Hallo, ich würde gerne die obigen Videokonferenzsysteme aus dem Schulnetzwerk verbannen. Leider habe ich bis auf das Setzen eines DNS-Filters für Zoom keine weitere Möglichkeit gefunden die IP-Ziele https://support.zoom.us/hc/de/articles ... 3%BCr-Zoom zu sperren. Den DNS-Filter kann man ja umgehen. Momentan ist der Stand so, dass die Zoom-App unter iOS und Android nur startet aber keine Verbindung herstellt.
Skype bohrt sich immer von Innen durch. Da habe ich noch gar keine Lösung.
Jeglicher Datenverkehr im Router nach Außen ist gesperrt, nur die notwendigsten Dienste gehen raus.
Vielen Dank!
AH
-----
1906VA
Schulnetzwerk - Zoom, Skype & Co aussperren
Moderator: Lancom-Systems Moderatoren
-
- Beiträge: 49
- Registriert: 13 Apr 2020, 10:56
-
- Beiträge: 1098
- Registriert: 19 Aug 2014, 22:41
Re: Schulnetzwerk - Zoom, Skype & Co aussperren
Firewall mit einer DENY_ALL/BLOCK_ALL-Strategie betreiben.
fragen-zum-thema-firewall-f15/portscans ... ml#p104492
viewtopic.php?p=109526#p109526
Dann mit entsprechenden Firewallregeln TCP-/UDP-Netzwerkverbindungen auf die unerwünschten IP-Adressen blockieren.
Schulnetzwerk mit VLAN auf Layer 2 segmentieren:
fragen-zur-lancom-systems-routern-und-g ... tml#p90529
fragen-zur-lancom-systems-routern-und-g ... ml#p106568
fragen-zur-lancom-systems-routern-und-g ... ml#p109508
fragen-zum-thema-firewall-f15/zugriff-a ... 19588.html
fragen-zur-lancom-systems-routern-und-g ... ml#p111564
fragen-zu-lancom-systems-voip-router-f4 ... ml#p115225
Und wenn diese Firewallregeln die Filteranforderungen der Schulleitung immer noch nicht vollständig erfüllen können, muss halt mit Proxies oder "Application Layer Firewall" (aka Proxy Firewall) gearbeitet werden.
https://de.wikipedia.org/wiki/Firewall# ... _Firewall)
https://de.wikipedia.org/wiki/Squid
https://www.lancom-systems.de/loesungen ... nt-filter/
Beim Einsatz eines Proxy ist die Firewall so zu konfigurieren, dass der Zugriff auf das Internet nur noch über den Proxy möglich ist. Für den Internetzugriff muss sich der Schüler mit Benutzername und Passwort am Proxy anmelden. So wird aufgezeichnet, wer, wann, welche Webseiten aufgerufen hat.
Ein SSL-Proxy ist erforderlich für die Filterung des verschlüsselten Datenverkehrs (zum Beispiel: HTTPS -> TCP Port 443). Meine Haltung zu SSL-Proxies habe ich unter:
fragen-zur-lancom-systems-routern-und-g ... ml#p103924
kundgetan.
Zoom und Skype sind Anwendungen, welche bewusst so programmiert wurden, dass sie auch in miserabel konfigurierten Hotel-WLAN's funktionieren. Bei miserabel konfigurierten Hotel-WLAN's sind in ausgehender Richtung nur HTTP (TCP Port 80) und HTTPS (TCP Port 443) von der Firewall zugelassen (neben den Grunddiensten DNS+DHCP+NTP).
Je mehr gefiltert wird, desto grössere Rechenleistung ist erforderlich. Proxies und Application Layer Firewall sollten ausschliesslich auf rechenstarker Serverhardware (=> Intel/AMD-Mehrprozessorsysteme) betrieben werden!
Für das Lehrpersonal sichere VPN-Tunnellösungen realisieren. Siehe dazu:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
Zum sicheren Betrieb des Netzwerks gehört auch eine durchdachte LANCOM-Produkt-Updatestrategie. Siehe dazu:
fragen-zur-lancom-systems-routern-und-g ... ml#p112858
Zugriffsschutz mit einer eigenen PKI realisieren für:
- VPN
- frei zugänglichen Ethernet-Ports mit Hilfe von IEEE 802.1x
- WLAN mit Hilfe von EAP-TLS
Siehe dazu:
viewtopic.php?t=20238
fragen-zum-thema-firewall-f15/portscans ... ml#p104492
viewtopic.php?p=109526#p109526
Dann mit entsprechenden Firewallregeln TCP-/UDP-Netzwerkverbindungen auf die unerwünschten IP-Adressen blockieren.
Schulnetzwerk mit VLAN auf Layer 2 segmentieren:
fragen-zur-lancom-systems-routern-und-g ... tml#p90529
fragen-zur-lancom-systems-routern-und-g ... ml#p106568
fragen-zur-lancom-systems-routern-und-g ... ml#p109508
fragen-zum-thema-firewall-f15/zugriff-a ... 19588.html
fragen-zur-lancom-systems-routern-und-g ... ml#p111564
fragen-zu-lancom-systems-voip-router-f4 ... ml#p115225
Und wenn diese Firewallregeln die Filteranforderungen der Schulleitung immer noch nicht vollständig erfüllen können, muss halt mit Proxies oder "Application Layer Firewall" (aka Proxy Firewall) gearbeitet werden.
https://de.wikipedia.org/wiki/Firewall# ... _Firewall)
https://de.wikipedia.org/wiki/Squid
https://www.lancom-systems.de/loesungen ... nt-filter/
Beim Einsatz eines Proxy ist die Firewall so zu konfigurieren, dass der Zugriff auf das Internet nur noch über den Proxy möglich ist. Für den Internetzugriff muss sich der Schüler mit Benutzername und Passwort am Proxy anmelden. So wird aufgezeichnet, wer, wann, welche Webseiten aufgerufen hat.
