Schulnetzwerk - Zoom, Skype & Co aussperren

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Aushilfsinformatiker
Beiträge: 19
Registriert: 13 Apr 2020, 10:56

Schulnetzwerk - Zoom, Skype & Co aussperren

Beitrag von Aushilfsinformatiker »

Hallo, ich würde gerne die obigen Videokonferenzsysteme aus dem Schulnetzwerk verbannen. Leider habe ich bis auf das Setzen eines DNS-Filters für Zoom keine weitere Möglichkeit gefunden die IP-Ziele https://support.zoom.us/hc/de/articles ... 3%BCr-Zoom zu sperren. Den DNS-Filter kann man ja umgehen. Momentan ist der Stand so, dass die Zoom-App unter iOS und Android nur startet aber keine Verbindung herstellt.
Skype bohrt sich immer von Innen durch. Da habe ich noch gar keine Lösung.

Jeglicher Datenverkehr im Router nach Außen ist gesperrt, nur die notwendigsten Dienste gehen raus.

Vielen Dank!
AH

-----
1906VA
GrandDixence
Beiträge: 857
Registriert: 19 Aug 2014, 22:41

Re: Schulnetzwerk - Zoom, Skype & Co aussperren

Beitrag von GrandDixence »

Firewall mit einer DENY_ALL/BLOCK_ALL-Strategie betreiben.
fragen-zum-thema-firewall-f15/portscans ... ml#p104492

Dann mit entsprechenden Firewallregeln TCP-/UDP-Netzwerkverbindungen auf die unerwünschten IP-Adressen blockieren.

Schulnetzwerk mit VLAN auf Layer 2 segmentieren:
fragen-zur-lancom-systems-routern-und-g ... ml#p106568

fragen-zur-lancom-systems-routern-und-g ... ml#p109508

Und wenn diese Firewallregeln die Filteranforderungen der Schulleitung immer noch nicht vollständig erfüllen können, muss halt mit Proxies oder "Application Layer Firewall" (aka Proxy Firewall) gearbeitet werden.

https://de.wikipedia.org/wiki/Firewall# ... _Firewall)

https://de.wikipedia.org/wiki/Squid

https://www.lancom-systems.de/loesungen ... nt-filter/

Beim Einsatz eines Proxy ist die Firewall so zu konfigurieren, dass der Zugriff auf das Internet nur noch über den Proxy möglich ist. Für den Internetzugriff muss sich der Schüler mit Benutzername und Passwort am Proxy anmelden. So wird aufgezeichnet, wer, wann, welche Webseiten aufgerufen hat.

Ein SSL-Proxy ist erforderlich für die Filterung des verschlüsselten Datenverkehrs (zum Beispiel: HTTPS -> TCP Port 443). Meine Haltung zu SSL-Proxies habe ich unter:
fragen-zur-lancom-systems-routern-und-g ... ml#p103924
kundgetan.

Zoom und Skype sind Anwendungen, welche bewusst so programmiert wurden, dass sie auch in miserabel konfigurierten Hotel-WLAN's funktionieren. Bei miserabel konfigurierten Hotel-WLAN's sind in ausgehender Richtung nur HTTP (TCP Port 80) und HTTPS (TCP Port 443) von der Firewall zugelassen (neben den Grunddiensten DNS+DHCP+NTP).

Je mehr gefiltert wird, desto grössere Rechenleistung ist erforderlich. Proxies und Application Layer Firewall sollten ausschliesslich auf rechenstarker Serverhardware (=> Intel/AMD-Mehrprozessorsysteme) betrieben werden!

Für das Lehrpersonal sichere VPN-Tunnellösungen realisieren. Siehe dazu:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
Zuletzt geändert von GrandDixence am 02 Mai 2022, 23:31, insgesamt 11-mal geändert.
5624
Beiträge: 767
Registriert: 14 Mär 2012, 12:36

Re: Schulnetzwerk - Zoom, Skype & Co aussperren

Beitrag von 5624 »

Da wirst du mit einem LANCOM-Router keine sinnige und vollständige Lösungen finden. Da benötigst du eine NGFW mit Anwendungserkennung.

Auf IP- oder Protokollebene wirst du, dank Cloudkack, zu viele Kollateralschäden haben.

Über einen Proxyserver würde es auch gehen, in diesem Fall wirst du aber eine TLS-Interception betreiben müssen, sprich du benötigst ein SubCA- oder Wildcard-Zertifikat (für ALLE Domains) und da man dieses nur als Selfsigned bekommen wird, muss jeder Client mit Zertifikatsfehlern leben oder dieses Zertifikat an alle Clients verteilt werden.
LCS NC/WLAN
Aushilfsinformatiker
Beiträge: 19
Registriert: 13 Apr 2020, 10:56

Re: Schulnetzwerk - Zoom, Skype & Co aussperren

Beitrag von Aushilfsinformatiker »

Hallo, mit Proxy ist nicht realisierbar. Ich muss alle mit dem Lancom irgendwie regeln, eigentlich in drei Gebäuden über Stadt verteilt, welche ich standortvernetzt habe. Deny_all ist bereits schon aktiv. Ich habe mir die Mühe gemacht und die IP-Adressen als Stationsobjekt eingetragen. Irgendwie habe ich da noch einen Denkfehler beim Erstellen der Regel.

Aktion: Rejected
Quelle: alle Stationen
Ziel: Stationsobjekt Zoom (eingetragene IP's)
Dienste: alle

Zur Note muss der DNS-Filter reichen. Wer ändert schon im hektischen Alltag manuell die DNS-Einstellungen auf dem Smartphone.

Viele Grüße
AH
5624
Beiträge: 767
Registriert: 14 Mär 2012, 12:36

Re: Schulnetzwerk - Zoom, Skype & Co aussperren

Beitrag von 5624 »

Zur Note muss der DNS-Filter reichen. Wer ändert schon im hektischen Alltag manuell die DNS-Einstellungen auf dem Smartphone.
Kannst du doch blockieren. DNS blockieren und alle müssen zwingend den DNS-Dienst vom Router nehmen. Da kann man dann ändern, was man will.

Denk bei LANCOM dran: IPv4-Dienste des Routers werden NICHT über den Router (und damit der Firewall) abgewickelt, wenn man es nicht explizit aktiviert.
LCS NC/WLAN
GrandDixence
Beiträge: 857
Registriert: 19 Aug 2014, 22:41

Re: Schulnetzwerk - Zoom, Skype & Co aussperren

Beitrag von GrandDixence »

5624 hat geschrieben: 13 Jun 2021, 22:41DNS blockieren und alle müssen zwingend den DNS-Dienst vom Router nehmen.
Im Zeitalter von “DNS over HTTPS” (DoH => RFC 8484), DNSCrypt, DNS over QUIC ist eine Filterung per DNS nicht mehr zeitgemäss und auch nicht wirklich zweckdienend...
Aushilfsinformatiker
Beiträge: 19
Registriert: 13 Apr 2020, 10:56

Re: Schulnetzwerk - Zoom, Skype & Co aussperren

Beitrag von Aushilfsinformatiker »

Vielen Dank für eure Infos, das ist aber so erst einmal problemlos umsetzbar. Es geht ja nur um das Verhindern dieser Konferenzen wegen der DSGVO.

Viele Grüße AH
Antworten

Zurück zu „Fragen zum Thema Firewall“