Re: Squid-Nutzung erzwingen

To: user@skolelinux.de
Subject: Re: Squid-Nutzung erzwingen
From: Albrecht Frank <abfrankffm@web.de>
Date: Tue, 18 Jan 2005 12:47:37 +0100
Message-id: <[🔎] 41ECF759.1090008@web.de>
Reply-to: abfrankffm@web.de
In-reply-to: <[🔎] 20050117233023.GC545@rfc3514.org>
References: <[🔎] 20050117204748.28577e2f.skolelinux@fernmeldung.de> <[🔎] 200501172118.06021.rgx@gmx.de> <[🔎] 20050117233023.GC545@rfc3514.org>

Maximilian Wilhelm wrote:

Am Montag, den 17. Januar hub Ralf Gesel|ensetter folgendes in die Tasten:

[...]
Alternativ könntest du dem Tjener eine 2. NIC verpassen für das Internet- aber dann musst du vermutlich etwas frickeln. Wenn dein Gateway keineMöglichkeit hat, eine Liste zugelassener IPs zu definieren, könntest duggf. die IP des Gateway in ein anderes Netz ändern -- und dem Tjenerbeibringen, über eine virtuelle eth0:1 darüber rauszugehen. Alleanderen Rechner könnten mit diesem Netz dann nichts anfangen.
Sorry, das ist Security by Obscurity, ergo Kaese.
Wenn Leute eigene Rechner anstoepseln koennen oder root werden, haben
sie trivial die Moeglichkeit die IPs anzupassen und gut ist.
 => Verloren.

Es gibt einige sichere Optionen:

 1. zweite Netzwerkkarte in den Tjener und die 10.0.2.1 als zweite IP
    auf die interne NIC

    Allen Verbindungen, die von innen nach <irgendwo aussen> Port 80 wollen
    a) per tcp-reset (schnell) oder icmp-admin-prohibited ("sauber") abblocken
        => Wer keine Proxy nutzt hat verloren.
    b) auf Port 3128 redirecten (transparenter Proxy, kann dann leider
       keine Authentifikation mehr)
Dahinter kann man dann einen 0815-DSL-WLAN-Wollmilchsau-Router
   nehmen.

Da muß die Konfiguration des tjener aber gewaltig geändert werden.
Routing, iptables, neuer Kernel usw.


 2. Fall man ne Linux-Kiste als Router hat, kann man da mit iptables
 spielen und ggf. nen squid darauf aufsetzen und dann die DNS-Aliase
 umbiegen oder - je nach Laune - die squids kaskadieren.

Sicherheit durch verschiene IP-Bereiche in einem physikalischen Netz zu
gewinnen ist generell eine schlechte Idee.
Ein simples traceroute oder auch tcpdump lassen so etwas auffallen und
dann ist es meist nur noch eine Frage der Zeit, bis das umgangen ist.


Eigentlich gehört zwischen die Rechner in einem Unterrichtsraum und
dem zentralen Switch ein weiterer Router, der diese Sachen kontrolliert
und verhindert, daß die Schüler 'ausbüchsen'. Da _kann_ keiner so leicht
die iptables auf dem Router austricksen.
Da böte sich der Lehrerrechner an als Router zu fungieren.

Aber das ist im Skolelinux-Konzept leider (noch) nicht vorgesehen und auch recht
schwierig dies vorzukonfigurieren, da (fast) das gesamte Konzept umgeworfen
werden müßte.


Gruß
Albrecht

Reply to:

Follow-Ups:
- Re: Squid-Nutzung erzwingen
  - From: Maximilian Wilhelm <max@rfc2324.org>

References:
- Squid-Nutzung erzwingen
  - From: Arnulf <skolelinux@fernmeldung.de>
- Re: Squid-Nutzung erzwingen
  - From: Ralf Gesel|ensetter <rgx@gmx.de>
- Re: Squid-Nutzung erzwingen
  - From: Maximilian Wilhelm <max@rfc2324.org>

Prev by Date: Re: Squid-Nutzung erzwingen
Next by Date: Re: Squid-Nutzung erzwingen
Previous by thread: Re: Squid-Nutzung erzwingen
Next by thread: Re: Squid-Nutzung erzwingen
Index(es):
- Date
- Thread