Re: SquidGuard vulnerability in skolelinux

To: user@skolelinux.de
Subject: Re: SquidGuard vulnerability in skolelinux
From: Florian Reitmeir <florian@reitmeir.org>
Date: Fri, 15 Jun 2007 12:23:45 +0200
Message-id: <[🔎] 20070615102345.GO23114@asa.multi24.com>
Mail-followup-to: user@skolelinux.de
In-reply-to: <[🔎] 20070615093431.303140@gmx.net>
References: <[🔎] 20070615085022.194350@gmx.net> <[🔎] 20070615090249.GA14075@lug-owl.de> <[🔎] 20070615093431.303140@gmx.net>

Hi,

On Fri, 15 Jun 2007, Valentin Haenel wrote:

> jau, ich verwende es auch um meinen webmailer zu verwenden :-) *evilgrin*
ich bin kein Freund von "neu deutsch" (merkwuerdige Abkuerzungen, keine
Gross/Kleinschreibung)  normales Deutsch ist schon schwer genung.

> > Das Grundproblem ist, daß Du einen Benutzer nicht effiktiv *zwingen*
> > kannst, einen Proxy zu benutzen.
> Klar geht das, einfach Internet nur via proxy anbieten. No Router, no gateway. :-)

Im Prinzip kann man das mit iptables muehelos auf Benutzer beschraenken. Also
z.b. Lehrern/Root normales Netz erlauben, Schuelern kein NAT geben.

> > Pfiffiger wär' da vielleicht, 'nen
> > transparent Proxy zu benutzen und die Seiten _unauffällig_ zu sperren,
> > wenn man denn sowas überhaupt machen will.
> Ein Transparenter Proxy hat auch noch andere Vorteile :-)
> Squid kann das angeblich. Wurde Schonmal vorgeschlagen:(Siehe meine Seite zu WPAD https://wiki.skolelinux.de/ValentinHaenel/WPAD)
nicht nur angeblich.

> Dazu käme natürlich noch das Problem das man mit ssh, htc und htl einen ssh tunnel mit dynamic-port-forwarding direkt durch einen proxy basteln kann... und das ist dan wirklih durchbohrt.
nur wenn man CONNECT erlaubt, was aber auch fuer https benoetigt wird. Was
man aber durchaus auf Port 443 beschraenken kann.

Und man kann fuer Protokolle welche nicht "bekannt" sind, z.b. die Bandbreite
begrenzen, um den Leuten die Freude daran zu nehmen.,

> Wie wäre es den Filter statt mit SquidGuard , auf der DNS Ebene zu Implementieren? 
jeder bessere Proxy/Tunnel, tunndel DNS gleich mit.. z.b. TOR macht das.

Das Hauptproblem an der ganzen Sache liegt nicht darin was man alles tun
kann, sondern das "Wettruesten" lohnt. Ich fuer meinen Teil denke dass ein
Webfilter wie SquidGuard ausreichend ist den Bestimmnungen nachzukommen. Denn
unabsichtlich laesst es sich ja nicht umgehen.

Dass Schueler/Benutzer Filter absichtlich umgehen, laesst sich wenn genung
Energie da ist, nicht verhindern, z.b. mit einem PHP Browser..
(man schreibe ein PHP Script, welches eine Adresszeile ausgibt, und in einem
Frame die Seite ladet.., was man dazu braucht.. fuer ca. 0-1 Euro einen
Webaccount.., http://www.php.net/manual/en/function.file.php)

-- 
Florian Reitmeir

Reply to:

Follow-Ups:
- Re: SquidGuard vulnerability in skolelinux
  - From: Jan-Benedict Glaw <jbglaw@lug-owl.de>

References:
- SquidGuard vulnerability in skolelinux
  - From: "Valentin Haenel" <valentin.haenel@gmx.de>
- Re: SquidGuard vulnerability in skolelinux
  - From: Jan-Benedict Glaw <jbglaw@lug-owl.de>
- Re: SquidGuard vulnerability in skolelinux
  - From: "Valentin Haenel" <valentin.haenel@gmx.de>

Prev by Date: Re: SquidGuard vulnerability in skolelinux
Next by Date: Re: Laptop+Beamer als ThinClient = toll
Previous by thread: Re: SquidGuard vulnerability in skolelinux
Next by thread: Re: SquidGuard vulnerability in skolelinux
Index(es):
- Date
- Thread