Für die IT-Administration von Organisationen mit vielen Nutzern, typischerweise also auch Schulen, kann es sehr nützlich sein, den Zugriff auf externe Webseiten zu regeln. In technischer Hinsicht in Hinblick auf eine bessere Perfomance beim Aufrufen häufig besuchter Seiten aber auch was die Beschränkung des Zugriffs auf bestimmte Seiten, z. B. aus Sicherheitsgründen oder wegen des Jugendschutzes angeht.
Dafür kommt der Web-Proxy zum Einsatz, der ein zentraler Bestandteil von UCS@School ist und der eine Verbesserung der Performance und eine Kontrolle des Datenverkehrs ermöglicht. In diesem Blogartikel stelle ich Ihnen vor, wie Sie Squid Proxy mit SquidGuard konfigurieren und beides mit eventuell bereits vorhandenen (Jugendschutz-)Webseitenfiltern kombinieren können. Und ich möchte Ihnen mit dem „Shalla-Listen-Downloader“ noch eine Cool Solution vorstellen, mit der Sie diesen Schutz weiter abrunden können und die wir schon in verschiedenen Schulprojekten erfolgreich umgesetzt haben.

Was ist Squid?

Squid ist ein sog. „Caching Proxy“, primär für Webinhalte, die über die Protokolle HTTP, HTTPS oder FTP ausgeliefert werden. Dies bedeutet, dass sich mit Squid die Antwortzeiten beim Abrufen von Webseiten stark verringern und gleichzeitig das Datenvolumen reduzieren lässt, indem Squid Webseiten und deren Inhalte zwischenspeichert und einer Vielzahl von Clients gleichzeitig zur Verfügung stellt.
Squid kann grundsätzlich in zwei Betriebsmodi verwenden werden. In diesem Blogartikel geht es um Squid als Webproxy. In einem früheren Blogartikel haben wir bereits beschreiben, wie ein Squid als Reverse SSL Proxy konfigurieren.Squid_Reverse_Proxy-03

Squid als Web-Proxy auf Schulservern

In der Grundeinstellung von UCS läuft auf jedem Schulserver ein Proxy-Server auf Basis von Squid im Zusammenspiel mit SquidGuard. Das bedeutet, dass die Clients in der Schule, also alle Rechner der Schüler und Lehrer über Squid auf das Internet zugreifen. Squid wird so zur zentralen Stelle, über die die angeforderten Webinhalte abgerufen, gespeichert und als zwischengespeicherte Version an alle weiteren Clients, die ebenfalls auf diese Webinhalte zugreifen möchten, ausgeliefert werde. Wird also mehrfach auf die gleiche Webseite zugegriffen, muss diese nicht erneut vom entfernten Webserver abgefragt werden.
Die Clients erhalten automatisch per DHCP die Information über den zu verwendenden Proxy-Server, also den Schulserver, auf welchem Squid installiert ist. Dies geschieht mithilfe der WPAD-Option im DHCP, sodass eine Proxy-Autokonfigurationsdatei (PAC-Datei) automatisiert ausgeliefert wird. Leider funktioniert dies nicht von allen Browsern gleichermaßen gut Out-of-the-Box. Für die Umsetzung gibt es verschiedene Lösungsansätze, wie beispielsweise das Verwenden einer zentralen Gruppenrichtlinie über Samba. Im UCS@School-Handbuch finden Sie detailliert beschrieben, wie Sie eine PAC-Datei manuell für den Internet Explorer und Firefox konfigurieren.

Kurz erklärt: Wie DHCP und DNS funktionieren

Zwei grundlegende Dienste in IT-Netzwerken sind DHCP und DNS. Während DHCP die Clients in einem Netzwerk mit Informationen versorgt, die für die Teilnahme an der Kommunikation notwendig sind, stellt DNS sicher, dass Server, Clients und Dienste über ihre Namen gefunden werden können.

