Hallo Jürgen,
Am 08.04.2015 um 19:13 schrieb Juergen Engeland:
Hallo liebe Mitstreiter,
die Ihr filtern wollt oder denkt es tun zu müssen.
Inzwischen konnte ich das befürchtete Szenario nachstellen.
Es ist erschreckend einfach!
Man lade sich das Paket von https://www.torproject.org für sein
Betriebssystem herunter, entpacke es irgendwo (anders als auf seinem
USB-Stick - genau das geht nämlich in Linux im allgemeinen nicht wegen
fehlender execute-Rechte auf FAT32!), (doppel)klicke auf
start-tor-browser, warte ein paar Minuten auf den Verbindungsaufbau und
voilà - nichts hält einen mehr auf!
Ich hatte in Informatik 12. Klasse Vorträge zum Datenschutz etc.
aufgegeben. 2 Schüler stellten im Vortrag die Einrichtung vor - unter
Windows7. Sie hatten zu beginn über eine Webseite unsere IP-Adresse
deutlich gemacht. Dann die Einrichtung von TOR. Hier mussten sie wegen
dem Zwangsproxy natürlich (ihre!) Zugangsdaten angeben. Dann wurde
wieder diese Seite wegen der IP angesurft und es erschien jetzt eine
andere IP als externe IP unserer Schule.
Ich habe nicht kontrolliert, ob dieser Verbindungsaufbau im Logfile von
Squid steht, bin aber sehr sicher - natürlich (bei uns) mit Login. Wenn
diese 6600 IPs in der Blacklist gewesen wären, dann würde mit sehr hoher
Wahrscheinlichkeit (> 99,9%) die IP zum Verbindungsaufbau geblockt und
inwzischen in einem extra Logfile (Nachbau von Arktur4)
In der Schule habe ich gerade nicht genug Zeit gehabt, um den
Verbindungsaufbau abzuwarten, gehe jedoch davon aus, dass ein Schüler
Erfolg hatte, wenn er es mir berichtet.
Zu Hause konnte ich mit ipfire als Stellvertreter für den Schulrouter
weitere Experimente machen. Dabei ist folgendes heraus gekommen:
Es geht auch wenn die Kategorie proxy im URL-Filter angehakt ist. Fehlt
noch eine andere Kategorie?
in der Kategorie "Proxy" stehen bei der Shalla-Liste meines Wissens
keine Rechner des TOR-Projekts. Diese IPs müßten in eine
extra-Kategorie. Ich nutze derzeit nur die Shallalist (TfK sollte
ähnlich funktionieren). Da bei uns die Shallalist jede Woche
aktualisiert wird, würde ich diese nicht in die Blackliste der
Shallaliste einbinden, weil ich dann befürchten würde, dass die bei der
Aktualisierung überschrieben und damit gelöscht würde. habe ich aber
noch nicht ausprobiert.
Es ist egal, ob der Proxy transparent ist oder nicht. Die
Authentifizierung am Proxy greift nicht! Weshalb nicht?
kann ich nicht bestätigen. Ohne Authentifizierung ging bei uns
(windows-Clients) nichts mit TOR. Ich kann mir nicht vorstellen, dass
sich Linux- und Windows-Clients an der Stelle unterscheiden. (Natürlich
kann bei Anmeldezwang der Proxy nicht transparent sein.)
Viele Grüße
Hans-Dietrich
_______________________________________________
linuxmuster-user mailing list
[email protected]
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
