Webproxy Server - das ewige Leid

ScoutX · 15. März 2011

Konkret geht es um eine Schule, die einen Squid/Squidguard Proxy betreibt.
Die meisten Schüler wissen mittlerweile, dass Kontentfiltering über anonymisierte Proxies kaum möglich ist. Irgendwelche Blacklisten zu führen gegen solche Anonymisierer ist wie ein Tropfen auf dem heißen Stein. Ständig Accesslogs durchzuforsten, um die Schuldigen zu finden, da fehlt es wohl an Zeit und Manpower.
Meiner Meinung nach kann der Filter weg und steht nur noch pro forma da.
So soll es aber nicht sein.

Das einzige kommerzielle Produkt, was wohlmöglich Abhilfe schafft, scheint von M86 zu stammen. Einer deren Referenzen: http://www.m86security.com/documents/pdfs/case_studies/education/CS_Duval.pdf

Kennt jemand die M86 Produkte aus eigener Erfahrung oder gibt es einen anderen Ausweg aus der Webproxy Server Misere?

zoz · 15. März 2011

Die Proxyliste von proxy.org haste schon komplett gebannt?

ScoutX · 15. März 2011

Komplett, einige Schüler lassen sich wohl auch Maillisten einschlägiger Seiten zukommen. Vielleicht bauen sie sich selbst einen Anon Proxy zu Hause. Alles möglich. Zumindest die bekannten Bannlisten kann man vergessen.

Luki1992 · 15. März 2011

Ich bin selber Schüler an einer Schule (mit Internet an jedem Tisch).
Unsere Schule hat es auch afgegeben (ein Jahr lange gingen halt alle über Proxys rein). Man wird nur noch verwarnt/bestraft, wenn man was illigales lädt, oder sehr viel Traffic macht. Jeder Schüler muss sich mit seinem Notebook einloggen.

Meiner Meinung nach ist man recht machtlos, bzw. sollte man sich auf die wichtigen Sachen konzentrieren (illigales Material). Vielleicht Stichproben machen und konsequent Schüler bestrafen, das spricht sich dann rum und wirkt abschrenkend.

realrowi · 15. März 2011

Ich habe vor einigen Jahren mit recht guten Erfolg Dansguardian in Schulen und Jugendcafés installiert. http://dansguardian.org/

Möglicher Haken ist, das Ding braucht in der Anfangsphase diverses Feintuning da es mit den Standardeinstellungen mehr den amerikanischen Vorstellungen von Sitte und Anstand folgt und eine gute Portion Unix- (von mir aus auch Linux-

Know how ist auch nicht verkehrt.
Aber dafür ist das Ding kostenlos und in sehr großen Umfang konfigurierbar.

ScoutX · 15. März 2011

Dansguardian ist bis auf minimale Programmunterschiede identisch mit Squidguard und basiert ebenfalls auf Berkley Db Datenbanken. Mir ist nicht bekannt, dass dort nun spezielle Algorhythmen oder was auch immer unbekannte Proxys erkennen könnten. Die Zeit hat solche Programme obsolet gemacht und man kann nur noch Anfänger vom Surfen blocken.
Zumindest Spielekonsolen (Playstation Network und Co) kann man noch stoppen.

Revolution · 15. März 2011

Das was du vorhast geht nicht. Nichtmal über withlisten wäre ich mir sicher ob man das Problem wirklich zu 100% lösen kann. Und selbst wenn du den großteil der proxy's blocken kannst werden Schüler SSH über HTTP tuneln und sind dann auch wieder frei im Internet.

Effektiv kannst du nur ein paar sachen machen, einmal Accounts für jeden Schüler was etwas zum abschrecken hilft. Datenvolumen grenzen, und ne Grafische aufbereitung der Proxy logs um zu sehen welche seiten sehr oft besucht werden.

quwieorp · 15. März 2011

Die Filter stoßen schnell an ihre Grenzen. Und wenn die Schüler z.B. zu Hause einen SSH-Server mit dynamischen IP-Adressen betreiben, kann man nicht mehr viel machen.
Wenn die Computer Schuleigentum sind, müsste es doch (rechtlich) möglich sein, regelmäßig Screenshots zu erstellen, oder?

ScoutX · 16. März 2011

Jeder Schüler hat einen eigenen Account. Die Authorisierung läuft bisher über Identd, was aber leider auch Ärger mit sich bringt, da neben Schulrechnern eine zweite IP Range existiert, die einem ungesicherten WLAN entspricht. Schüler könnten hier ungehindert Lehrerbenutzer faken. Außerdem noch das Problem unauthorisierter / unbekannter Schülerrechner. Deswegen ist als Zweitinstanz ein Account Macabgleich vorgesehen oder eine Authorisierung doch über LDAP. Aber Proxy soll transparent bleiben.
Es wird gelogt, was gelogt werden kann z.B über Free-SA oder Sarg, nur wertet dies keiner aus.

Revolution · 17. März 2011

Wenn eine zuordnung Webseite <--> Schüler existiert sehe ich das Problem nicht.

Dann muss eben jeder Schüler nen wisch unterschreiben das er keine Proxy's nutz und auch ein paar andere dinge auf den Schulrechnern nicht macht. Dann brauchst ud auch nur die wirklich groben sachen sperren. Webproxy's würde ich dann völlig offen lassen und mit ein Script schreiben das mir alle Accounts auflistet die keine ahung 50 Aufrufe über so eine seite pro Monat haben. Die Verwarnen dann Verweis und zuletzt dann halt Rechner verbot.

Das Problem was du hier versucht zu lösen mag schon Technischer natur sein es kann aber trotzdem nur über den Sozialen weg gelöst werden.

Ich halte im übrigen auch nicht's davon Facebook und Co in Schulen zu sperren zu sorgen das ein Schüler seinen aufgaben nachkommt ist nicht die Aufgabe eines Administrator sondern der Lehrkraft.

fatony · 17. März 2011

am besten ist ganz einfach ,dass man diese ganzen banlisten wegmacht und alles so bereitstellt wie zuhause. nur mit einem haken : eine überwachungssoftware ,die es dem admin erlaubt auf die bildschirme zu schauen ,was die schüler so treiben.

Masamune2 · 17. März 2011

Bei uns auf der Schule war auf jedem Rechner eine Software die vom Lehrer PC gesteuert wurde. Da hatte der Lehrer immer ein kleines Bild von jedem Schüler Monitor und hat gesehen was jeder so treibt...

Mit nem Proxy ist das wohl ein Kampf gegen Windmühlen. Spätestens wenn jemand über https eine VPN Verbindung aufbaut sieht der Proxy gar nichts mehr (Lösungen mit SSL Interception wollen meist orgentlich bezahlt werden).

Suche

Webproxy Server - das ewige Leid

ScoutX

Captain

zoz

Lt. Commander

ScoutX

Captain

Luki1992

Captain

realrowi

Cadet 2nd Year

ScoutX

Captain

Revolution

Commodore

quwieorp

Cadet 4th Year

ScoutX

Captain

Revolution

Commodore

fatony

Commander

Masamune2

Admiral