On Fri, 2007-06-15 10:50:22 +0200, Valentin Haenel <valentin.haenel@gmx.de> wrote:
> ich habe mich in letzter Zeit intensiv mit Squid Guard beschäftigt, auch wie man es umgehen kann.
Deine Zeilen sind zu lang. Viiiel zu lang.
> Mit der Gegenwärtigen konfiguration ist es für einen geübten
> "hacker" trivial SquidGuard zu umgehen.
*hust* Works as designed.
> Also man nehme einen ssh client, z.b. OpenSSH für linux oder
> Putty für windows. OpenSSH ist bei skole dabei, Putty ist eine
> einfache .exe datei die man einfach nur ausführen brauch (ganz
> ohne installation oder admin rechten). Vorausgesetzt der
> Benutzer hat ein Konto auf Tjener macht er folgendes:
>
> Dynamischen port forward , auf einen lokalen port mit ssh oder putty.
>
> Im Browser einen socks proxy mit dem port angeben.
>
> Resultat: der User surft nun über den eingebauten socks proxy im
> sshd, und umgeht deswegen squid sowie squidGuard.
>
> Grund:
>
> Dies ist kein Programmierfehler oder Exploit, sondern kann mit den
> entsprechenden konfigurationen geschlossen werden
[...]
> Mögliche Lösungen:
>
> sshd config verändern:
>
> Kein ssh logon für normale User.
> Kein Dynamic-Port-Forward mit ssh.
Wozu im sshd das port forwarding verbieten? Das klaut einem nur die
Vorteile im lokalen System. Können die Kiddies nicht einfach einen
ssh-Server da draußen[tm] im Internet benutzen? Dagegen kannst DU mit
sshd_config nichts machen und (Vorteil für den Schüler) die Daten
werden nichtmal lokal angefordert, fallen also selbst beim tcpdump'en
nicht so auf :)
Du müßtest also auch ssh nach draußen verbieten (auch wenig pfiffig)
und dann noch verhindern, daß jemand nicht irgendwo 'nen ssh-Server
auf einem Non-Standard-Port betreibt...
Das Grundproblem ist, daß Du einen Benutzer nicht effiktiv *zwingen*
kannst, einen Proxy zu benutzen. Pfiffiger wär' da vielleicht, 'nen
transparent Proxy zu benutzen und die Seiten _unauffällig_ zu sperren,
wenn man denn sowas überhaupt machen will.
MfG, JBG
--
Jan-Benedict Glaw jbglaw@lug-owl.de +49-172-7608481
Signature of: ...und wenn Du denkst, es geht nicht mehr,
the second : kommt irgendwo ein Lichtlein her.
Attachment:
signature.asc
Description: Digital signature