Gelöst Re: Serverkonfiguration

M. Houdek linux at houdek.de
Fre Dez 5 20:58:05 GMT 2008
Vorherige Nachricht: Re: Gelöst Re: Serverkonfiguration
Nächste Nachricht: Gelöst Re: Serverkonfiguration
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]
Am Freitag 05 Dezember 2008 21:39:56 schrieb Christian Meseberg:
> Hallo zusammen,
>
> M. Houdek meinte am Freitag, den 05.12.2008 um 20:50 Uhr
> wegen:Gelöst Re: Serverkonfiguration
>
> > Eine gesonderte Anmeldung am Proxy haben wir nicht. Es gibt nur das WLAN,
> > und ohne Anmeldung bekommt man über die APs erst gar keinen
> > Interentzugang (nur lokal auf den Intranet-Server). Über die Logdateien
> > des Radius und des Proxys lässt sich im Falle eines Falles trotzdem
> > feststellen, wer wann wo was im Internet gemacht hat. Da aber der Proxy
> > von einer Fremdfirma administriert wird (die somit auch dir Verantwortung
> > für den Contentfilter hat ;-) und der Radius im eigenen Hoheitsbereich
> > läuft, kann keiner von beiden allein mit seinen Log-Daten etwas anfangen.
> > Das Fake-DNS-Script (siehe meine andere Mail) logt nur die angefragten
> > DNS-Namen zum Erstellen einer Whitelist ohne Zeitstempel, um häufige
> > (positive) Anfragen schneller beantworten zu können. Und das finde ich
> > auch gut so - es weckt sonst nur eventuelle Kontrollwünsche bei der
> > Schulleitung ;-)
>
> das klingt sehr interessant. Sicher kann man auf einen Proxy auch
> verzichten und spart damit ne Menge Arbeit. 

Da hast du mich Missverstanden. Ein Proxy ist schon sinnvoll. Er prüft 
zunächst den aufgerufenen Seitennamen anhand vorgegebener Blacklists (gibt es 
diverse Listen bereits fertig im Internet, z.B. bringt Squidguard welche mit), 
holt dann die Seiten ab und prüft hier auch noch einmal ggf. den Inhalt auf 
gesperrte Zeichenketten und evtl auch auf Viren. Erst dann werden die Seiten 
an den User weitergeleitet. Und da auch eine 6.000er DLS-Leitung immer noch 
lahm gegenüber dem Prozessor ist, hält sich die Verzögerung in Grenzen. ;-)

Das einzige, was bei mir wegfällt, ist die Authentifizierung am Proxy, da die 
bereits beim WLAN-Zugang erfolgt (das WLAN ist selbst unverschlüsselt).

> Das Problem ist die Pflege
> der Withe-List. 

Die Whitelist ist hier nur ein Hilfsmittel, um mein Script ein wenig zu 
beschleunigen. Es ist quasi mehr ein DNS-Cache für erlaubte Seiten.

> Das würde ich ggf. durch einen autorisierten
> uneingeschränkten Zugang lösen, an dem die Bibliothekarin aufpasst. Da
> könnte man die Dinge recherieren, die an den Standardplätzen geblockt
> werden. Auf Dauer wird das aber nicht praktikabel sein. Vielleicht
> sollte man erstmal mit einer schriftlichen Belehrung beginnen und dann
> ggf. anhand von Log-Dateien prüfen, was so los ist. 

Das Prüfen der Log-Dateien solltest du vorher schriftlich mitteilen und dir 
mit der Nutzerordnung die Erlaubnis dafür holen. Könnte sonst ggf. als 
unerlaubter Eingriff in die Privatsphäre gewertet werden.

Ich setze hier lieber auf eine knallrote Fehlerseite bei gesperrten Seiten. Da 
muss der User nicht mal vor Scham selbst rot werden - das übernimmt der 
Monitor ;-)

> Es wird sich nur
> all zu schnell herumsprechen, wenn keine Reaktionen auf Fehltritte
> folgen +:)

Die "Fehltritte" bringen ja keine Ergebnisse im Browser (zumindest nicht die 
gewünschten). _Das_ wird sich schnell herumsprechen. Mit der Zeit werden die 
Versuche, auf gesperrte Seiten zu gelangen, immer spärlicher. Die Einzigen, 
denen du es kaum sperren kannst, sind die absoluten Freaks, die es packen, 
einen verschlüsselten HTTP-Tunnel zu einem eigenen Host im Internet außerhalb 
der Schule herzustellen, über den sie dann ungefiltert alles machen können. 
Das dürfte aber eher die Ausnahme sein - zumal der Aufwand kaum lohnt. Dann 
kann man ja auch gleich woanders surfen ;-)

> Mir ist bekannt, dass die Schulen nicht all zuviel in diesen Dingen
> unternehmen. Ich meine aber, dass im Unterricht nicht ganz so viel
> Blödsinn gemacht werden kann, zumal ja jeder Schüler meistens einen
> festen Platz hat. 

Bei uns kann jeder Schüler theoretisch zu jeder Zeit mit seinem eigenen oder 
einem Schullaptop ins WLAN. Allerdings fehlt oft mangels Freizeit in der 
Schule die Gelegenheit dazu *g*

> In unserer Bibliothek sind die Medienarbeitsplätze
> auf einer Galerie in der ersten Etage. Die Bibliothekarin sitzt
> paterre und ist in der Regel allein. Auf der Galerie gibt es quasie
> keine Aufsicht und niemand weis, wer wann wo sitzt. Deshalb ist der
> Proxy m.E. unentbehrlich.

Ein Proxy ist auf jeden Fall unentbehrlich. Aber du meinst sicher eine 
Anmeldung am Proxy.

-- 
Gruß
                MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Vorherige Nachricht: Re: Gelöst Re: Serverkonfiguration
Nächste Nachricht: Gelöst Re: Serverkonfiguration
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]