Re: SquidGuard vulnerability in skolelinux

To: user@skolelinux.de
Subject: Re: SquidGuard vulnerability in skolelinux
From: "Valentin Haenel" <valentin.haenel@gmx.de>
Date: Fri, 15 Jun 2007 11:34:31 +0200
Message-id: <[🔎] 20070615093431.303140@gmx.net>
In-reply-to: <[🔎] 20070615090249.GA14075@lug-owl.de>
References: <[🔎] 20070615085022.194350@gmx.net> <[🔎] 20070615090249.GA14075@lug-owl.de>

>Deine Zeilen sind zu lang. Viiiel zu lang.

tut mir leid ich bin noch auf reinem web-mail.

> 
> > Mit der Gegenwärtigen konfiguration ist es für einen geübten
> > "hacker" trivial SquidGuard zu umgehen. 
> 
> *hust*  Works as designed.

jau, ich verwende es auch um meinen webmailer zu verwenden :-) *evilgrin*

> Wozu im sshd das port forwarding verbieten? Das klaut einem nur die
> Vorteile im lokalen System. Können die Kiddies nicht einfach einen
> ssh-Server da draußen[tm] im Internet benutzen? Dagegen kannst DU mit
> sshd_config nichts machen und (Vorteil für den Schüler) die Daten
> werden nichtmal lokal angefordert, fallen also selbst beim tcpdump'en
> nicht so auf :)

siehe unten.

> 
> Du müßtest also auch ssh nach draußen verbieten (auch wenig pfiffig)
> und dann noch verhindern, daß jemand nicht irgendwo 'nen ssh-Server
> auf einem Non-Standard-Port betreibt...

siehe unten.

> Das Grundproblem ist, daß Du einen Benutzer nicht effiktiv *zwingen*
> kannst, einen Proxy zu benutzen.

Klar geht das, einfach Internet nur via proxy anbieten. No Router, no gateway. :-)

> Pfiffiger wär' da vielleicht, 'nen
> transparent Proxy zu benutzen und die Seiten _unauffällig_ zu sperren,
> wenn man denn sowas überhaupt machen will.

Ein Transparenter Proxy hat auch noch andere Vorteile :-) Squid kann das angeblich. Wurde Schonmal vorgeschlagen:(Siehe meine Seite zu WPAD https://wiki.skolelinux.de/ValentinHaenel/WPAD)

Dazu käme natürlich noch das Problem das man mit ssh, htc und htl einen ssh tunnel mit dynamic-port-forwarding direkt durch einen proxy basteln kann... und das ist dan wirklih durchbohrt.

Wie wäre es den Filter statt mit SquidGuard , auf der DNS Ebene zu Implementieren? 

Wollte noch mal kurz meine Stellung dazu erörtern. Als freier Software nutzer und entwickler bin ich selbstverständlich gegen Internet Zensur. Aber als skoleadmin möchte ich dem Kunden auch gerne das geben was er verlangt, vorallendingen wenn es rechtliche Bestimmungen diesbezüglich gibt. Die Frage nach Sperre/NichtSperren gehört woanders hin.

Gruß

V-
-- 
GMX FreeMail: 1 GB Postfach, 5 E-Mail-Adressen, 10 Free SMS.
Alle Infos und kostenlose Anmeldung: http://www.gmx.net/de/go/freemail

Reply to:

Follow-Ups:
- Re: SquidGuard vulnerability in skolelinux
  - From: Jan-Benedict Glaw <jbglaw@lug-owl.de>
- Re: SquidGuard vulnerability in skolelinux
  - From: Jan-Benedict Glaw <jbglaw@lug-owl.de>
- Re: SquidGuard vulnerability in skolelinux
  - From: Florian Reitmeir <florian@reitmeir.org>
- Re: SquidGuard vulnerability in skolelinux
  - From: "Helmut Hullen" <Hullen@t-online.de>

References:
- SquidGuard vulnerability in skolelinux
  - From: "Valentin Haenel" <valentin.haenel@gmx.de>
- Re: SquidGuard vulnerability in skolelinux
  - From: Jan-Benedict Glaw <jbglaw@lug-owl.de>

Prev by Date: Re: SquidGuard vulnerability in skolelinux
Next by Date: Re: SquidGuard vulnerability in skolelinux
Previous by thread: Re: SquidGuard vulnerability in skolelinux
Next by thread: Re: SquidGuard vulnerability in skolelinux
Index(es):
- Date
- Thread