On Fri, 2007-06-15 10:50:22 +0200, Valentin Haenel <valentin.haenel@gmx.de> wrote: > ich habe mich in letzter Zeit intensiv mit Squid Guard beschäftigt, auch wie man es umgehen kann. Deine Zeilen sind zu lang. Viiiel zu lang. > Mit der Gegenwärtigen konfiguration ist es für einen geübten > "hacker" trivial SquidGuard zu umgehen. *hust* Works as designed. > Also man nehme einen ssh client, z.b. OpenSSH für linux oder > Putty für windows. OpenSSH ist bei skole dabei, Putty ist eine > einfache .exe datei die man einfach nur ausführen brauch (ganz > ohne installation oder admin rechten). Vorausgesetzt der > Benutzer hat ein Konto auf Tjener macht er folgendes: > > Dynamischen port forward , auf einen lokalen port mit ssh oder putty. > > Im Browser einen socks proxy mit dem port angeben. > > Resultat: der User surft nun über den eingebauten socks proxy im > sshd, und umgeht deswegen squid sowie squidGuard. > > Grund: > > Dies ist kein Programmierfehler oder Exploit, sondern kann mit den > entsprechenden konfigurationen geschlossen werden [...] > Mögliche Lösungen: > > sshd config verändern: > > Kein ssh logon für normale User. > Kein Dynamic-Port-Forward mit ssh. Wozu im sshd das port forwarding verbieten? Das klaut einem nur die Vorteile im lokalen System. Können die Kiddies nicht einfach einen ssh-Server da draußen[tm] im Internet benutzen? Dagegen kannst DU mit sshd_config nichts machen und (Vorteil für den Schüler) die Daten werden nichtmal lokal angefordert, fallen also selbst beim tcpdump'en nicht so auf :) Du müßtest also auch ssh nach draußen verbieten (auch wenig pfiffig) und dann noch verhindern, daß jemand nicht irgendwo 'nen ssh-Server auf einem Non-Standard-Port betreibt... Das Grundproblem ist, daß Du einen Benutzer nicht effiktiv *zwingen* kannst, einen Proxy zu benutzen. Pfiffiger wär' da vielleicht, 'nen transparent Proxy zu benutzen und die Seiten _unauffällig_ zu sperren, wenn man denn sowas überhaupt machen will. MfG, JBG -- Jan-Benedict Glaw jbglaw@lug-owl.de +49-172-7608481 Signature of: ...und wenn Du denkst, es geht nicht mehr, the second : kommt irgendwo ein Lichtlein her.
Attachment:
signature.asc
Description: Digital signature