Ein SSL-Proxy ist erforderlich für die Filterung des verschlüsselten Datenverkehrs (zum Beispiel: HTTPS -> TCP Port 443). Meine Haltung zu SSL-Proxies habe ich unter:
fragen-zur-lancom-systems-routern-und-g ... ml#p103924
kundgetan.
Zoom und Skype sind Anwendungen, welche bewusst so programmiert wurden, dass sie auch in miserabel konfigurierten Hotel-WLAN's funktionieren. Bei miserabel konfigurierten Hotel-WLAN's sind in ausgehender Richtung nur HTTP (TCP Port 80) und HTTPS (TCP Port 443) von der Firewall zugelassen (neben den Grunddiensten DNS+DHCP+NTP).
Je mehr gefiltert wird, desto grössere Rechenleistung ist erforderlich. Proxies und Application Layer Firewall sollten ausschliesslich auf rechenstarker Serverhardware (=> Intel/AMD-Mehrprozessorsysteme) betrieben werden!
Für das Lehrpersonal sichere VPN-Tunnellösungen realisieren. Siehe dazu:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
Zum sicheren Betrieb des Netzwerks gehört auch eine durchdachte LANCOM-Produkt-Updatestrategie. Siehe dazu:
fragen-zur-lancom-systems-routern-und-g ... ml#p112858
Zugriffsschutz mit einer eigenen PKI realisieren für:
- VPN
- frei zugänglichen Ethernet-Ports mit Hilfe von IEEE 802.1x
- WLAN mit Hilfe von EAP-TLS
Siehe dazu:
viewtopic.php?t=20238
Zuletzt geändert von GrandDixence am 30 Nov 2023, 17:30, insgesamt 19-mal geändert.
Re: Schulnetzwerk - Zoom, Skype & Co aussperren
Da wirst du mit einem LANCOM-Router keine sinnige und vollständige Lösungen finden. Da benötigst du eine NGFW mit Anwendungserkennung.
Auf IP- oder Protokollebene wirst du, dank Cloudkack, zu viele Kollateralschäden haben.
Über einen Proxyserver würde es auch gehen, in diesem Fall wirst du aber eine TLS-Interception betreiben müssen, sprich du benötigst ein SubCA- oder Wildcard-Zertifikat (für ALLE Domains) und da man dieses nur als Selfsigned bekommen wird, muss jeder Client mit Zertifikatsfehlern leben oder dieses Zertifikat an alle Clients verteilt werden.
Auf IP- oder Protokollebene wirst du, dank Cloudkack, zu viele Kollateralschäden haben.
Über einen Proxyserver würde es auch gehen, in diesem Fall wirst du aber eine TLS-Interception betreiben müssen, sprich du benötigst ein SubCA- oder Wildcard-Zertifikat (für ALLE Domains) und da man dieses nur als Selfsigned bekommen wird, muss jeder Client mit Zertifikatsfehlern leben oder dieses Zertifikat an alle Clients verteilt werden.
LCS NC/WLAN
-
- Beiträge: 49
- Registriert: 13 Apr 2020, 10:56
Re: Schulnetzwerk - Zoom, Skype & Co aussperren
Hallo, mit Proxy ist nicht realisierbar. Ich muss alle mit dem Lancom irgendwie regeln, eigentlich in drei Gebäuden über Stadt verteilt, welche ich standortvernetzt habe. Deny_all ist bereits schon aktiv. Ich habe mir die Mühe gemacht und die IP-Adressen als Stationsobjekt eingetragen. Irgendwie habe ich da noch einen Denkfehler beim Erstellen der Regel.
Aktion: Rejected
Quelle: alle Stationen
Ziel: Stationsobjekt Zoom (eingetragene IP's)
Dienste: alle
Zur Note muss der DNS-Filter reichen. Wer ändert schon im hektischen Alltag manuell die DNS-Einstellungen auf dem Smartphone.
Viele Grüße
AH
Aktion: Rejected
Quelle: alle Stationen
Ziel: Stationsobjekt Zoom (eingetragene IP's)
Dienste: alle
Zur Note muss der DNS-Filter reichen. Wer ändert schon im hektischen Alltag manuell die DNS-Einstellungen auf dem Smartphone.
Viele Grüße
AH
Re: Schulnetzwerk - Zoom, Skype & Co aussperren
Kannst du doch blockieren. DNS blockieren und alle müssen zwingend den DNS-Dienst vom Router nehmen. Da kann man dann ändern, was man will.Zur Note muss der DNS-Filter reichen. Wer ändert schon im hektischen Alltag manuell die DNS-Einstellungen auf dem Smartphone.
Denk bei LANCOM dran: IPv4-Dienste des Routers werden NICHT über den Router (und damit der Firewall) abgewickelt, wenn man es nicht explizit aktiviert.
LCS NC/WLAN
-
- Beiträge: 1098
- Registriert: 19 Aug 2014, 22:41
-
- Beiträge: 49
- Registriert: 13 Apr 2020, 10:56
Re: Schulnetzwerk - Zoom, Skype & Co aussperren
Vielen Dank für eure Infos, das ist aber so erst einmal problemlos umsetzbar. Es geht ja nur um das Verhindern dieser Konferenzen wegen der DSGVO.
Viele Grüße AH
Viele Grüße AH