Hallo!

wir haben hier folgendes Szenario:

Linux-Server mit Squid, auf den alle web-Anfragen der lokalen Rechner zeigen. Die Rechner selber dürfen keine Verbindung mit dem Internet direkt herstellen, das ist im Gateway so eingestellt. Die MAC-Adressen der einzelnen Rechner sind erfasst und eine Regel wurde erstellt, damit die Rechner keinen direkten Internetzugang erhalten.

Leider ist es jetzt aber so, dass ein User es anscheinend immer wieder schafft, sich am Squid vorbei z.B. auf Spieleseiten usw. einzuloggen. Im Squid sind genau solche Seiten gesperrt. Privates surfen ist hier verboten und alle wissen und haben zugestimmt, dass die Logs ausgewertet werden. Und hier geht es nich um "mal die eMail checken - was ausdrücklich in Ordnung ist" sondern um ca. 2h täglichem Zocken während der Arbeit.

Wir wollen jetzt mal als erstes dieses Umgehen der Sperre, bzw. des squid angehen! Wie machen wir das am besten?

Gruß

hallo!

stell einen server ins internet, wo auf port 443 ein proxy/ssh/vpn-server deiner wahl ist und mach über den squid ein "http connect" auf den besagten port/server.

das setzt natürlich vorraus, dass der squid httpd zulässt.

hth,
//richard

Wir wollen jetzt mal als erstes dieses Umgehen der Sperre, bzw. des squid angehen! Wie machen wir das am besten?


Herausfinden wie es umgangen wird und die Fehlkonfiguration beseitigen?

wie sieht die iptables deines Gatways aus?
du musst alles verbieten und nur dns (53/udp) auf den dns server und den squidport (3128/tcp) auf den squid server erlauben.
ausserdem musst du die squidlogs (access_log) checken, ob das verbot für die "Spieleseiten" überhaupt wirkt.

@marcdevil:

Die Einstellung ist schon auf dem gateway so gewählt! Das ist es ja, was micht so wundert, dass er trotzdem noch auf Seiten kommt, die im Squid gesperrt sind!

Die access.log gibt immer wieder her, dass von gesperrten Seiten brav geladen wird! Komischerweise geht das aber bei allen anderen Rechnern, die im Netz sind, nicht, nur dieser bekommt es immer wieder hin, sich gesperrte Seiten zu ziehen. Kann man mit normalen Benutzerrechten eine MAC oder eine IP manipulieren?

Oder er trägt sich einen alternativen DNS ein. Warum haust du dem User nicht einfach auf den Sack? Abmahnen und gut is.

Erstmal am Gateway _alle_ Anfragen aus dem Client-LAN droppen. DNS nach Außen nur für Server erlauben. HTTP und HTTPS nach Außen nur per Squid erlauben.

Setz das Debugging hoch und guck dir an, warum die gesperrten Seiten trotzdem geladen werden. Wahrscheinlich ist deine ACL Reihenfolge falsch.

Hallo Bla!zilla,

es soll auch noch Firmen geben, die nicht gleich eine Abmahnung schreiben ;-) Der User soll ruhig merken, dass er einen Fehler begangen hat, ich denke, das reicht schon aus! Ausserdem bekommt er von den anderen, die seine Arbeit machen müssen, auch schon Druck :-)

Das mit der Reihenfolge der ACL schau ich mir gleich mal genauer an! Ich hab jetzt mal nachgeschaut, unter XP mit Benutzerrechten darf man keine Änderung an den TCP/IP-Einstellungen machen. Vorher waren alle Hauptbenutzer, da ging das noch!

Deine anderen Hinweise werd ich dann auch mal beachten. Danke!

Hallo,

ich würde mal gucken, ob er einen eigenen Server irgendwo hat und da ggf. einen ssh auf 443 liegen hat über den er tunnelt.

cya
LiNUXrh7

Da man nicht weiß ob er womöglich noch ganz andere Sachen über einen HTTPS Tunnel macht und somit eine potentielle Gefahr ist würde ich mir seinen Traffic mal ganz genau ansehen.

Ich wette da kommen dann noch andere Verstöße zu:
- Instant Messenger wie WebICQ
- Filmchen runterladen
- ...

Dann hingehen und ihn je nachdem wie er reagiert freundlich aber bestimmt belehren oder wenn er auf superschlau macht langmachen, aufzählen was er wieviele Stunden lang feiert, ausrechnen was das dem Unternehmen gekostet hat und klarstellen das das die letzte Warnung ist und Du ihn einige Wochen lang im Auge haben wirst. Sowas aber nicht schriftlich kommunizieren, ist immer Auslegungssache was man darf und was nicht und wo der Betriebsrat informiert werden muss und ....

Im Endeffekt tust Du ihm, gerade wenn es ein Jugendlicher oder junger Erwachsener ist, damit einen Gefallen weil Du ihm die Möglichkeit gibst das Ruder zu drehen und sich primär auf seine Arbeit zu konzentrieren.

mfg
cane