weiterlesen

Einbindung in bestehende Jugendschutzfilter-Lösungen

Screenshot: Shallalist: Beispiel für eine gesperrte WebsiteManche Schulen haben bereits eigene Filterlisten definiert, oder es gibt Vorgaben, die über einen im Rechenzentrum zentral bereitstehenden Web-Proxy geregelt werden. Wenn dieser externe Web-Proxy so vorkonfiguriert wurde, dass er eine bestehende Jugendschutzfilter-Vorgabe umzusetzt, kann Squid dementsprechend angepasst werden.
Dafür konfigurieren Sie Squid auf dem Schulserver so, dass Anfragen nach Webseiten ungefiltert an den weiteren Web-Proxy durchgereicht werden, der die Filterung auf Jugendschutz-Inhalte vornimmt. Mit der folgenden Einstellung konfigurieren Sie Squid so, dass sämtliche Anfragen nicht direkt ins Internet, sondern an einen nachgelagerten Proxy-Server (z.B. 10.0.0.4 auf Port 80) geleitet werden:
ucr set squid/parent/host=10.0.0.4 squid/parent/port=80
Steht allerdings kein separater Jugendschutzfilter bereit, müssen Sie sich ggf. selber Gedanken zur Einbindung externer Filterlisten machen, um so den Zugriff auf entsprechende Seiten zu unterbinden. Wie das geht, beschreibe ich im Folgenden.

Einbindung von externen Filterlisten

Soll der Schulserver selber die Filterung von Anfragen auf externe Webseiten vornehmen, so kann Squid diese Aufgabe an SquidGuard abgeben. SquidGuard ist ein Internetfilter, der in Verbindung mit dem Squid Web-Cache-Proxy arbeitet. UCS@school unterstützt die Einbindung von externen Blacklisten, welche als Textdateien vorliegen müssen. Diese Listen können Sie selber pflegen, um z. B. die Vorgaben des Jugendschutzes zu erfüllen. Da teilweise gezielt bestimmte URLs geblockt werden sollen, manchmal aber auch komplette Domänen, wird bei der Konfiguration hierbei unterschieden. So können Sie Textdateien mit jeweils nur Domänennamen oder auch mit URLs erstellen, wobei Sie darauf achten müssen, immer eine Domain oder URL pro Zeile aufzulisten.
In unserem Handbuch erklären wir ausführlich, wie die Einbindung von externen Blacklisten funktioniert. Dabei wird auch erläutert, welchen Ort Sie für die Ablage der Textdateie wählen und wie Sie die entsprechende UCR-Variablen konfirgurieren.

Statt selber schreiben einfach vorhandene Black-Listen w. z. B. „Shalla“ einbinden

Es gibt viele fertige Black-Listen, auf denen Webseiten stehen, die z. B. nicht den Jugendschutzanforderungen des Bildungssbereichs entsprechen und auch zahlreiche kommerzielle Anbieter von Jugendschutzfilter-Lösung.
Als ein Beispiel möchte ich Ihnen die als eine freie Variante die Shalla-Liste nennen, welche direkt mit UCS@school und SquidGuard arbeitet. Ihre Verwendung für den privaten Einsatz und an öffentlichen Schulen ist erlaubt, und für andere Einsatzszenarien, z.B. für den Einsatz von Unternehmen, kann für die Shalla-Liste eine Lizenz auch erworben werden. Die bereitgestellten Shalla-Listen sind nach verschiedenen Kategorien gruppiert und sind vom Format in Textdateien gegliedert, die jeweils pro Kategorie als eine Datei für URLs und eine Datei für zu sperrende Domains zur Verfügung stehen. Somit können Sie diese Listen direkt in UCS@school ohne weiteren eigenen Arbeitsaufwand einsetzen.

Um den Download der Shalla-Liste zu automatisieren und so z. B. täglich aktualisierte Filterlisten herunterzuladen, kann für Sie ein Shallalist Downloader hilfreich sein, der die Arbeit für Sie übernimmt. Die grundlegenden Schritte dafür sind in dem Artikel Cool Solution – Shallalist Downloader detailliert beschrieben.

Ich hoffe, ich konnte Ihnen mit diesem Artikel einige nützliche Anregungen und hilfreiche Anwendungsbeispiele geben, um den Zugriff auf externe Webinhalte oder Seiten unkompliziert sicherer und performanter zu gestalten. Falls Sie selber weitere gute Tipps oder aber Fragen zu dem Artikel haben, können Sie dafür gerne unten stehende Kommentarfunktion nutzen.

Weitere interessante Artikel:

UCS Core Edition jetzt kostenfrei einsetzen!

Zum Downloadbereich
Andreas Peichert

Andreas Peichert entwickelt und programmiert Software seit 2000. Bei Univention ist er seit 2013 tätig und arbeitet als Senior Solution Architect im Professional Services Team, wo er sich als Ausbilder auch um die Auszubildenden kümmert.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert