Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Proxyeinstellungen per DHCP verteilen für Android, Mac und Windows

Mitglied: Winfried-HH

Winfried-HH (Level 2) - Jetzt verbinden

13.06.2018 um 13:58 Uhr, 617 Aufrufe, 12 Kommentare

Hallo in die Runde!

Kann man irgendwie Proxy-Einstellungen per DHCP verteilen? Ich habe was von der WPAD.DAT gelesen, die aber unter Android wohl nicht funktionieren soll. Dann habe ich aber etwas von einer PAC-Datei gelesen, wo die Aussagen im Netz etwas widersprüchlich sind, ob das von allen Systemen unterstützt wird. Der Hintergrund ist folgender:

Wir haben in unserer Schule diverse Accessoints, die (unter anderem) ein wLAN für BYOD-Geräte ausstrahlen. Der Internetverkehr der Schüler-Endgeräte muss aber trotzdem über unseren Time-for-Kids-Schulfilter gefiltert werden. Ein transparenter Proxy wäre zwar möglich, filtert aber laut Time for Kids keinen HTTPS-Verkehr. Da aber inzwischen viele WebSites per HTTPS bereitgestellt werden, muss das natürlich funktionieren. Dazu muss der Schulfilter aber bei den Endgeräten als Proxy eingetragen sein. Das muss aber sinnvollerweise automatisch, also ohne Zutun des Benutzers passieren.


Schöne Grüße von der Elbe!
Winfried
Mitglied: St-Andreas
13.06.2018 um 14:20 Uhr
Hallo,


ssl verschlüsselten Traffic kannst Du nur filtern (von URL Filtern mal abgesehen), wenn Du die Verschlüsselung aufbrichst.
Dazu musst Du den Endgeräten ein Zertifikat unterschieben und den Benutzern vortäuschen, sie würden trotzdem verschlüsselt mit dem Server sprechen.

Ich würde an Deiner Stelle die Finger davon lassen, zumindest was BYOD Geräte anbelangt.

Was Schuleigene Geräte anbelangt mag das gehen, ich halte das trotzdem für untragbar, zumindest wenn es um private Aktivitäten der Benutzer geht.

Übrigens sollte "viele Websites per HTTPS " nicht mehr lange gelten, dann gilt "alle Websites".

Schöne Grüße vom Flughafen.
Andreas
Bitte warten ..
Mitglied: Winfried-HH
13.06.2018 um 14:27 Uhr
Zitat von St-Andreas:

Ich würde an Deiner Stelle die Finger davon lassen, zumindest was BYOD Geräte anbelangt.
Was Schuleigene Geräte anbelangt mag das gehen, ich halte das trotzdem für untragbar, zumindest wenn es um private Aktivitäten der Benutzer geht.

"Private" Aktivitäten sind den Schülern klar per Nutzungsrichtlinie untersagt. Das wLAN der Schule darf nur für schulische Aktivitäten verwendet werden und dann darf, nein muss die Schule den Jugendschutz gewährleisten.
Bitte warten ..
Mitglied: St-Andreas
13.06.2018 um 14:29 Uhr
Ja, aber darf die Schule denn in private Geräte eingreifen?
Bitte warten ..
Mitglied: tomolpi
13.06.2018 um 14:43 Uhr
Zitat von St-Andreas:

Ja, aber darf die Schule denn in private Geräte eingreifen?
Außerdem kannst du bei Android keinen systemweiten Proxy setzen, die Einstellungen gelten dann nur für Google Chrome, aber nicht für Apps!
Bitte warten ..
Mitglied: Winfried-HH
13.06.2018 um 14:45 Uhr
Zitat von St-Andreas:

Ja, aber darf die Schule denn in private Geräte eingreifen?

Was ist ein Eingriff? Wenn wir gar nicht "eingreifen" dürfen, dann könnten wir nicht mal per DHCP eine IP-Adresse vergeben. Und da bei Android Proxy-Einstellungen immer nur für das selektierte wLAN gilt, betrifft es alle anderen Netze, die der Schüler dann privat nutzt, nicht.
Bitte warten ..
Mitglied: St-Andreas
13.06.2018 um 14:54 Uhr
Der Eingriff: Du musst dem Gerät ein Zertifikat importieren und dies vertrauenswürdig machen.
http://www.openschoolproxy.de/index.php?one=sslfilterung.html

In dem Ihr mit der https Filterung faktisch eine "man in the middle" Attacke ausführt macht Ihr Euch nicht nur eventuell strafbar, sondern Ihr sorgt auch dafür das Eure Schüler zukünftig gefährdeter im Internet sind als notwendig.
Warum: Ihr hebelt den Sinn der Verschlüsselung aus und zeigt Euren Schülern das das "ok" ist. Warum sollte ein Schüler zukünftig bei SSL-Warnhinweisen vorsichtig sein, wenn in der Schule sowas ja auch kommt?

Zu meinen mit einem einfachen Jugendschutzfilter und dem Aufbrechen der Vertrauensstellungen zwischen Client und Server sei Eurer Pflicht genüge getan, ist, sorry, unverantwortlich.
Bitte warten ..
Mitglied: aqui
13.06.2018, aktualisiert um 15:14 Uhr
Man kann ja auf dem Router oder Switch einen Zwangs Redirect machen von Port TCP 80 und TCP 443 Traffic für dieses Netz. Damit erreicht man das gleiche. Das ist in der Wirkung gleich dem Cisco WCCP Kommando.
Ohne WCCP macht man das einfach über eine ACL um den o.a. Traffic zu selektieren und gibt ihn dann per Policy Routing mit einem Next Hop zwangsweise an den Proxy. Fertsch...
Mit der richtigen HW eine Sache von ein paar Minuten.
Bitte warten ..
Mitglied: erikro
13.06.2018 um 16:28 Uhr
Moin,

Zitat von St-Andreas:
In dem Ihr mit der https Filterung faktisch eine "man in the middle" Attacke ausführt macht Ihr Euch nicht nur eventuell strafbar,

Nein, machen sie sich nicht, sofern die Maßnahme in der von den Schülern und ihren Eltern zu unterzeichnenden Nutzungsbedingung bekannt gemacht wird. Stimmt der Anwender zu, dann darf ich alles, was sonst datenschutzrechtlich verboten ist.

sondern Ihr sorgt auch dafür das Eure Schüler zukünftig gefährdeter im Internet sind als notwendig.
Warum: Ihr hebelt den Sinn der Verschlüsselung aus und zeigt Euren Schülern das das "ok" ist. Warum sollte ein Schüler zukünftig bei SSL-Warnhinweisen vorsichtig sein, wenn in der Schule sowas ja auch kommt?

Ist da ein Stammzertifikat installiert, dann kommt da auch keine Meldung.

Ich würde das so lösen: Kein Router per DHCP verteilen. Damit ist schonmal die direkte Verbindung ins Internet unterbunden. Dann auf dem Proxy die Aufrufe abfangen. Die Aufrufe werden dann an den Server per https weitergeleitet allerdings direkt vom Proxy. Also nicht vollständig transparent. Nun kann der Proxy die Seiten entschlüsseln und auf Inhalt prüfen. Dann werden sie unverschlüsselt weiter an den Client gereicht. Das schreibt man in einfachen Worten in die Vereinbarung und gut ist.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: BlairChristopher
13.06.2018 um 17:00 Uhr
Hallo,

wie die meisten "Systemadministratoren" an Schulen beschäftigt auch mich das Problem mit der Filterung.
Bisher dachte ich, dass man https-Verbindungen nur filtern kann durch eine "man in the middle" Attacke oder einen Zwangsproxy.
Die Probleme der "man in the middle" Attacke sind oben schon zur Sprache gekommen.
Beim Zwangsproxy mit Verteilung der Wpad.dat Datei per DNS oder DHCP macht vor allem Android Probleme. Die sind teilweise nicht fähig, die Einstellungen für den Proxy automatich vorzunehmen.

Aqui erwähnt die Möglichkeit von Zwangs Redirect von https. Zu meiner Schande muss ich gestehen, dass diese Möglichkeit mir bisher nicht bekannt ist. Könnte mir hier jemand einen Link für eine verständliche Erläuterung geben. Idealerweise sogar eine Anleitung für z.B. Pfsense oder IPFire?

Vielen Dank!
Bitte warten ..
Mitglied: aqui
13.06.2018, aktualisiert um 20:00 Uhr
Die sind teilweise nicht fähig, die Einstellungen für den Proxy automatich vorzunehmen.
Macht ja nix wenn du ihn auf der Firewall oder dem Router zwangsredirectest.
Könnte mir hier jemand einen Link für eine verständliche Erläuterung geben
Lies dir WCCP bei Cisco durch. Ist das gleiche Prinzip nur das Cisco dafür ein festes Komamndo hat und bei "normalen" Routern oder Firewalls man das mit ACLs und Policy Based Routing macht
Das PBR Grundprinzip ist auch hier erklärt:
http://www.administrator.de/articles/detail.php?id=103423
In der pfSense kreierst du ganz einfach eine Firewall Regel in der du aus dem Source IP Netz die Ports TCP 80 und TCP 443 filterst. Unter den Advanced Rules gibst du dann dafür ein dediziertes Gateway an was dann dein Proxy ist.
Et voila...fertig ist die HTTP(S) PBR Zwangsroute auf den Proxy.
Bitte warten ..
Mitglied: BlairChristopher
15.06.2018 um 14:15 Uhr
Vielen Dank für die Informationen.
An der Schule setze ich IPFire ein. Dort ist es mit der GUI scheinbar nicht möglich, die gefilterten Daten an ein anderes Gateway zu senden.
Ich erstelle jetzt ein Testnetz mit Pfsense und eigenständigem Proxy. Da probiere ich das dann mal aus. Soweit ich das verstanden habe, kann ich auf der Pfsense selbst den Proxy aber nicht setzen. Die Daten müssen an einen Rechner mit eigener IP. Oder?
Bitte warten ..
Mitglied: aqui
15.06.2018, aktualisiert um 17:21 Uhr
Dort ist es mit der GUI scheinbar nicht möglich
Mit einer pfSense wäre das nicht passiert
kann ich auf der Pfsense selbst den Proxy aber nicht setzen.
Doch das geht natürlich auch !
Du kannst dir über die Package Verwaltung den Proxy dort direkt installieren
Bitte warten ..
Ähnliche Inhalte
Google Android
Android - bei jedem reboot neue MAC
Frage von HenereGoogle Android24 Kommentare

Servus zusammen, der Osterhase hat meinen Kids ein Point-of-View 7" Kids-Tablet gebracht. Nun habe ich ein kleines Problem damit, ...

Windows Userverwaltung

Proxyeinstellungen Benutzername und Passwort per GPO verteilen

Frage von ukulele-7Windows Userverwaltung7 Kommentare

Ich verteile bereits die Proxyeinstellungen für IE und Firefox per GPO. Ich suche einen Weg auch den Benutzernamen und ...

LAN, WAN, Wireless

Kein DHCP-Lease an neueren Android Smartphones

Frage von sbs-newbieLAN, WAN, Wireless4 Kommentare

Hallo zusammen, ich vermute mal, dass mein Problem häufiger vorkommt, aber beim Suchen z. B. hier im Forum ist ...

Windows Netzwerk

DHCP MAC Filter unter W2008R2

Frage von sabinesWindows Netzwerk2 Kommentare

Moin, ich habe eine Frage zum DHCP MAC Filter unter W2008R2. Das ganze ist nur ein Teil einer Absicherungsstrategie, ...

Neue Wissensbeiträge
Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 1 TagHumor (lol)4 Kommentare

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 1 TagExchange Server6 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 2 TagenErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Vmware
VMware Updates gegen L1 Lücke
Information von sabines vor 2 TagenVmware

Für die Vmware Produkte vCenter Server, ESXi, Workstation und Fusion stehe Updates bereit um die L1 Lücke zu schließen. ...

Heiß diskutierte Inhalte
Windows Server
Windows Server per Web auf Daten zugreifen und verwalten
Frage von matze2090Windows Server16 Kommentare

Hallo, ich würde gerne von außen auf meinem Windows Server zugreifen um auf meine Daten zu verwalten. Meine frage ...

DSL, VDSL
Router Neustarts
Frage von XerebusDSL, VDSL16 Kommentare

Hallo an alle, ich hab eine Problem mit dem Neustart von meiner Fritz Box wo ich einfach nicht mehr ...

Netzwerke
Netzwerk-Architektur mit VLANs
Frage von niLuxxNetzwerke13 Kommentare

Liebe Community, Ich hätte eine kurze Frage an euch. Ich werde in Kürze das Netzwerk unserer (sehr) kleinen Firma ...

Webbrowser
Neuer Tab Firefox
gelöst Frage von BleifussWebbrowser12 Kommentare

Hallo, via Strg + T öffnet man ja einen neuen Tab. Gibt es die Möglichkeit, dass der Tab sich ...