Hallo,
mir wurde aufgetragen in einer unserer Schulen ein Webfilter zu installieren damit die Kinder nicht auf unangebrachte Seiten gelangen.
Alle Softwarevarianten die ich dafür getestet habe sind murks und auch langwierig in der Wartung und können einfach umgangen werden.
Deshalb plane ich OPNsense als Proxy (Transparent oder nicht ist erstmal egal) einzusetzen welche den HTTP und HTTPS Traffic filtern.
Ich habe leider mit "Custom" Firewalls noch keinerlei Erfahrung und habe bisher nur mit Cisco und Sonicwall (dell) gearbeitet, diese sind mir allerdings zu kostenintensiv.
deshalb meine Fragen:
Ist mein vorhaben mit OPNsense realisierbar?
Beherrscht OPNSense die HTTPS Filterung mittels SNI so das ich kein extra Zertifikat installieren muss?
Würde ein J3160 Quadcore (LES Compact 4L) als Hardware genügen? Falls nein was bräuchte ich ungefähr?
Vielen dank schon mal vorab.
QuoteIst mein vorhaben mit OPNsense realisierbar?
Definitiv ja.
QuoteBeherrscht OPNSense die HTTPS Filterung mittels SNI so das ich kein extra Zertifikat installieren muss?
Funktioniert ebenfalls. Habe ich hier auch im Einsatz mit derzeit ca. 100 Clients. Ich habe zudem noch wpad konfiguriert. Wenn die Clients sich selbst gleich richtig auf Proxy konfigurieren, dann minimiert das die Fälle, wo es mit Transparenz Probleme geben kann.
QuoteWürde ein J3160 Quadcore (LES Compact 4L) als Hardware genügen? Falls nein was bräuchte ich ungefähr?
Kann ich jetzt nicht beurteilen zudem ich da keine Angabe zum RAM fand. Ich habe es derzeit auf einem Fujitsu Primergy RX300 S4 mit 32GB RAM laufen. Läuft super mit Virenscan, Suricata und Sensei zusätzlich.
Du könntest zudem noch OpenDNS oder das Bind-Plug-in nutzen, um jugendgefährdende Seiten zu filtern.
Der LES Compact 4L ist quasi das bessere Gegenstück zum APU.4B4 vertrieben von Thomas Krenn.
Inkl. Intel Celeron J3160 (4 Cores, 1.6GHz)
Hardwaregestützte Verschlüsselung via Intel AES-NI
4x 1 Gbit/s LAN
Laut Configurator hat der in der Grundausstattung aber keine Massenspeicher(mSata) und nur 2GB Ram.
Ich würde den mit 4 oder 8 GB und min. einer 32gb msata planen.
Muss viel gelogt werden, sollte man auch größere msatas und/oder ggf. externe USB Platten einplanen und anbinden. Ich hab kein Plan was in einem Schulnetz alles gelogt werden muss/darf/soll.
Aber für bis 500 Clients halte ich den ohne weiteres einsetzbar, wenn nicht sogar noch mehr.
Allerdings sollte der dann nicht viel anderes machen als routen, dnssen und firewallen. Als Proxy für http nutzt man besser den des Providers - und entsprechend eine selbst angepasste WPAD/PAC.
SSL-Proxys machen aber evtl. Probleme wenn man die SSL Chain zur Content Prüfung aufbrechen will und lösen so Probleme bezüglich unerwünschter Inhalt auch nur Teilweise. Ich würde über den OpenDns Dienst (kostenpflichtig?) nachdenken wenn es keinen dedizierten SchulDNS/KultusDNS Server gibt.
So ziemlich jede Site ist mit solchen Tricks z.B. auch jenseits komischer Zensurfummeleien am Gateway/Proxy erreichbar. Und das ist weder der einzige Weg, noch ist das supergeheim...
http://fineproxy.de/blog/google-als-proxyserver-benutzen/
Es muss also nicht mal immer erst ein Tor client sein um dem neurotischen Admin nen Stinkefinger zu zeigen...
Das sollte man sich klar machen bevor man den Kampf gegen Windmühlen aufnimmt.
Ich hätte ihn nur in Nutzung für die Contentüberprüfung, und ob du es glaubst oder nicht, ich will das nicht machen, es ist vom Bund aber für Schulen vorgeschrieben.
Was meinst du mit Proxy des Providers?
und mit PAC/WPAD könnte ich doch in der Theorie auch blacklist URLs ins leere Routen oder sehe ich das Falsch?
Dann benötige ich ja in der Theorie keinen Richtigen Proxy.
Bzgl. SSL hätte ich wie schon erwähnt SNI genutzt um eben nicht das SSL aufzubrechen.
Ein reiner DNS Server zu contentfilterung reicht hier nicht... Sobald die Kids etwas in Google & Co eingeben und darüber öffnen ist der DNS schon umgangen. Maximal in Kombination mit SafeSearch.
Bezüglich des umgehen des Proxys mache ich mir keinerlei sorgen, wir reden hier von Grundschülern bis Maximal 11 Jahren, wenn das einer von denen umgeht wird er maximal von mir gelobt ;)
#Update
Ich habe eben ne recht taugliche Software gefunden, nennt sich JOSPROG und funktioniert zumindest beim ersten versuch einwandfrei. Der Wartungsaufwand ist zwar größer da es keine zentrale Verwaltung gibt, dafür muss erstmal keine neue Hardware angeschafft werden.
Und da BYOD in einer Grundschule noch kein Thema ist, werde ich erstmal die Möglichkeit mit dem Programm nutzen.
Im Sommer schaffe ich mir aber vermutlich trotzdem nen Compact 4L oder APU.4B4 an und werde ihn als Router für die VLAN´s nutzen.
Mir ist schon klar das an Schulen andere Vorgaben existieren als anderswo...
mit Proxy des Providers meine ich den caching Proxy, der vom Provider meist angeboten wird.
Bspl.
Proxy-Server für WWW / HTTP www-proxy.t-online.de
Proxy-Server für FTP ftp-proxy.t-online.de
Die Wahrscheinlichkeit Traffic zu sparen liegt IMHO bei eigenen Proxys irgendwo zwischen 2 und 5%. Als Cache sind die eher sehr ineffizient. Und als Contentfilter seit HTTPS Quasistandart ist, auch nur bedingt tauglich.
Ich wär ja dafür, wenn Schulen getunnelte, zentral administrierte Netze nutzen würden. Wenn man schon unbedingt Kinder aufs Web los lassen will... Verwaltungen und Behörden nutzen das auch. Alles andere ist mehr oder weniger aufwändige Bastelei.
Filterung auf dem Client wie mit JUSPROG ist auch eine Möglichkeit... ja. Viele Wege führen nach Rom...
Also für Schulen in BaWü, die über das Wissenschaftsnetz BelWue angeschlossen sind, gibt es folgende Lösung/Service. Bieten die Schulprovider anderer Länder sicher auch in sicher Weise an.
https://www.belwue.de/produkte/dienste/jugendschutzfilter.html (https://www.belwue.de/produkte/dienste/jugendschutzfilter.html)
Ohne SNI und ohne IPS reicht Compact 4L, mit den beiden lieber LES Network+