Für die IT-Administration von Organisationen mit vielen Nutzern, typischerweise also auch Schulen, kann es sehr nützlich sein, den Zugriff auf externe Webseiten zu regeln. In technischer Hinsicht in Hinblick auf eine bessere Perfomance beim Aufrufen häufig besuchter Seiten aber auch was die Beschränkung des Zugriffs auf bestimmte Seiten, z. B. aus Sicherheitsgründen oder wegen des Jugendschutzes angeht.
Dafür kommt der Web-Proxy zum Einsatz, der ein zentraler Bestandteil von UCS@School ist und der eine Verbesserung der Performance und eine Kontrolle des Datenverkehrs ermöglicht. In diesem Blogartikel stelle ich Ihnen vor, wie Sie Squid Proxy mit SquidGuard konfigurieren und beides mit eventuell bereits vorhandenen (Jugendschutz-)Webseitenfiltern kombinieren können. Und ich möchte Ihnen mit dem „Shalla-Listen-Downloader“ noch eine Cool Solution vorstellen, mit der Sie diesen Schutz weiter abrunden können und die wir schon in verschiedenen Schulprojekten erfolgreich umgesetzt haben.
Was ist Squid?
Squid ist ein sog. „Caching Proxy“, primär für Webinhalte, die über die Protokolle HTTP, HTTPS oder FTP ausgeliefert werden. Dies bedeutet, dass sich mit Squid die Antwortzeiten beim Abrufen von Webseiten stark verringern und gleichzeitig das Datenvolumen reduzieren lässt, indem Squid Webseiten und deren Inhalte zwischenspeichert und einer Vielzahl von Clients gleichzeitig zur Verfügung stellt.
Squid kann grundsätzlich in zwei Betriebsmodi verwenden werden. In diesem Blogartikel geht es um Squid als Webproxy. In einem früheren Blogartikel haben wir bereits beschreiben, wie ein Squid als Reverse SSL Proxy konfigurieren.
Squid als Web-Proxy auf Schulservern
In der Grundeinstellung von UCS läuft auf jedem Schulserver ein Proxy-Server auf Basis von Squid im Zusammenspiel mit SquidGuard. Das bedeutet, dass die Clients in der Schule, also alle Rechner der Schüler und Lehrer über Squid auf das Internet zugreifen. Squid wird so zur zentralen Stelle, über die die angeforderten Webinhalte abgerufen, gespeichert und als zwischengespeicherte Version an alle weiteren Clients, die ebenfalls auf diese Webinhalte zugreifen möchten, ausgeliefert werde. Wird also mehrfach auf die gleiche Webseite zugegriffen, muss diese nicht erneut vom entfernten Webserver abgefragt werden.
Die Clients erhalten automatisch per DHCP die Information über den zu verwendenden Proxy-Server, also den Schulserver, auf welchem Squid installiert ist. Dies geschieht mithilfe der WPAD-Option im DHCP, sodass eine Proxy-Autokonfigurationsdatei (PAC-Datei) automatisiert ausgeliefert wird. Leider funktioniert dies nicht von allen Browsern gleichermaßen gut Out-of-the-Box. Für die Umsetzung gibt es verschiedene Lösungsansätze, wie beispielsweise das Verwenden einer zentralen Gruppenrichtlinie über Samba. Im UCS@School-Handbuch finden Sie detailliert beschrieben, wie Sie eine PAC-Datei manuell für den Internet Explorer und Firefox konfigurieren.