sich nicht installieren lassen, wenn keine Administratorrechte vorhanden sind und diese sind ja scheinbar nicht vorhanden, weil das Standardgateway nicht geändert werden darf.
GIbt es glaub ich heutzutage auch schon Plug and Play bei Windows 7.
Zu meiner Berufsschulzeit war es schon so, dass die Schüler teilweise ihre eigenen Notebooks mitgebracht haben und dort halt UMTS eingebaut hatten.
Zu meiner Berufsschulzeit war es schon so, dass die Schüler teilweise ihre eigenen Notebooks mitgebracht haben und dort halt UMTS eingebaut hatten.
Sind alles Normalos keine Hauptbenutzer oder Lokale Admins
das mit dem ssh...
mit putty einen localhost port öffenen den durch den Proxy zu einem anderen Proxy verbinden
danach den IE auf den geöffneten localhost Port stellen
Wenn ich per GPO das Menü für Verbindungen ausblende dann müste das mit dem SSH doch erledigt sein oder Denk ich da falsch.
oder gibts eine einstellmöglichkeit das Benutzer den Proxy nicht ändern dürfen?
das mit dem ssh...
mit putty einen localhost port öffenen den durch den Proxy zu einem anderen Proxy verbinden
danach den IE auf den geöffneten localhost Port stellen
Wenn ich per GPO das Menü für Verbindungen ausblende dann müste das mit dem SSH doch erledigt sein oder Denk ich da falsch.
oder gibts eine einstellmöglichkeit das Benutzer den Proxy nicht ändern dürfen?
Du musst für eine Treiberinstallation Admin sein oder die Adminkennung eingeben (UAC-Prompt).
@Werner,
baut KEN die Internetverbindung auf oder wird ein davor geschalteter Router verwendet?
Wenn es der KEN selbst ist, dann kannst du dort nachschauen, ob dieser auch Routing erlaubt.
Wenn er ein Router ist, dann schau, ob die Schüler nicht mit alternativen Browsern surfen und dort die IP-Adresse des Routers eingetragen haben.
Zu meiner Berufsschulzeit war es schon so, dass die Schüler teilweise ihre eigenen Notebooks mitgebracht haben und dort halt
UMTS eingebaut hatten.
Das ist aber nicht die frage des TO. Wenn jemand ein eigenes Gerät mit eigenem Internetzugang nutzt (kann übrigens auch ein Smartphone oder Tablet sein), dann umgeht er ja den KEN nicht einem PC aus dem Netzwerk.UMTS eingebaut hatten.
@Werner,
baut KEN die Internetverbindung auf oder wird ein davor geschalteter Router verwendet?
Wenn es der KEN selbst ist, dann kannst du dort nachschauen, ob dieser auch Routing erlaubt.
Wenn er ein Router ist, dann schau, ob die Schüler nicht mit alternativen Browsern surfen und dort die IP-Adresse des Routers eingetragen haben.
der Ken-PC hat 2 Netzwerkkarten: eine fürs Schulnetz und eine die zum Router geht.
Der Ken-PC ist gleichzeitig auch GW wenn man ihn als Default-GW einträgt.
vom Schüler PC ist kein Ping ins Internet möglich, es wird nur der Name aufgelöst.
Sobald im IE oder Firefox die Proxyadresse oder der Proxyport fehlt ist kein mehr Internet möglich.
Der Ken-PC ist gleichzeitig auch GW wenn man ihn als Default-GW einträgt.
vom Schüler PC ist kein Ping ins Internet möglich, es wird nur der Name aufgelöst.
Sobald im IE oder Firefox die Proxyadresse oder der Proxyport fehlt ist kein mehr Internet möglich.
Eventuell kann Ken SSH-Verbindungen rausfiltern.
Hi,
vielleicht bist Du nicht der Admin, sondern derjenige der es umgehen will.....wer weiss, wer weiss....
Karo
vielleicht bist Du nicht der Admin, sondern derjenige der es umgehen will.....wer weiss, wer weiss....
Karo
Nur ein Einfall: Kann KEN Datenverbindungen auf Port 53 unterbinden? Wenn nicht könnte man eventuell mit einem portablen Proxy Server auf einen außen stehenden Proxy weiterleiten. Und das Fehlen von Adminrechten allein schützt auch nicht vor dem Einsatz von portablen Browsern (vgl. Firefox portable).
Klar, z.B. mit einem DNS-Tunnel.wenn DNS von den Clients nicht rausgefiltert wird.
Oder mit einem Server in Netz, zu dem man lokalen traffic üebr erlaubte protokolle (http, https, dns, etc.) tunnelt. Kann jeder skriptkiddie mit einem gemieteteten vserver aufsetzen.
Solange man nicht mit whitelists und/oder application-level-proxies arbeitet, läßt sich sowas nicht verhindern.
lks
Das sind ja alles interessante Ideen....und alle viel zu kompliziert für den Durchschnitts-1337-Schüler.
Es gibt noch wesentlich mehr Seiten als HMA und auch Listen dafür.
Wenn ich da bei unserem Schulfilter mal eine Liste mit aktuellen Diensten durchgehe komme ich schon auf die Meisten drauf...
Es lässt sich niemals verhindern!
Selbst mit einem FIlter der auch HTTPS-Inspection kann fallen mir auf Anhieb eine Menge Möglichkeiten ein sich da durch zu tunneln.
Wirklich sicher ist nur ein reiner Whitelist-Modus - und da dürfen keine Seiten mit dynamischen Inhalten wie Wikipedia erlaubt sein.
Anonyme Proxy Seite aufrufen z.B http://hidemyass.com/ --> Ken Meldung Anonyme Proxy gesperrt
Es gibt noch wesentlich mehr Seiten als HMA und auch Listen dafür.
Wenn ich da bei unserem Schulfilter mal eine Liste mit aktuellen Diensten durchgehe komme ich schon auf die Meisten drauf...
Solange man nicht mit whitelists und/oder application-level-proxies arbeitet, läßt sich sowas nicht verhindern.
Es lässt sich niemals verhindern!
Selbst mit einem FIlter der auch HTTPS-Inspection kann fallen mir auf Anhieb eine Menge Möglichkeiten ein sich da durch zu tunneln.
Wirklich sicher ist nur ein reiner Whitelist-Modus - und da dürfen keine Seiten mit dynamischen Inhalten wie Wikipedia erlaubt sein.
Die DNS-Server funktion vom KEN ist ausgeschaltet. Das übernimmt ein Windows 2003 Server
aber wenn man nur mit Whitlist arbeitet und dynamische Seiten sperrt ist ein Arbeiten schon fast unmöglich bzw der verwaltungsaufwand zu groß. Es soll ja fast nix kosten.
Es gibt auch so Übungsaufgaben wie Internetrecherche
Anstecken von USB-Geräten ist auch nicht erlaubt (DeviceLock)
aber wenn man nur mit Whitlist arbeitet und dynamische Seiten sperrt ist ein Arbeiten schon fast unmöglich bzw der verwaltungsaufwand zu groß. Es soll ja fast nix kosten.
Es gibt auch so Übungsaufgaben wie Internetrecherche
Anstecken von USB-Geräten ist auch nicht erlaubt (DeviceLock)